L’ultimo regolamento dell’Unione Europea (UE) sulla sicurezza informatica, il Digital Operational Resilience Act (DORA), non ha un impatto solo nel settore dei servizi finanziari del territorio UE, ma anche sui fornitori di servizi ICT con cui lavorano. In cima alla lista c’è Microsoft. Se ti stai chiedendo in che modo la tua organizzazione o infrastruttura IT potrà beneficiare di Microsoft per la conformità a DORA, ecco una panoramica.
Soluzioni di Microsoft per la conformità a DORA
Microsoft ha un portafoglio diversificato che risponde alle esigenze del settore finanziario, tra cui Microsoft Cloud for Financial Services, Microsoft 365, Microsoft Azure e altro ancora. Per questo motivo, dispone già di solidi protocolli ICT ed è tra i primi a definire la sua preparazione per la conformità a DORA. In base a DORA, Microsoft si propone di:
- aiutare i clienti a rispettare con successo i loro impegni contrattuali;
- gestire i rischi legati alle ICT e stabilire un quadro di governance e controllo interno; e
- rinforzare i servizi di gestione, classificazione e segnalazione degli incidenti.
Ad esempio, Microsoft Defender for Cloud e Azure Security Center possono fornire ai clienti un rilevamento e una risposta continui alle minacce. Nel frattempo, Microsoft Purview può stabilire test di resilienza e condivisione di informazioni sugli incidenti per soddisfare le nuove normative.
Queste sono tutte integrazioni vantaggiose, ma come si inseriscono nel quadro rigoroso di DORA? Tenendo conto di ciò, esaminiamo come alcune di queste applicazioni si inseriscono nei cinque pilastri della normativa DORA.
Gestione del rischio ICT
L’aspetto più critico della conformità a DORA è la gestione del rischio ICT, per questo Microsoft sta mettendo l’Advanced Threat Protection (ATP) e Microsoft Sentinel in prima linea nel rilevamento e nella risposta pro-attiva alle minacce.
Gli operatori IT possono contare su ATP per una protezione in tempo reale contro gli attacchi informatici. Questo utilizza un’analisi basata sull’intelligenza artificiale e sugli algoritmi di apprendimento automatico per analizzare e-mail, allegati e link prima che l’utente possa agire. Utilizza, anche, la tecnologia sandbox per isolare le minacce in un ambiente sicuro. D’altro lato, Microsoft Sentinel è in grado di identificare le vulnerabilità e di fornire analisi e approfondimenti sulla sicurezza.
Per la conformità a DORA, Microsoft propone di integrare la suite Defender di Microsoft 365 E5 e Microsoft Sentinel nel quadro di gestione del rischio ICT.
Segnalazione e gestione degli incidenti
Microsoft Defender e Compliance Center sono le due soluzioni principali che Microsoft offre per rilevare e segnalare rapidamente gli incidenti legati all’ICT. Il primo è fondamentale per il rilevamento anticipato delle minacce alla sicurezza, mentre il Compliance Center presenta una dashboard centralizzata per il monitoraggio e la reportistica.
Questi componenti forniscono alle entità regolamentate un sistema completo di segnalazione e gestione degli incidenti che soddisfa i nuovi standard DORA. Entrambe le integrazioni software migliorano anche l’efficienza grazie a flussi di lavoro automatizzati per valutare, documentare e segnalare gli incidenti in modo tempestivo e accurato.
Le organizzazioni possono anche sfruttare Sentinel, lo strumento SIEM (Security information and event management) di Microsoft, e i suoi protocolli di analisi e rilevamento basati sull’intelligenza artificiale per rafforzare le politiche di sicurezza.
Test di resilienza
La resilienza operativa è l’obiettivo generale che il DORA si propone di raggiungere all’interno dell’UE. A sostegno di questo obiettivo, i clienti possono utilizzare Azure Security Center per valutazioni di sicurezza aggiornate e test di resilienza tra le loro fila.
Azure è in grado di consolidare le più recenti conoscenze in materia di sicurezza per facilitare e mantenere ambienti di test aggiornati e conformi alle disposizioni DORA in materia di resilienza informatica. Come promemoria, anche le istituzioni finanziarie condivideranno la responsabilità di assicurarsi che i fornitori di servizi terzi siano adeguatamente aggiornati nella loro formazione.
Microsoft Cybersecurity Reference Architectures (MCRA) può aiutarti a saperne di più sull’integrazione delle capacità e delle tecnologie di cybersecurity di Microsoft nella tua struttura di gestione del rischio.
Gestione del rischio di terzi
Per quanto riguarda le funzionalità di governance e conformità, Microsoft Purview è uno dei migliori della categoria.
Eccelle, anche, nella gestione dei servizi di terze parti, fornendo alle organizzazioni una visibilità completa della struttura dei dati, compresa la supervisione dei dati conservati ed elaborati dai fornitori. Per questo, Microsoft Purview offre funzionalità di gestione unificata dei dati che possono aiutare le istituzioni regolamentate a conformarsi rapidamente con le normative.
Microsoft Purview Compliance Manager può anche aiutarti a valutare e gestire la conformità nell’ambiente multi-cloud. Ad esempio, puoi creare valutazioni precostituite per soddisfare i tuoi requisiti specifici e gli standard comuni di settore e regionali.
Condivisione delle informazioni e governance
Oltre alla suite di strumenti di produttività e comunicazione, Microsoft 365 copre già molti protocolli legati all’ICT, soprattutto grazie a Microsoft 365 Compliance Center. Dalle misure di prevenzione della perdita di dati (DLP) all’auditing automatizzato, il Compliance Center può fornire agli amministratori IT solidi strumenti di gestione per il controllo delle risorse e la gestione della conformità. Inoltre, Microsoft offre agli azionisti diverse vie di comunicazione sicure.
Best practice per l’implementazione della conformità a DORA con Microsoft
Automatizzazione delle valutazioni dei rischi e dei controlli di sicurezza
Ci sono molti motivi per automatizzare i processi aziendali, oltre alla riduzione degli errori umani. L’automazione IT può consentire alle aziende di ridistribuire le risorse in modo più efficiente, standardizzare il flusso di lavoro e migliorare i controlli di sicurezza. Ad esempio,
Azure RBAC (Controllo degli accessi basato sui ruoli) può essere utilizzato per perfezionare l’accesso alle risorse, contribuendo a garantire la conformità a livello di utente e a rafforzare l’efficienza organizzativa.
Test di sicurezza regolari ed esercitazioni di resilienza
Diversi articoli del DORA hanno posto l’accento sulla formazione e sulla sensibilizzazione. Ancora più importante, il documento ribadisce la responsabilità delle organizzazioni finanziarie di formare il proprio personale e i propri fornitori in conformità con i regolamenti dell’UE. La cosa positiva è che gli investimenti in formazione ripagano sempre, quasi immediatamente e a lungo termine.
Creare un quadro di conformità con gli strumenti Microsoft
Un quadro di riferimento per la conformità è essenziale per stabilire una soluzione di gestione del rischio completa ed efficiente. Un approccio strutturato e una chiara delineazione delle politiche e delle risorse possono aiutare la tua organizzazione ad adattarsi molto più rapidamente all’evoluzione delle normative e a rimediare in modo proattivo alle lacune del sistema.
Domande frequenti su Microsoft e la conformità a DORA
1. I servizi Microsoft sono in grado di garantire pienamente la conformità a DORA?
Da soli, gli strumenti Microsoft non possono garantire la piena conformità. Per prima cosa, il software deve essere allineato con una corretta implementazione o integrazione. Successivamente, altri software di terze parti possono fornire una struttura o una soluzione più adatta alle esigenze specifiche di un’organizzazione.
Inoltre, la conformità a DORA richiede un processo di monitoraggio e revisione del rischio da parte di terzi. In più, incoraggia le aziende a diversificare la loro infrastruttura IT invece di consolidare i processi principali sotto un unico cappello. Quindi, gli istituti finanziari devono avvalersi di altri fornitori per soddisfare le disposizioni del DORA.
2. Quali sono le principali differenze tra il DORA e le altre normative sulla sicurezza informatica?
Il DORA riguarda principalmente la resilienza operativa digitale. Le sue disposizioni sono volte a garantire che gli istituti finanziari dell’UE dispongano di capacità e strategie per affrontare e riprendersi da interruzioni IT significative.
Il Regolamento generale in materia di protezione dei dati (GDPR) si concentra maggiormente sulla privacy e sulla sicurezza dei dati, mentre NIS2 definisce linee guida più ampie per vari settori essenziali. ISO 27001, invece, introduce principalmente standard per i sistemi di gestione della sicurezza delle informazioni (ISMS).
3. Come possono gli istituti finanziari di piccole e medie dimensioni sfruttare gli strumenti Microsoft in modo efficace?
Le piccole e medie imprese finanziarie possono iniziare con Microsoft 365 o Microsoft Azure come integrazioni principali per la conformità normativa. Molte aziende potrebbero già avere una licenza per almeno uno di questi software, e quelle che non ce l’hanno troveranno in queste suite un grande valore, che va oltre il semplice soddisfacimento dei requisiti di conformità.
Le PMI possono dare priorità ai pacchetti essenziali o alle soluzioni integrate che colmano le attuali lacune nella loro conformità. L’organizzazione può rinunciare ad adottare soluzioni avanzate e più costose fino a quando non sarà pronta ad espandersi.
Elaborare una strategia efficace per la conformità a DORA
Gli strumenti e i servizi Microsoft possono fornire una solida base per stabilire la conformità a DORA. Tuttavia, la diversificazione dell’infrastruttura IT può presentare anche vantaggi cruciali. Alcuni processi, come l’ automazione della reportistica e della documentazione, possono essere ulteriormente ottimizzati utilizzando soluzioni integrate di altri specialisti. L’importante è che qualsiasi aggiunta integri le applicazioni Microsoft e rafforzi l’allineamento con le disposizioni DORA.
