Punti chiave
- Il Digital Operational Resilience Act (DORA) entrerà in vigore a gennaio 2025 e impone agli istituti finanziari e ai fornitori di servizi ICT dell’UE di rispettare rigorosi standard in materia di resilienza, gestione dei rischi e segnalazione degli incidenti.
- Strumenti Microsoft come Defender, Sentinel, Azure e Purview rispecchiano fedelmente i cinque pilastri del DORA: Gestione dei rischi ICT, segnalazione degli incidenti, test di resilienza, rischi legati a soggetti terzi e condivisione delle informazioni.
- Microsoft Purview Compliance Manager e la mappatura dei contratti aiutano le istituzioni a conformarsi ai requisiti di governance e di supervisione dei fornitori previsti dal DORA.
- Defender for Cloud, Sentinel e Defender for Office 365 supportano il rilevamento, la risposta e la raccolta di prove per la segnalazione di rischi e incidenti ICT.
- La piena conformità non è automatica , le organizzazioni devono integrare le soluzioni Microsoft in un quadro di conformità più ampio, tenere un registro delle informazioni ed eseguire test di penetrazione basati sulle minacce (TLPT) richiesti.
Il Digital Operational Resilience Act (DORA) è il più recente regolamento dell’Unione Europea in materia di sicurezza informatica per gli istituti finanziari. Le soluzioni di conformità Microsoft, quali Microsoft Defender, Azure e Purview, svolgono un ruolo fondamentale nell’aiutare le organizzazioni a soddisfare i requisiti del DORA.
Se ti stai chiedendo in che modo la tua organizzazione o la tua infrastruttura IT saranno supportate in materia di conformità DORA dagli strumenti Microsoft, ecco una panoramica.
Allinea la tua gestione dei rischi ICT ai requisiti DORA grazie alla nostra guida completa.
In che modo Microsoft contribuisce alla conformità con DORA
Microsoft ha un’offerta di prodotti diversificata che risponde alle esigenze del settore finanziario, tra cui Microsoft Cloud for Financial Services, Microsoft 365, Microsoft Azure e altro ancora. Per questo motivo, dispone già di solidi protocolli ICT ed è stata tra le prime aziende a definire la preparazione per la conformità a DORA. In termini di conformità DORA, Microsoft si propone di:
- Aiutare i clienti a rispettare con successo i loro impegni contrattuali;
- Gestire i rischi ICT e stabilire un quadro di governance e controllo interno;
- Rinforzare i servizi di gestione, classificazione e segnalazione degli incidenti.
Per esempio, Microsoft Defender for Cloud e Azure Security Center possono fornire ai clienti un rilevamento e una risposta continui alle minacce. Microsoft Purview invece può aiutare con i test di resilienza e la condivisione di informazioni sugli incidenti per soddisfare le nuove normative.
Si tratta tutte di integrazioni utili, ma in che modo possono aiutarti a redigere un elenco di controllo per la conformità DORA? Vediamo intanto come alcune di queste applicazioni si collegano ai cinque pilastri della normativa DORA.
Gestione del rischio ICT
L’aspetto più critico della conformità a DORA è la gestione del rischio ICT, per questo Microsoft sta mettendo l’Advanced Threat Protection (ATP) e Microsoft Sentinel in prima linea nel rilevamento e nella risposta proattiva alle minacce.
Gli operatori IT possono contare su ATP per una protezione in tempo reale contro gli attacchi informatici. ATP utilizza un’analisi basata sull’intelligenza artificiale e sugli algoritmi di apprendimento automatico per analizzare e-mail, allegati e link prima che l’utente possa agire. Utilizza anche il sandboxing per isolare le minacce in un ambiente sicuro. Microsoft Sentinel invece è in grado di identificare le vulnerabilità e di fornire analisi e approfondimenti sulla sicurezza.
Integra Microsoft Defender per Office 365 (posta elettronica/collaborazione), Defender for Endpoint, Defender for Cloud e Microsoft Sentinel (SIEM/SOAR) nel tuo quadro di riferimento dei rischi ICT per la prevenzione, il rilevamento, la risposta e il ripristino.
Segnalazione e gestione degli incidenti
Microsoft Defender e Compliance Center sono le due soluzioni principali che Microsoft offre per rilevare e segnalare rapidamente gli incidenti ICT. Il primo è fondamentale per il rilevamento anticipato delle minacce alla sicurezza, mentre il Compliance Center presenta una dashboard centralizzata per il monitoraggio e la reportistica.
Questi componenti offrono ai soggetti regolamentati un sistema completo di segnalazione e gestione degli incidenti che soddisfa i requisiti di conformità previsti dal DORA. Entrambe le integrazioni software migliorano anche l’efficienza grazie a flussi di lavoro automatizzati per valutare, documentare e segnalare gli incidenti in modo tempestivo e accurato.
Le organizzazioni possono inoltre avvalersi della soluzione SIEM (Security Information and Event Management) di Microsoft, Sentinel, e dei suoi protocolli di analisi e rilevamento basati su AI per applicare i criteri di sicurezza.
Test di resilienza
La resilienza operativa è l’obiettivo generale che il DORA si propone di raggiungere all’interno dell’UE. A sostegno di questo obiettivo, i clienti possono utilizzare Azure Security Center per valutazioni di sicurezza aggiornate e test di resilienza.
Azure è in grado di centralizzare le più recenti conoscenze in materia di sicurezza per facilitare e mantenere ambienti di test aggiornati e conformi alle disposizioni DORA sulla resilienza informatica. Come promemoria, anche le istituzioni finanziarie condivideranno la responsabilità di assicurarsi che i fornitori di servizi terzi siano adeguatamente aggiornati nella loro formazione.
Microsoft Cybersecurity Reference Architectures (MCRA) può aiutarti a saperne di più sull’integrazione delle capacità e delle tecnologie di cybersecurity di Microsoft nella tua struttura di gestione del rischio.
Gestione del rischio di terzi
Per quanto riguarda le funzionalità di governance e conformità, Microsoft Purview è uno dei migliori software della categoria.
Eccelle, tra le altre cose, nella gestione dei servizi di terze parti, fornendo alle organizzazioni una visibilità completa della struttura dei dati, compresa la supervisione dei dati conservati ed elaborati dai fornitori. Microsoft Purview offre funzionalità di gestione unificata dei dati che possono aiutare le istituzioni regolamentate a conformarsi rapidamente con le normative.
💡CONSIGLIO: Utilizza Purview Compliance Manager per monitorare i requisiti di conformità DORA e avvalerti della mappatura di contratti e addendum DORA di Microsoft per i servizi Microsoft.
Condivisione delle informazioni e governance
Oltre alla suite di strumenti di produttività e comunicazione, Microsoft 365 copre già molti protocolli ICT, soprattutto grazie a Microsoft 365 Compliance Center. Dalle misure di prevenzione della perdita di dati (DLP) all’auditing automatizzato, il Compliance Center può fornire agli amministratori IT solidi strumenti di gestione per il controllo delle risorse e la gestione della conformità. Inoltre, Microsoft offre agli azionisti diverse vie di comunicazione sicure.
Guarda come questi concetti lavorano insieme in un video: “Ottimizzazione delle soluzioni di sicurezza informatica Microsoft per la conformità alla normativa DORA“.
Best practice per l’implementazione della conformità a DORA con Microsoft
Automatizzazione delle valutazioni dei rischi e dei controlli di sicurezza
Ci sono molti motivi per automatizzare i processi aziendali, oltre alla riduzione degli errori umani. L’automazione IT può consentire alle aziende di ridistribuire le risorse in modo più efficiente, standardizzare i flussi di lavoro e migliorare i controlli di sicurezza. Per esempio,
Azure RBAC (Controllo degli accessi basato sui ruoli) può essere utilizzato per perfezionare l’accesso alle risorse, contribuendo a garantire la conformità a livello di utente e a rafforzare l’efficienza organizzativa.
Test di sicurezza regolari ed esercitazioni di resilienza
Diversi articoli del DORA hanno posto l’accento sulla formazione e sulla sensibilizzazione. Ancora più importante, il documento ribadisce la responsabilità delle organizzazioni finanziarie di formare il proprio personale e i propri fornitori in conformità con i regolamenti dell’UE. La cosa positiva è che gli investimenti in formazione ripagano sempre, quasi immediatamente e a lungo termine.
Creare un quadro di conformità con gli strumenti Microsoft
Un quadro di riferimento per la conformità è essenziale per stabilire una soluzione di gestione del rischio completa ed efficiente. Un approccio strutturato e una chiara delineazione dei criteri e delle risorse possono aiutare la tua organizzazione ad adattarsi molto più rapidamente all’evoluzione delle normative e a rimediare in modo proattivo alle lacune del sistema.
Proteggi e configura i sistemi Windows per garantire la conformità alle norme DORA
Elaborare una strategia efficace per la conformità a DORA
Gli strumenti e i servizi Microsoft possono fornire una solida base per raggiungere e mantenere la conformità a DORA. Tuttavia, diversificare la tua infrastruttura IT può garantirti alcuni vantaggi cruciali. Alcuni processi, come l’automazione della reportistica e della documentazione, possono essere ulteriormente ottimizzati utilizzando soluzioni integrate di altri fornitori. L’importante è che qualsiasi aggiunta integri le applicazioni Microsoft e rafforzi l’allineamento con le disposizioni DORA.
