DORA: non solo normativa da rispettare ma opportunità per la sicurezza
L’entrata in vigore di DORA, il Digital Operational Resilience Act, il prossimo gennaio, promette di rivoluzionare la situazione della cybersecurity in UE, come sottolinea Paolo Lossa, Country Sales Director di CyberArk Italia.
DORA: spinta ad adottare pratiche di sicurezza fondamentali
“A differenza di altri regolamenti – specifica Lossa – come GDPR o NIS2, DORA è focalizzata nello specifico sul settore finanziario. Ciò significa che compagnie di assicurazione, società di investimento, istituti di credito, banche e alcuni dei loro fornitori di terze parti, come data centers o vendor software, saranno obbligati a essere conformi.
DORA però non deve essere considerata solo un’ulteriore normativa da rispettare, ma una spinta ad adottare pratiche di sicurezza fondamentali che dovrebbero essere già integrate nelle attività di queste aziende.
Per rispondere in modo completo alle indicazioni della normativa, è necessario adottare un approccio olistico alla sicurezza dell’identità, proteggendo tutte quelle che hanno accesso a qualsiasi risorsa sensibile.
Come?
Applicando il minimo privilegio, semplificando gli audits e fornendo una reportistica dettagliata.
DORA pone inoltre l’accento sulle misure di controllo degli accessi – come single sign-on (SSO), autenticazione multi-fattore (MFA) e gestione del ciclo di vita delle identità – già considerate best practices di sicurezza in tutto il settore. Le aziende spesso tendono a focalizzarsi su innovazioni e minacce, elementi senza dubbio meritevoli di attenzione, lasciando in secondo piano le nozioni di base della cybersecurity.
Gli aspetti positivi di DORA
L’avvento di DORA non dovrebbe essere considerato come un altro grattacapo normativo, bensì un’opportunità per rafforzare le difese aziendali. In un mondo in cui le minacce informatiche sono in continua evoluzione, stare un passo avanti non è solo una necessità, ma un vantaggio competitivo, che i responsabili più lungimiranti potranno cercar di cogliere, sfruttando i requisiti normativi come opportunità strategiche. Ad esempio, investire in soluzioni di Identity e Access Management (IAM) avanzate soddisfa i mandati di DORA, snellendo le operazioni, riducendo i costi amministrativi e migliorando l’esperienza complessiva degli utenti. Allo stesso modo, implementare una solida MFA non si limita a prevenire gli accessi non autorizzati, ma crea anche fiducia nei confronti di clienti, partners e autorità di regolamentazione.
Lo stesso approccio deve essere applicato alle altre normative europee, sia quelle già attive che quelle che entreranno in vigore a breve, come NIS 2, Cyber Resilience Act o Cyber Security Act, che hanno l’obiettivo di fortificare le difese delle aziende in UE, per creare un framework europeo ben definito su differenti elementi, tra cui certificazione sulla sicurezza dei prodotti, requisiti e misure di protezione per numerosi settori critici.
Le aziende che adottano queste pratiche in modo proattivo si troveranno una posizione migliore per rispondere ai futuri cambiamenti normativi, mitigare i rischi e capitalizzare le nuove opportunità di business. Da questo punto di vista, DORA è molto di più di una semplice normativa, ma rappresenta un progetto per costruire un’azienda più resiliente, agile e protetta”, conclude Lossa.
