SBTechnical Marketing Writer
Il settore finanziario ha sempre operato sotto rigorose aspettative normative, ma il Digital Operational Resilience Act (DORA) segna un nuovo capitolo. DORA richiede che le organizzazioni dimostrino di poter resistere alle interruzioni delle Tecnologie dell’Informazione e della Comunicazione (ICT) e di ripristinarsi rapidamente. La normativa aumenta la pressione su come le aziende finanziarie proteggono i propri dati e convalidano i propri sistemi, innalzando l’asticella su come vengono archiviati i dati di backup.
Perché DORA è oggi più rilevante che mai
L’ultimo rapporto Threat Landscape di ENISA (l’agenzia dell’UE per la cybersicurezza) conferma che il ransomware continua a intensificarsi in tutta l’UE, trainato dai modelli ransomware-as-a-service e dallo sfruttamento rapido delle vulnerabilità. Questo lo rende la categoria di incidente informatico più dannosa dal punto di vista economico - e l’impatto non si limita a interruzioni isolate o ad aziende con difese di sicurezza deboli. Un singolo sistema compromesso può influire negativamente su clienti, mercati e fornitori a esso collegati. Lo scopo di DORA è rendere la resilienza un requisito di settore.
Per molte organizzazioni, questo significa rivalutare assunzioni radicate da tempo sulla propria capacità di riprendersi da un attacco. Significa anche riconoscere che la conformità dei dati finanziari ora va oltre la prevenzione delle violazioni e include dimostrare che i dati di backup rimangono integri e ripristinabili dopo una violazione.
DORA - cambiare il modo in cui le organizzazioni operano
DORA eleva il rischio ICT a una responsabilità di governance . Consigli di amministrazione e team esecutivi devono comprendere come si comportano i loro sistemi durante un’interruzione e cosa serve per ripristinare le operazioni. La normativa obbliga inoltre le organizzazioni ad analizzare attentamente i sistemi su cui fanno affidamento ogni giorno. Gli ambienti Backup, le relazioni con i fornitori e i processi di ripristino sono ora centrali per rispettare le normative di settore legate alla conformità dei dati finanziari.
La vera sfida: dimostrare la resilienza, non dichiararla
Molte organizzazioni hanno policy che sulla carta sembrano solide ma non reggono quando vengono messe alla prova. DORA mette in luce questo divario. Richiede evidenze che i sistemi possano ripristinarsi senza problemi, che i dati siano protetti da manomissioni e che i processi di ripristino funzionino durante un attacco.
È qui che l’architettura di backup gioca un ruolo di primo piano. Se i dati di ripristino vengono compromessi o il ripristino viene ritardato, la resilienza - e di conseguenza la conformità dei dati finanziari - ne risentono inevitabilmente.
Dove la maggior parte delle organizzazioni è ancora impreparata
Anche i team ben dotati di risorse spesso trascurano gli aspetti che contano di più durante un incidente:
- Segmentazione incompleta: le reti devono essere segmentate per contenere le violazioni, inclusa la separazione logica del software di backup e dello storage in grado di resistere a un attaccante che abbia ottenuto credenziali di amministratore
- Processi di ripristino non testati: procedure che non sono state validate end-to-end, dai test di penetrazione esterni fino al ripristino completo
- Visibilità limitata: incertezza su come i dati vengono archiviati, protetti e ripristinati, oltre alla mancanza di documentazione
Concentrarsi su queste aree aiuterà le organizzazioni a costruire la resilienza necessaria per la conformità a DORA, anche sotto attacco.
Come Object First può aiutare
DORA chiarisce che la resilienza operativa dipende dalla capacità di ripristinare in modo sicuro i sistemi e i dati ICT senza perdita di integrità o corruzione. Se le organizzazioni non riescono a recuperare dati puliti e non compromessi, non possono garantire la continuità dei servizi critici.
È qui che entra in gioco lo storage di backup Object First. L’Immutabilità Assoluta garantisce che i dati di backup non possano essere modificati o eliminati da nessuno, eliminando il rischio di manomissione anche nello scenario peggiore in cui tutte le credenziali risultino compromesse. Offre alle organizzazioni un’affidabile ultima linea di difesa e supporta il livello di garanzia che i regolatori ora si aspettano.
Per saperne di più su come i backup assolutamente immutabili possano garantire la resilienza operativa e, di conseguenza, la conformità normativa, scarica la nostra guida al Digital Operational Resilience Act (DORA).