Sicurezza informatica e Digital Operational Resilience Act: sfide e tendenze

Il Digital Operational Resilience Act (DORA) è attualmente al centro della regolamentazione del settore finanziario, soprattutto per le società finanziarie dell'Unione Europea. La normativa mira a rafforzare la resilienza operativa delle società finanziarie e a proteggerle dalle minacce informatiche e dalle interruzioni IT. Oltre alla resilienza finanziaria, anche la sicurezza dei sistemi informativi è ora al centro della regolamentazione. In questo articolo, analizziamo l'importanza della sicurezza informatica per EXCON e mettiamo in evidenza le principali sfide e tendenze in un'intervista con il Responsabile IT Markus Heiß.

Sicurezza delle informazioni in EXCON

La sicurezza delle informazioni è di importanza centrale per le aziende come EXCON. La protezione dei dati sensibili e l'integrità dei sistemi sono fondamentali per il successo aziendale e la fiducia di dipendenti, clienti e partner. EXCON ha quindi implementato una serie di misure per garantire la sicurezza delle informazioni:

  1. Misure tecniche: Aggiornamento e monitoraggio regolari dell'infrastruttura IT, implementazione di firewall, sistemi di rilevamento e prevenzione delle intrusioni (IDPS), crittografia dei dati sensibili e utilizzo di programmi anti-malware.
  2. Misure organizzative: Implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS) in conformità alla norma ISO 27001, formazione regolare dei dipendenti, controlli rigorosi degli accessi e revisioni e audit regolari della sicurezza.
  3. Protocolli di risposta agli incidenti: un protocollo chiaramente definito consente di rispondere in modo rapido ed efficace agli incidenti di sicurezza, compresa l'identificazione, il contenimento, la riparazione e la successiva analisi.

La direzione svolge un ruolo cruciale nel garantire la sicurezza delle informazioni. Stabilisce le priorità strategiche, fornisce le risorse necessarie e promuove una cultura della sicurezza in tutta l'organizzazione. EXCON non solo segue standard come la ISO 27001 e il GDPR, ma sviluppa anche linee guida specifiche per l'azienda, adattate a requisiti specifici.

Intervista all'esperto di sicurezza informatica con il responsabile IT Markus Heiß

In qualità di esperto di sicurezza informatica e responsabile IT di EXCON, Markus Heiß ci ha fornito una visione più approfondita del lato pratico delle cose in un'intervista. L'intervista si è concentrata sulle sfide per l'azienda e sulle lezioni apprese nell'ambito della sicurezza informatica.

Quali sfide vede per il futuro nell'ambito della sicurezza informatica?

Markus Heiß: Una delle sfide più grandi è il panorama delle minacce in costante evoluzione. I criminali informatici stanno diventando sempre più sofisticati ed è una sfida costante rimanere un passo avanti a loro. Inoltre, l'aumento della rete e la digitalizzazione comportano ulteriori rischi che devono essere gestiti.

Quanto è importante per EXCON la conformità alle normative e agli standard legali nell'ambito della sicurezza informatica?

Markus Heiß: La conformità alle normative e agli standard legali è una priorità assoluta per noi. Questo non solo aiuta ad evitare conseguenze legali e finanziarie, ma anche e soprattutto a rafforzare la fiducia dei nostri clienti e partner.

Quali misure sono particolarmente importanti per quanto riguarda la vostra strategia di sicurezza?

Markus Heiß: È importante rivedere e adattare continuamente le misure tecniche e organizzative. Ad esempio, negli ultimi anni abbiamo costantemente ampliato i nostri sistemi di monitoraggio e introdotto controlli di accesso più severi. Abbiamo anche intensificato la collaborazione con esperti di sicurezza esterni, per assicurarci di essere sempre informati sulle ultime minacce e misure di difesa.

Quali cambiamenti a lungo termine state apportando per soddisfare i requisiti di sicurezza informatica di oggi?

Markus Heiß: A lungo termine, abbiamo stabilito una cultura di miglioramento continuo. Organizziamo regolarmente workshop sulle lezioni apprese per imparare da ogni situazione e sviluppare continuamente la nostra strategia di sicurezza. Inoltre, il ruolo di un responsabile della sicurezza delle informazioni (ISO) nella nostra struttura aziendale è fondamentale per ancorare la sicurezza delle informazioni al livello più alto.
 

Come valuta il rischio di minacce interne per le aziende e quali misure ha implementato EXCON per proteggersi da queste?

Markus Heiß: Le minacce interne si riferiscono ai rischi per la sicurezza che provengono da individui all'interno di un'organizzazione. Queste minacce provengono da dipendenti, appaltatori o partner commerciali attuali o precedenti. Rappresentano un rischio significativo per qualsiasi azienda, perché spesso sono difficili da riconoscere. Noi minimizziamo completamente questo rischio attraverso controlli di accesso rigorosi, verifiche regolari e formazione dei dipendenti, oltre all'utilizzo di sistemi di monitoraggio che rilevano comportamenti insoliti.

10 tendenze nella sicurezza informatica

Il tema della sicurezza informatica rimarrà una sfida per le aziende anche in futuro, a causa di requisiti sempre nuovi o in evoluzione. Le tendenze devono essere sempre tenute presenti e riconosciute in una fase iniziale. Il Responsabile IT di EXCON, Markus Heiß, ha riassunto per noi le principali tendenze.

  1. Crescente complessità delle minacce informatiche: Il panorama delle minacce sta diventando sempre più complesso e sofisticato. I criminali informatici si affidano sempre più all'intelligenza artificiale e all'apprendimento automatico per automatizzare e perfezionare gli attacchi. Le aziende devono sviluppare e modernizzare costantemente le loro misure di sicurezza per contrastare queste nuove minacce.
  2. Sicurezza del cloud e modelli di lavoro ibridi: con l'aumento dell'uso dei servizi cloud e il passaggio a modelli di lavoro ibridi, in cui i dipendenti lavorano sia in ufficio che da remoto, le organizzazioni devono affrontare nuove sfide di sicurezza. Diventa sempre più importante implementare misure di sicurezza solide che garantiscano un accesso sicuro alle risorse cloud e la protezione delle postazioni di lavoro remote.
  3. Sicurezza Zero Trust: il modello Zero Trust sta acquisendo sempre più importanza. Si basa sul principio “mai fidarsi, sempre verificare” e richiede processi di autenticazione e autorizzazione rigorosi per tutti gli accessi alle risorse aziendali. L'implementazione di Zero Trust richiede una revisione completa delle architetture di sicurezza esistenti e rappresenta una sfida significativa.
  4. Estensione dei requisiti normativi e di conformità: I requisiti normativi nell'ambito della protezione dei dati e della sicurezza delle informazioni continueranno ad aumentare. Le organizzazioni devono prepararsi a una conformità più rigorosa alle leggi sulla protezione dei dati, come il GDPR, e a nuove normative come il Digital Operational Resilience Act (DORA). Ciò richiede continui aggiustamenti e revisioni delle misure di conformità.
  5. Intelligenza artificiale e automazione nella sicurezza informatica: l' intelligenza artificiale e l'automazione avranno un ruolo sempre più importante nella sicurezza informatica. Possono aiutare a riconoscere e a rispondere più rapidamente alle minacce. Allo stesso tempo, le aziende devono assicurarsi che i loro sistemi di AI siano sicuri e affidabili, per non creare ulteriori rischi.
  6. Proteggere i dispositivi IoT e i sistemi di controllo industriale: Man mano che i dispositivi dell'Internet of Things (IoT) e i sistemi di controllo industriale (ICS) diventano più connessi, aumenta anche il rischio di cyberattacchi su questi sistemi. Le aziende devono sviluppare misure di sicurezza speciali per proteggere questi dispositivi e sistemi dagli attacchi.
  7. Resilienza informatica e disaster recovery: la capacità di recuperare rapidamente dagli attacchi informatici sta diventando sempre più importante. Le organizzazioni devono testare e aggiornare regolarmente i loro piani e processi di disaster recovery, per garantire una risposta rapida ed efficace in caso di emergenza.
  8. Formazione e consapevolezza dei dipendenti: L'errore umano rimane una delle maggiori vulnerabilità della sicurezza informatica. Diventa sempre più importante gestire programmi di formazione e sensibilizzazione continua per i dipendenti, per aumentare la consapevolezza delle minacce alla sicurezza e promuovere le migliori prassi.
  9. Protezione dei dati e sovranità dei dati: la protezione dei dati rimarrà una questione chiave. I consumatori e i governi chiedono un maggiore controllo sui dati personali. Le aziende devono gestire i dati in modo trasparente e responsabile e sviluppare soluzioni innovative per la protezione dei dati.
  10. Collaborazione e condivisione delle informazioni: la collaborazione e la condivisione delle informazioni tra aziende, industrie e governi sarà fondamentale per combattere efficacemente le minacce informatiche. Iniziative e reti congiunte per l'analisi delle minacce e la difesa diventeranno sempre più importanti.

Preparazione e requisiti chiave della DORA

La Legge sulla Resilienza Operativa Digitale (DORA ) è molto importante alla luce delle crescenti sfide e della complessità della sicurezza informatica descritte in precedenza. Il regolamento stabilisce standard e requisiti armonizzati per la resilienza digitale che si applicano in tutta l'UE. Ciò contribuisce a minimizzare il rischio di cyberattacchi e guasti informatici e a garantire la stabilità del sistema finanziario. Il DORA protegge anche gli interessi dei clienti e promuove la fiducia nel settore finanziario. In quanto azienda di software e fornitore di servizi nel settore finanziario, il regolamento si applica anche a EXCON. Pertanto, gli standard DORA per i fornitori terzi si applicano a noi fin dall'inizio. Ma da dove deve iniziare un'azienda per implementare il regolamento e quali sono i requisiti chiave più importanti? Risponderemo a queste domande nelle sezioni seguenti:

Come devono prepararsi le aziende per l'attuazione del DORA?

Le aziende devono prepararsi in modo completo all'implementazione del DORA. Il primo passo della preparazione è un'analisi GAP. Questa serve a determinare dove i processi e i sistemi esistenti non soddisfano i requisiti del DORA. Seguono le misure di formazione e la sensibilizzazione dei dipendenti ai nuovi requisiti e alle migliori pratiche di gestione del rischio informatico. Sulla base di ciò, dovrebbe seguire l'ottimizzazione dei processi, che garantisce l'adattamento e l'ottimizzazione dei processi IT e di sicurezza in conformità con i regolamenti DORA. Vengono poi prese decisioni su eventuali investimenti in tecnologie avanzate di sicurezza e monitoraggio. Inoltre, anche tutti i fornitori terzi che forniscono servizi IT critici devono essere conformi al DORA. Questo deve essere verificato.
 

Quali sono i requisiti chiave più importanti del DORA?

  • Gestione del rischio informatico: le organizzazioni finanziarie devono disporre di sistemi e processi solidi per identificare, valutare e gestire i rischi informatici.
  • Segnalazione degli incidenti: le organizzazioni devono segnalare e documentare rapidamente gli incidenti informatici e le interruzioni IT.
  • Audit di sicurezza: Sono necessari audit e valutazioni di sicurezza regolari per identificare e correggere le vulnerabilità.
  • Gestione del rischio di terze parti: le organizzazioni devono assicurarsi che anche i fornitori terzi che forniscono servizi IT siano conformi agli standard DORA.
  • Monitoraggio della sicurezza: monitoraggio continuo dell'infrastruttura IT per individuare tempestivamente minacce e anomalie.

Le fasi e gli aspetti chiave del regolamento sopra descritti comportano numerosi nuovi processi, obblighi e complessità per le organizzazioni finanziarie. La conformità alla normativa DORA richiede un monitoraggio continuo e l'adeguamento delle misure di sicurezza entro la data di entrata in vigore del 17 gennaio 2025. A seconda dello status quo, i diversi e dettagliati requisiti comporteranno una revisione completa dell'infrastruttura IT e di sicurezza esistente. Nella gestione dei fornitori terzi, è necessario un coordinamento generale, una collaborazione e una raccolta di dati attraverso i confini aziendali, al fine di creare la trasparenza richiesta.

Per rafforzare la resilienza digitale e ottenere un successo a lungo termine, l'attenzione delle organizzazioni finanziarie e dei fornitori terzi si concentra ancora una volta sullo sviluppo continuo delle misure di sicurezza e sull'impegno attivo nei confronti delle nuove sfide.
 

Suggerimento pratico: controlli i suoi fornitori terzi con ex:plore

I suoi partner e fornitori di servizi rispettano i requisiti DORA? Dove c'è bisogno di ottimizzazione e dove i contratti potrebbero essere più rigidi? Con il software di audit ex:plore, può rispondere a queste domande in tutta la sua organizzazione.

Gestione dei contratti e audit

Un database centrale, facilmente accessibile e ricercabile, le consente di archiviare e gestire tutti i contratti con fornitori terzi. Ciò rende molto più facile la gestione centralizzata. Per supportare gli audit dei contratti [link usecase audit contratti], il software di audit assicura che tutti i requisiti DORA e le misure di sicurezza pertinenti siano inclusi nei contratti.

Conformità e reporting

Con l'aiuto di questionari di conformità, le organizzazioni finanziarie verificano se i fornitori terzi soddisfano tutti i requisiti di conformità DORA. Inoltre, vengono generati report e dashboard dei risultati in tempo reale, per visualizzare lo stato delle misure di conformità in qualsiasi momento.

Gestione degli incidenti

Il monitoraggio degli incidenti viene eseguito inserendo e monitorando manualmente gli incidenti di sicurezza con i fornitori terzi. Le misure automatiche di follow-up sono definite all'interno del software di audit e tracciate in ogni momento. ex:plore supporta anche la revisione manuale e la gestione dei piani di emergenza dei fornitori terzi, per garantire la loro preparazione ad affrontare le interruzioni operative.

Tracce di audit e documentazione

I percorsi di audit sono garantiti dalla documentazione di tutte le interazioni e revisioni con i fornitori terzi, per creare una storia tracciabile. L'archiviazione centrale di tutti i documenti rilevanti, come i rapporti di audit, le analisi dei rischi e le prove di conformità, consente una gestione efficace della documentazione.

Ha altre domande sull'utilizzo di ex:plore come parte della gestione dei fornitori terzi? Allora non esiti a contattarci in qualsiasi momento.

 

Info-Glühbirnen-Icon

 

Buono a sapersi:
 

Cosa significa “resilienza operativa”?

La resilienza operativa è la capacità di un'organizzazione di continuare i propri processi e servizi aziendali critici nonostante le circostanze avverse e le interruzioni. Ciò include la pianificazione, la preparazione e la capacità di rispondere ad attacchi informatici, disastri naturali, guasti tecnici e altri eventi imprevisti. L'obiettivo è ridurre al minimo l'impatto di tali incidenti e garantire la continuità delle operazioni.

Esempi di resilienza operativa dal settore finanziario:

Attacchi informatici: Le banche implementano misure di cybersicurezza come firewall, IDS e piani di emergenza per ripristinare rapidamente i sistemi.

Disastri naturali: Le società di investimento utilizzano centri dati geograficamente dispersi e la replica dei dati per garantire operazioni ininterrotte.

Guasti tecnici: Sistemi ridondanti e piani di disaster recovery assicurano un rapido ripristino dei servizi bancari online.

Pandemie: Le compagnie assicurative si affidano a infrastrutture di lavoro a distanza con accesso VPN sicuro e strumenti di collaborazione.

Guasto di un provider di terze parti: le banche dispongono di provider alternativi o di soluzioni on-premises per continuare i servizi.

Cambiamenti normativi: Le organizzazioni finanziarie si adattano rapidamente alle nuove normative attraverso un'architettura IT flessibile e una gestione agile dei progetti.
 

Related content

EXCON: What you need is what you get
Unsere Philosophie für Software und Services
EXCON Software Entwicklung
Software prodotti da EXCON
EXCON Data Enrichment
Audit di dati e sistemi
Modern solutions made by EXCON
Soluzioni EXCON
Audit Lösungen
Servizi di audit