Nei servizi finanziari la conformità è spesso vista come un onere necessario, una serie di caselle da spuntare per evitare multe o danni alla reputazione. Ma il Digital Operational Resilience Act (DORA) non è solo un altro esercizio di spunta. Rappresenta un cambiamento profondo nel modo in cui le autorità di regolamentazione si aspettano che le organizzazioni europee gestiscano il rischio digitale.
Per i CISO e i responsabili dell'identità, il DORA rappresenta un'opportunità per trasformare la conformità in un fattore di riduzione del rischio e di resilienza a lungo termine. Per realizzare questa opportunità, dovranno iniziare dall'identità.
Ogni transazione digitale all'interno di un istituto finanziario inizia con una domanda di sicurezza fondamentale: chi sta richiedendo l'accesso? In un ambiente sempre più ibrido, connesso al cloud e abilitato all'accesso remoto, la verifica e il controllo dell'identità sono più complessi - e più critici - che mai.
DORA riconosce che senza sistemi di identità sicuri e resilienti, nessuna organizzazione può mantenere la continuità operativa durante una crisi. Se si perde il controllo dell'identità, si perde il controllo dell'azienda.
I sistemi di identità tradizionali non sono stati progettati per il panorama odierno delle minacce o per le aspettative normative. Spesso sono reattivi, basati su policy e dipendono in larga misura da password e processi manuali.
Le lacune più comuni includono:
- Criteri di accesso statici che non tengono conto del rischio contestuale
- Mancanza di visibilità nel comportamento dell'identità in tempo reale
- Risposta lenta agli incidenti a causa di strumenti di identità isolati
- Nessuna strategia di backup se i sistemi IAM vanno offline
Il DORA si aspetta di più. Si aspetta che gli istituti gestiscano in modo proattivo il rischio di identità come parte del loro programma di resilienza operativa. Le organizzazioni finanziarie che operano nell'UE devono ora conformarsi a questi requisiti, poiché il 17 gennaio 2025 ha segnato l'inizio delle fasi di applicazione del DORA.
La gestione del rischio di identità va oltre l'applicazione dei controlli di accesso. Significa valutare continuamente il rischio posto da utenti, dispositivi e tentativi di accesso e adattare dinamicamente le risposte di sicurezza.
Ad esempio:
- L'utente accede da una posizione nota su un dispositivo affidabile?
- Il loro comportamento è coerente con i modelli storici?
- C'è un aumento delle richieste all'help desk che potrebbe essere indice di social engineering?
Questi segnali aiutano a costruire un profilo di rischio in tempo reale che guida le decisioni di autenticazione e accesso.
La piattaforma di identità di RSA è costruita appositamente per soddisfare i requisiti di rischio di identità del DORA.
- Rischio AI analizza i segnali comportamentali per individuare e bloccare gli accessi a rischio
- Help Desk Verifica in diretta previene gli attacchi di social engineering nel momento dell'interazione umana
- Soluzioni senza password (tra cui soluzioni certificate FIDO2, OTP, biometria e altro ancora) riducono le violazioni legate alle credenziali
- Governance e ciclo di vita RSA semplifica l'applicazione delle politiche e i rapporti di conformità
- Failover ibrido garantisce che l'autenticazione continui anche quando i sistemi sono fuori uso
Insieme, questi strumenti consentono alle istituzioni di gestire l'identità come una funzione di rischio dinamica e guidata dai dati.
La conformità normativa è il punto di partenza. Ma le istituzioni che vanno oltre i requisiti minimi del DORA costruiranno operazioni più sicure, più agili e più affidabili.
Investendo ora nella gestione del rischio di identità, i CISO possono:
- Ridurre la probabilità e l'impatto delle violazioni
- Ridurre i costi e la complessità degli audit
- Migliorare l'esperienza dell'utente grazie all'accesso adattivo e senza password
- Costruire una resilienza duratura in tutte le operazioni digitali
DORA è un campanello d'allarme per ripensare l'identità. Non solo come gatekeeper per l'accesso, ma come segnale di rischio critico e pietra angolare della resilienza.
Con RSA, gli istituti finanziari possono affrontare questa sfida e utilizzare l'identità non solo per essere conformi, ma anche per essere leader.
Guardate il webinar di RSA, DORA & Digital Risk: Strengthening Identity Security in Financial Services (DORA e rischio digitale: rafforzare la sicurezza dell'identità nei servizi finanziari), per scoprire cosa significa realmente la conformità DORA per la sicurezza dell'identità, le best practice per prepararsi agli audit DORA e i principali obblighi di conformità relativi all'autorizzazione degli utenti, all'accesso, all'autenticazione e alla continuità operativa.
