DORA, il rischio digitale e il nuovo mandato di identità nei servizi finanziari

L'adozione del Digital Operational Resilience Act (DORA) da parte dell'UE ha segnato un cambiamento fondamentale nel modo in cui gli istituti finanziari devono affrontare la cybersecurity, la gestione del rischio e la continuità operativa. Per la prima volta, le autorità di regolamentazione non si sono limitate a menzionare la sicurezza delle identità, ma l'hanno inserita direttamente nel tessuto della compliance.

Questa evoluzione riconosce una realtà che molti professionisti della sicurezza conoscono da anni: l'identità è il fondamento della sicurezza digitale e un perno della resilienza operativa. Vediamo cosa è cambiato, l'impatto che il DORA avrà sulla sicurezza delle identità, le sfide che le istituzioni finanziarie devono affrontare e come i CISO devono prepararsi per garantire che le loro organizzazioni soddisfino i requisiti del DORA entro la scadenza del 2025.

Secondo il DORA, ogni operazione digitale all'interno di un istituto finanziario - dai pagamenti all'onboarding dei clienti ai sistemi di trading - deve essere sicura, resiliente e continuamente disponibile. E questo pone la sicurezza delle identità in primo piano. Perché se non è possibile verificare chi accede a cosa, quando e da dove, la strategia di identità crolla.

Nella nuova realtà normativa DORA, l'identità non è più una funzione IT di back-office. È ora un imperativo strategico di cui fanno parte i leader del rischio, i responsabili della conformità e i dirigenti aziendali.

Diversi articoli del DORA richiedono direttamente o implicitamente solide capacità di gestione dell'identità e dell'accesso (IAM). Ad esempio:

• Controllo degli accessi e governance: Il DORA impone alle istituzioni di gestire i diritti di accesso degli utenti in tempo reale e di effettuare revisioni periodiche degli accessi per prevenire l'insinuarsi di privilegi e accessi non autorizzati.
• Requisiti di autenticazione: I metodi di autenticazione forti, come l'autenticazione a più fattori (MFA), dovrebbero proteggere i sistemi da accessi non autorizzati.
• Continuità operativa: Le istituzioni devono garantire che le funzioni critiche rimangano disponibili durante gli incidenti informatici, le interruzioni o le interruzioni. Ciò include il mantenimento dei servizi di identità anche in caso di costrizione.
• Monitoraggio e rilevamento delle anomalie: Le organizzazioni devono rilevare, rispondere e recuperare rapidamente gli incidenti informatici. Le anomalie legate all'identità, come i modelli di accesso insoliti, sono indicatori cruciali.

Questi requisiti sottolineano la necessità di un programma di sicurezza dell'identità moderno e consapevole dei rischi.

Il 2025 segna l'anno in cui la conformità passa alle fasi di applicazione, il che significa che le organizzazioni che non rispettano il DORA rischiano multe pari a 2% del fatturato globale medio o a 1% del fatturato giornaliero medio, con l'aggiunta di multe giornaliere imposte alle organizzazioni non conformi fino a quando non raggiungono la conformità. La posta in gioco è ora alta.

Nonostante l'aumento degli investimenti nella sicurezza, molte istituzioni finanziarie si trovano ancora a dover affrontare lacune legate all'identità nelle loro funzioni operative e di sicurezza, tra cui:

• Sistemi IAM legacy che mancano di adattabilità e visibilità
• Strumenti di identità isolati in ambienti on-premise e cloud
• Metodi di autenticazione deboli che sono vulnerabili al phishing
• Processi di governance manuali che rendono la rendicontazione di conformità lenta e soggetta a errori

Queste sfide lasciano le organizzazioni esposte, non solo agli aggressori, ma anche ai controlli normativi e alle multe per la conformità.

I CISO del settore finanziario devono prendere l'iniziativa di allineare la strategia di identità al DORA. Ciò significa che:

• Adottare accesso basato sul rischio modelli che regolano i controlli in base al contesto e al comportamento
• Garantire continuità aziendale con failover ibrido per autenticazione e accesso
• Rafforzamento governance con provisioning, revisioni e certificazione degli accessi automatizzati.
• Abbracciare autenticazione senza password per eliminare i vettori di attacco più comuni

In RSA aiutiamo le istituzioni finanziarie a rendere operativa l'identità come pilastro della resilienza. La nostra piattaforma per l'identità orientata alla sicurezza, RSA ID Plus, è costruito per ambienti regolamentati come quello finanziario.

• RSA Risk AI analizza i segnali comportamentali e contestuali per applicare politiche di accesso adattive
• Blocco mobile RSA protegge l'accesso su dispositivi non gestiti o compromessi
• RSA iShield Serie Key 2 Gli autenticatori consentono l'autenticazione FIDO e OTP a prova di phishing
• Governance e ciclo di vita RSA automatizza i flussi di lavoro per la governance degli accessi e la conformità
• Failover ibrido RSA garantisce un'autenticazione ininterrotta durante le interruzioni di corrente.

Insieme, queste soluzioni forniscono i controlli necessari per allinearsi al DORA e rafforzare la vostra organizzazione al di là della conformità.

DORA segna una svolta per l'identità nei servizi finanziari. Eleva l'IAM da una questione tecnica a un mandato normativo e a un fattore strategico di resilienza operativa.

Gli istituti finanziari che adottano strategie di sicurezza identity-first non solo soddisfano i requisiti DORA, ma ottengono anche un vantaggio competitivo in termini di sicurezza, agilità e fiducia dei clienti. È il momento di ripensare la propria posizione in materia di identità prima che inizi l'applicazione del DORA.