Il Digital Operational Resilience Act (DORA) introduce un mandato di grande importanza per i servizi finanziari che operano nell'UE: dimostrare che le vostre operazioni - e le vostre difese di sicurezza informatica - possono resistere anche alle interruzioni più gravi.
Per i CISO, non si tratta solo di aggiornamenti tecnologici. Si tratta di costruire un nuovo tipo di resilienza in cui l'identità svolge un ruolo centrale. Questo blog fornisce un manuale pratico per i CISO e i leader IAM che desiderano allineare la strategia di identità al DORA prima che entrino in vigore le scadenze del 2025.
Iniziare con la visibilità. Mappate i vostri attuali sistemi e politiche di identità con le aree principali di DORA:
- Controllo degli accessi e governance
- Autenticazione e sicurezza delle credenziali
- Continuità operativa dei servizi di identità
- Rilevamento e risposta agli incidenti
Dove sono le lacune? Dove ci si affida a processi manuali o a strumenti legacy? Utilizzate questo audit per dare priorità alle aree di rischio e alle esigenze di modernizzazione.
I criteri statici sono troppo blandi per le minacce odierne. DORA si aspetta controlli più intelligenti che si adattino al contesto. Implementate l'accesso adattivo utilizzando:
- Analisi del comportamento degli utenti
- Valutazione della postura dei dispositivi
- Segnali di geolocalizzazione e ora del giorno
- Modelli di accesso storici
RSA Risk AI abilita queste funzionalità, consentendo di prendere decisioni in tempo reale che riducono i falsi positivi e bloccano le minacce reali.
I vostri sistemi IAM sono mission critical. Ma possono sopravvivere a un'interruzione?
Il DORA richiede alle istituzioni di dimostrare la continuità dei sistemi ICT critici. Questo include la vostra piattaforma di identità.
Failover ibrido di RSA garantisce che l'autenticazione possa continuare anche se il cloud, il data center o la rete sono compromessi.
L'MFA resistente al phishing non è più un optional. RSA offre una gamma di Soluzioni senza password, tra cui:
- Chiavi hardware certificate FIDO2 (iShield)
- Blocco mobile per dispositivi non affidabili
- OTP e soft token basati su push
Distribuite queste identità tra la forza lavoro e i clienti per soddisfare le aspettative del DORA e bloccare il furto di credenziali.
Le campagne di certificazione manuali e le revisioni dei diritti non sono più scalabili, né possono gestire adeguatamente il numero crescente di utenti, dispositivi, diritti e ambienti. DORA richiede una supervisione continua.
Con Governance e ciclo di vita RSA, è possibile:
- Automatizzare i processi di giunzione/ trasloco/scarico
- Applicazione del privilegio minimo attraverso il provisioning basato su policy
- Fornite rapporti pronti per la revisione con pochi clic
DORA separerà i preparati dai reattivi. Non è sufficiente disporre di un IAM: deve essere intelligente, resiliente e strettamente governato.
Con RSA, i CISO ottengono gli strumenti necessari non solo per conformarsi al DORA, ma anche per costruire un'infrastruttura di identità che supporti l'eccellenza operativa a lungo termine.
Il momento di agire è adesso: l'applicazione delle norme è una realtà nel 2025 e la vostra azienda rischia davvero multe salate se non è conforme. Utilizzate questo manuale per rafforzare la vostra posizione prima che le autorità di regolamentazione, o gli aggressori, mettano alla prova la vostra resilienza.
Guardate il webinar di RSA, DORA & Digital Risk: Strengthening Identity Security in Financial Services, per scoprire cosa significa realmente la conformità DORA per l'Identity Security, le best practice per prepararsi agli audit DORA e i principali obblighi di conformità relativi ad autorizzazione, accesso, autenticazione e continuità aziendale degli utenti.
