I presidi delle prime linee di difesa ICT e Cybersecurity
Pillola di DORA
pwc.com/it/dora #4
Il Contesto
Regolamentare
In tale ottica, Il regolamento DORA descrive un approccio End-to-End che, sulla base dei processi di Risk Management* delinea i requisiti per le I line di difesa, secondo le diverse fasi definite.
Il processo di gestione dei rischi connessi alle TIC è un processo necessario
all’identificazione di misure e strumenti per il monitoraggio e per la riduzione degli impatti dovuti ad incidenti con l’obiettivo di prevenirli, minimizzarli e ripristinare nel più breve tempo possibile la normale erogazione dei servizi.
Identificazione, classificazione e documentazione adeguata di tutte le funzioni commerciali connessi alle TIC, i patrimoni di informazioni su cui si fondano tali funzioni, le configurazioni del sistema e le interconnessioni con i sistemi di TIC interni ed esterni.
Valutazione del rischio per tutti i sistemi ICT preesistenti, soprattutto prima e dopo la connessione tra tecnologie, applicazioni o sistemi nuovi e vecchi.
Art. 7
Identificazione
Monitoraggio costante del funzionamento dei sistemi e degli strumenti di TIC per ridurre al minimo l'impatto dei rischi tramite l’adozione di politiche, procedure, protocolli e strumenti adeguati per la sicurezza delle TIC al fine di garantire la resilienza, la continuità e la disponibilità dei sistemi, nonché a mantenere elevati standard di sicurezza, riservatezza e integrità dei dati.
Art. 8
Protezione e Prevenzione
Individuazione tempestiva delle attività anomale, compresi i problemi di prestazione della rete, gli incidenti a esse connessi ed i potenziali singoli punti di guasto importanti tramite l’adozione di meccanismi che
prevedono livelli di controllo, soglie di allarme e criteri per l'avvio dei processi di individuazione degli incidenti, di risposta agli stessi e meccanismi di allarme automatico per il personale incaricato.
Art. 9
Individuazione**
Monitoraggio costante del funzionamento dei sistemi e degli strumenti di TIC per ridurre al minimo l'impatto dei rischi tramite l’adozione di politiche, procedure, protocolli e strumenti adeguati per la sicurezza delle TIC al fine di garantire la resilienza, la continuità e la disponibilità dei sistemi, nonché a mantenere elevati standard di sicurezza, riservatezza e integrità dei dati.
Art. 10-11 Risposta, Ripristino e Politiche di backup
* Per ulteriori dettagli, rif. Pillola 2
** Per ulteriori dettagli, rif. Pillola 3
Identificazione (1/3) Identificazione e Monitoraggio delle TIC
I requisiti DORA: Art. 7
• Identificazione, classificazione e adeguata documentazione di tutte le funzioni
commerciali connesse ai sistemi ICT, i patrimoni di informazioni su cui fondano tali funzioni, nonché le configurazioni dei sistemi ICT e le interconnessioni con i sistemi ICT interni ed esterni.
• Identificazione delle fonti di rischi relative ai servizi ICT, l'esposizione al rischio da e verso altre entità finanziarie, le minacce informatiche e le vulnerabilità pertinenti per le loro funzioni e i loro patrimoni di
informazioni.
• Valutazione del rischio in caso di modifica di rilievo di infrastruttura di rete e sistema informativo, processi o procedure che incidono sulle funzioni di business.
• Identificazione e documentazione di tutti i processi dipendenti da fornitori terzi di servizi ICT e le relative interconnessioni.
Le entità finanziarie diverse dalle microimprese effettuano periodicamente, e almeno una volta all'anno, una valutazione del rischio specifica per tutti i sistemi di TIC preesistenti, soprattutto prima e dopo la connessione tra tecnologie, applicazioni o sistemi nuovi e vecchi.
In ottica di una corretta identificazione delle minacce esistenti è necessario definire ed implementare presidi integrati alla gestione dei rischi, comprendendo responsabilità afferenti alla I e II linea di difesa.
Le Responsabilità della I linea nei processi di Risk Management*
Valutazione del rischio informatico integrato nei processi di valutazione degli altri rischi aziendali, in conformità al Risk Appetite Framework dell'istituzione. Le I linee di difesa contribuiscono a tale processo con valutazioni specialistiche tramite:
•
La determinazione della probabilità di minacce informatiche, innescate da azioni intenzionali, che colpiscono principalmente la riservatezza e l'integrità dei dati, o innescate da azioni accidentali o eventi naturali che colpiscono principalmente la disponibilità dei sistemi informatici;•
La modellizzazione di specifici scenari di rischio;•
Gli impatti sulle risorse IT causati dal verificarsi di minacce IT & Cyber;•
Le azioni di rimedio ed i controlli IT & Cyber volti a mitigare o la probabilità di minacce o l'impatto sulle Risorse IT e quindi sui servizi di Business.* Per ulteriori dettagli, rif. Pillola 2
** Per ulteriori dettagli, rif. Pillola 6
•
Mappatura di tutti i processi dipendenti da fornitori terzi di servizi di TIC;•
Identificazione delle interconnessioni con i fornitori e gli outsourcer, integrando tutte le minacce e le diverse tipologie di rischio all’interno degli scenari definiti.Third Party Management**
Operational Layer
Identificazione (2/3) CMBD e Configuration Management
I requisiti DORA: Art. 7
• Identificazione di tutti gli account dei sistemi ICT, compresi quelli su siti remoti, le risorse di rete e le attrezzature hardware.
• Definizione di una mappa delle attrezzature fisiche considerate critiche.
• Mappatura della configurazione dei beni ICT, nonché dei collegamenti e delle
interdipendenze
• Manutenzione ed aggiornamento almeno annuale degli inventari ICT.
• Riesame, secondo necessità e almeno una volta all'anno, dell'adeguatezza della
classificazione dei patrimoni di informazioni e di altri documenti eventualmente pertinenti.
•
Mappatura della configurazione dei beni, dei collegamenti e delleinterdipendenze tra i diversi beni a livello di TIC, includendo le attrezzature fisiche considerate critiche;
•
Definizione di attività volte alla gestione del ciclo di vita degli asset IT (applicativi ed infrastrutturali) attraverso la definizione ed aggiornamento di un CMDB e di un Framework di che abiliti al governo centralizzato dei principali elementiarchitetturali (Enterprise Architecture) coerentemente con le Best Practice ed i vincoli normativi vigenti;
•
Identificazione di tutti gli account e relativi accessi ad applicazioni, sistemi ICT (compresi i siti remoti), reti ed attrezzature hardware, sulla base dei processi di Identity Governance.Le previsioni sono declinabili tecnologicamente nell’adozione di un Modello di
Enterprise Architecture, che permette di organizzare, a diversi livelli di astrazione, i vari elementi che compongono le architetture di un’Organizzazione. Risulta
fondamentale anche l’automazione di tali componenti, a garanzia della coerenza con i Layer operativi sottostanti e abilitando ad una mappatura aggiornata e reale degli Item Tecnologici sottostanti i disegni architetturali.
Enterprise Architecture
Custom CMDB CMDB Market Solution
Service Layer
Custom Service Catalog
Service Catalog Market Solution
Architecture Layer
Enterprise Architecture Tool
Identificazione (3/3) Threat Intelligence
I requisiti DORA: Art. 7
• Identificazione delle fonti di rischi relative alle TIC, l'esposizione al rischio da e verso altre entità finanziarie, le minacce
informatiche e le vulnerabilità pertinenti per le loro funzioni e i loro patrimoni di
informazioni.
La valutazione del rischi informatici può essere rafforzata attraverso l’introduzione di specifici processi di Threat Intelligence finalizzati ad individuare le diverse tipologie di minacce, di attori e di vettori d’attacco che potrebbero insistere sulla propria organizzazione e caratterizzare così le possibili cyber threats prima che un potenziale evento dannoso si possa manifestare e divenire critico. Le informazioni, acquisite tanto tramite appositi tool di Threat Intelligence quanto tramite OSINT sul Dark e sul
Deepweb, vengono rielaborate così da fornire input utili alla valorizzazione degli scenari Cyber all’interno delle attività di valutazione dei rischi.
Threat Threat
Actor
Attack Vector
Endpoint Management
Al fine di identificare le potenziali minacce a cui sono esposti gli asset aziendali è consigliabile implementare soluzioni evolute di endpoint management che siano in grado di garantire la visibilità e il controllo real time dell'intero perimetro aziendale.
Tale monitoraggio continuo permette di individuare quei sistemi che presentano
configurazioni errate, vulnerabilità non soggette a processi di patching o altre situazioni che incrementano il rischio di compromissione dell'asset, contestualmente applicando attività di remediation che correggano tali falle.
Prevenzione e Protezione (1/5)
Information Security Governance
È di fondamentale importanza disporre di un Framework documentale di Sicurezza al fine di garantire coerenza e consistenza nelle modalità di gestione dei diversi
processi di Sicurezza erogati dall'organizzazione.
I documenti che compongono tale set informativo, oltre ad essere aggiornati con cadenza periodica, devono essere conformi rispetto alle principali norme di settore.
I requisiti DORA: Art. 8
• Definizione, acquisizione e attuazione di strategie, politiche, procedure, protocolli e strumenti per la sicurezza miranti in particolare a garantire la resilienza, la continuità e la disponibilità dei sistemi ICT, nonché a mantenere standard elevati di sicurezza, riservatezza e integrità dei dati conservati, in uso o in transito.
• Elaborazione e documentazione una politica di sicurezza dell'informazione che definisce le norme per tutelare la
riservatezza, l'integrità e la disponibilità di risorse, dati e patrimoni di informazioni proprie e dei propri clienti.
• Framework organizzativo e metodologico di sicurezza
• Piano strategico di sicurezza strutturato con molteplici iniziative progettuali tattiche e di medio-lungo periodo, che consentono un miglioramento significativo della maturità dei presidi di sicurezza in coerenza con gli obiettivi e le esigenze organizzative di business
• Cybersecurity Maturity Assessment &
Multi-Year Strategy
• Politica di classificazione e protezione delle informazioni
• Piani di continuità operativa e Disaster Recovery
• Manuale di sicurezza per gli utenti
• Politica per la gestione delle chiavi e dei certificati
• Politica per la gestione degli incidenti Cyber
• Procedura per la sicurezza dei sistemi e delle reti
• Procedura per lo sviluppo sicuro del software e delle applicazioni
DORA Principali Modelli, Tecniche e Tecnologie
di Sicurezza
Prevenzione e Protezione (2/5)
Sicurezza dei mezzi di trasferimento di Dati e Corruzione o perdita dei dati
Per garantire la riservatezza e l’integrità dei dati e delle comunicazioni è necessario disporre di procedure e tecnologie adeguate per garantire la sicurezza dei dati «in transit» e «at rest».
I requisiti DORA: Art. 8
• Utilizzo di tecnologie e processi ICT avanzati che:
• Garantiscano la sicurezza dei mezzi di trasferimento delle informazioni;
• Riducano al minimo i rischi di
corruzione o perdita di dati, di accesso non autorizzato nonché di difetti tecnici che possono ostacolare l'attività
commerciale.
• Attuazione di politiche e protocolli riguardanti robusti meccanismi di autenticazione, basati su norme pertinenti e sistemi di controllo dedicati, per prevenire l'accesso alle chiavi crittografiche in base alle quali i dati sono cifrati sulla scorta dei risultati di processi approvati per la classificazione dei dati e la valutazione del rischio.
* ….
Identity, Access and Authentication Management
Il governo delle identità, la gestione degli accessi e delle modalità di
autenticazione è implementata tramite un framework di policy e tecnologie con lo scopo di identificare, autenticare e controllare l’accesso delle risorse.
• Garantire l’integrità, la disponibilità e la riservatezza dei dati «at rest» e «in transit»
• Data Loss Prevention (DLP)
• File Integrity Monitoring (FIM)
• Soluzioni di backup
• Soluzioni per il mascheramento dei dati
• Tecniche/algoritmi di cifratura (hashing, ecc.)
DORA Principali Modelli, Tecniche e Tecnologie
di Sicurezza
• Accesso fisico ed accesso virtuale
• Diritti di accesso per ruoli e funzioni
• Meccanismi di autenticazione
• Modelli, processi, ruoli e Tecnologie di Identity Governance
• Processi e Tecnologie Access Management (IAM)
• Role-based control access (Least Privilege)
• Privileged Access Management (PAM)
• Meccanismi di Strong Authentication (MFA)
DORA Principali Modelli, Tecniche e Tecnologie
di Sicurezza
Prevenzione e Protezione (3/5)
I requisiti DORA: Art. 8
• Solida gestione della rete e delle
infrastrutture impiegando tecniche, metodi e protocolli adeguati, tra cui l'applicazione di meccanismi automatizzati, per isolare i patrimoni di informazioni colpiti in caso di attacchi.
• Progettazione dell'infrastruttura di connessione di rete in modo che sia possibile isolarla istantaneamente e ne assicurano la compartimentazione e la segmentazione, al fine di ridurre al minimo e prevenire il contagio, soprattutto per i
processi finanziari interconnessi.
* ….
Gestione della Rete e delle Infrastrutture
Le reti devono essere progettate al fine di garantire un adeguato livello di protezione delle comunicazioni e preservare quindi riservatezza, integrità e disponibilità delle informazioni in transito. La progettazione della sicurezza di una rete informatica deve considerare diversi aspetti, prima fra tutte la segmentazione della stessa in diverse porzioni (o segmenti) in modo tale da prevenire l’accesso non autorizzato alle aree e risorse critiche.
• Meccanismi automatizzati di isolamento delle risorse ICT
• Segmentazione della rete
• Firewall
• Demilitarized Zone (DMZ)
• Zero Trust Architecture
• Tecnologie di micro-segmentazione della rete
• Network-based IPS (Intrusion Prevention System)
DORA Principali Modelli, Tecniche e Tecnologie
di Sicurezza
Prevenzione e Protezione (4/5)
I requisiti DORA: Art. 8
• Politiche, procedure e controlli per la
gestione delle modifiche delle TIC, comprese le modifiche apportate a componenti
software, hardware e firmware e le modifiche del sistema o della sicurezza, che adottino un approccio basato sulla valutazione del rischio e siano parte integrante del processo complessivo di gestione delle modifiche dell'entità finanziaria, in modo che tutte le modifiche apportate ai sistemi di TIC siano registrate, testate, valutate, approvate, attuate e verificate in maniera controllata.
• Politiche idonee ed esaustive in materia di correzioni ed aggiornamenti.
• Processo di gestione delle modifiche ICT approvato da linee di gestione adeguate che comprenda protocolli specifici per le
modifiche di emergenza
* ….
Change Management
E' necessario disporre di un processo atto a garantire una gestione repentina ed
efficace di tutti i cambiamenti quali modifiche, sostituzioni o adeguamenti tecnologici in ambito applicativo e infrastrutturale, in particolar modo nell’ambiente di produzione, tramite l’utilizzo di metodi e procedure adeguati, al fine di ridurre i rischi e minimizzare l'impatto di possibili incidenti che possono pregiudicare il corretto funzionamento dei servizi ICT.
Focus DORA Principali Tecniche / tecnologie di Sicurezza
• Gestione delle modifiche a componenti software, hardware, firmware e al sistema
• Politiche per correzioni e aggiornamenti
• Test management framework
• Modifiche di emergenza
• Playbook di change management
• S-SDLC (Secure Software Development Life Cycle)
• Risk Assessment sulle modifiche più rilevanti
• Politiche specifiche per gli aggiornamenti e il patching
• Modalità specifiche dedicate alla gestione delle modifiche in emergenza (ECAB, escalation process e ruoli e responsabilità,...)
DORA Principali Modelli, Tecniche e Tecnologie ICT
Prevenzione e Protezione (5/5)
* ….
Infrastructure and Operational Resilience
Al fine di garantire la protezione degli asset e la continuità dei servizi più critici, il
Business dell’organizzazione ed i Clienti, risulta fondamentale la maturità della Resilience Infrastrutturale e Applicativa.
La conduzione di un programma di Resilience abilita il comprendere il possibile impatto sui sistemi a rischio a seguito di blocchi
operativi, ridurre i tempi di fermo, soddisfare requisiti legali e normativi, garantire il
rispetto degli obiettivi di Business e gestire i piani del personale aziendale.
• Ricognizione dei componenti essenziali delle mission critical
• Sviluppo di processi, funzioni e capacità
• Correlazione e risoluzione incidenti
• Test di performance/ carico
• Incremento SDLC e standard qualitativi
• Identificazione dei punti deboli di applicazioni, moduli o della catena end-to-end
• Sviluppo roadmap strategica per implementare il modello operativo target
• Miglioramento di dashboard di monitoraggio, reportistica e qualità complessiva del software
• Processo di Incident management, AI e analisi di tendenza per la prevenzione delle issue.
DORA Principali Modelli, Tecniche e Tecnologie ICT
Risposta e
Ripristino (1/3)
I requisiti DORA: Art. 10
Politica di continuità operativa ICT attuata tramite accordi, piani, procedure e meccanismi appositi, appropriati e documentati, allo scopo di:
• registrare tutti gli incidenti;
• garantire la continuità delle funzioni critiche dell'entità finanziaria;
• rispondere in maniera rapida, appropriata ed efficace e trovare una soluzione a tutti gli incidenti, in modo da limitare i danni e privilegiare la ripresa delle attività e le azioni di ripristino;
• attivare piani dedicati che prevedano tecnologie, processi e misure di contenimento idonei a ciascun tipo di incidente, nonché procedure mirate di risposta e ripristino stabilite;
• stimare in via preliminare impatti, danni e perdite;
• stabilire azioni di comunicazione e gestione delle crisi verso il personale interno
interessato e ai portatori di interessi esterni.
* ….
Business Continuity Management
La Business Continuity costituisce l’insieme di capacità di natura strategica e operativa messe in atto da un’Azienda per far fronte agli incidenti e interruzioni dell’operatività, in modo tale da garantire la continuità degli elementi critici del
business (processi, persone, siti, sistemi informativi, servizi infrastrutturali, documenti) durante una situazione di emergenza o il ripristino dello stesso a livelli accettabili e predefiniti.
Definizione di una strategia e politica di Continuità Operativa in ambito ICT, integrando la gestione degli incidenti ICT rilevanti, gli scenari di rischio cyber e di disservizi causati da eventi ICT
Evoluzione delle metriche di valutazione previste dalla metodologia BIA definendo soglie di tolleranza specifiche per ogni scenario definito, integrate con le logiche di Risk Management
Preparazione, mantenimento e revisione periodica di appropriati Piani di Continuità Operativa ICT, integrando i nuovi scenari e le funzioni critiche esternalizzate
Esecuzione di test di Continuità Operativa basati su scenari di attacchi informatici e sulla capacità di ridondanza e backup
Definizione del processo di Event & Crisis Management, comprensivo delle procedure di escalation, integrato con un piano e procedure di comunicazione efficaci (inclusa la clientela finale)
Segnalazione alle Autorità competenti di copia dei risultati dei test di Continuità Operativa in ambito ICT, attuabile attraverso attività di rendicontazione o tramite dei flussi periodici "automatici"
Risposta e
Ripristino (2/3)
I requisiti DORA: Art. 11
• Al fine di assicurare che i sistemi di TIC siano ripristinati riducendo al minimo il periodo di inattività e limitando la
perturbazione, all'interno del proprio quadro per la gestione dei rischi ICT le entità
finanziarie elaborano la politica di backup che precisi l'ampiezza dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità delle informazioni o alla sensibilità dei dati e i metodi di ripristino.
• I sistemi di backup dovrebbero iniziare il trattamento senza indebiti ritardi, a meno che l'inizio di quest'attività non metta a repentaglio la sicurezza della rete e dei sistemi informativi o l'integrità o la
riservatezza dei dati. Le entità finanziarie mantengono […] almeno un sito secondario di trattamento dati dotato di risorse, capacità, funzionalità e personale sufficienti e adeguati a soddisfare le esigenze commerciali.
* ….
Disaster Recovery
La definizione della corretta architettura di Disaster Recovery mira a declinare sia la gestione della ridondanza secondo le esigenze dei Clienti, bilanciando costi e benefici delle modalità utilizzate per la replica dei dati dallo storage primario allo storage secondario e le modalità di attivazione del backup in caso di evento
disastroso, puntando alla riduzione massima del periodo di inattività e al ripristino del Servizio, in un’ottica di resilienza digitale e di assicurazione del rispetto degli SLA anche in scenari estremi.
Disaster Recovery Architecture Methodology
.
Cold Site
Storage secondario in una seconda sede, inattivo tranne nei casi in cui si attivi. I tempi di recupero sono più lenti rispetto alle altre modalità e richiedono, in media, fino ad una settimana per l’attivazione.
Hot Site
Siti sempre attivi che dispongono di copie aggiornate dei dati, con costi elevati di manutenzione. Lo
spostamento è senza soluzione di continuità.
Warm Site
Siti attivi con replica dei dati, ma con tempi di risposta maggiori rispetto agli Hot Site. Rappresentano una soluzione con costi inferiori agli Hot Site, ma maggiori dei Cold Site.
DRaas
Infrastruttura cloud offerta con
modalità abbonamento o pay-per-use.
Presente il rischio che l’evento
disastroso abbia colpito anche i Data Centre del Vendor.
Risposta e
Ripristino (3/3)
I requisiti DORA: Art. 11
• Al fine di assicurare che i sistemi di TIC siano ripristinati riducendo al minimo il periodo di inattività e limitando la
perturbazione, all'interno del proprio quadro per la gestione dei rischi ICT le entità
finanziarie elaborano la politica di backup che precisi l'ampiezza dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità delle informazioni o alla sensibilità dei dati e i metodi di ripristino.
• I sistemi di backup dovrebbero iniziare il trattamento senza indebiti ritardi, a meno che l'inizio di quest'attività non metta a
repentaglio la sicurezza della rete e dei sistemi informativi o l'integrità o la
riservatezza dei dati. Le entità finanziarie mantengono […] almeno un sito secondario di trattamento dati dotato di risorse, capacità, funzionalità e personale sufficienti e adeguati a soddisfare le esigenze commerciali.
* ….
Approccio end-to-end alla gestione dei disservizi ICT
Analisi dell’Architettura Applicativa e Infrastrutturale, individuando le principali interdipendenze, il livello di criticità, i principali flussi informativi ed il loro grado di resilienza rispetto ai possibili scenari di disservizio ICT (inclusi gli scenari di Disaster Recovery)
Supporto alla definizione dei Test Case degli Applicativi, facendo un mapping delle principali funzionalità, delle tempistiche e delle necessità tecniche per lo
svolgimento
Supporto alla definizione dei Test Case Infrastrutturali, individuando priorità di ripartenza e legami al fine di garantire il corretto riavvio delle macchine e la ripartenza delle Applicazioni
Definizione dell’Architettura di Disaster Recovery e conduzione e
rendicontazione dei Test di Disaster Recovery, anche con modalità remota, inclusivi anche della partecipazione degli Utenti di Business
Definizione di specifici test case a valle di significative evoluzioni architetturali, quali importanti attività di Outsourcing IT/ fusioni
Creazione di Dashboard mirate al monitoraggio real-time dell’evento di Disastro, individuando gli impatti di Business (e.g. SLA, penali contrattuali), regolamentari (e.g. necessità di segnalazioni PSD2, GDPR) e reputazionali
Definizione di un Framework per la gestione dello scenario «No People»,
supportando nell’individuazione delle modalità di bilanciamento tra lavoro onsite e SmartWorking
1
2
3
4
5
6
7
© 2021 PricewaterhouseCoopers Business Services Srl. All rights reserved. PwC refers to PricewaterhouseCoopers Business Services Srl and may sometimes refer to the PwC network. Each member firm is a separate legal en tity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.
Contatti
Paolo Carcano Partner
+39 334 6896335
paolo.carcano@pwc.com
Francesco Ferrari Partner
+39 335 7543263
francesco.ferrari@pwc.com
Alessandra Giannunzio Director
+39 340 8225230
alessandra.giannunzio@pwc.com