Integrare gli standard tecnici del Regolamento DORA nelle buone pratiche di IT risk management aziendale significa affiancare alla disciplina tradizionale strumenti e metodi che fanno capo alla cyber resilience e alla gestione degli incidenti informatici. Si tratta di un cambiamento radicale non solo per le entità finanziarie, ma anche e soprattutto per le organizzazioni appartenenti ad altri settori che operano a vario titolo lungo la catena del valore del Finance: il DORA - Digital Operational Resilience Act infatti, mira a massimizzare la resilienza operativa dell'intera filiera rispetto alle tecnologie dell'informazione e della comunicazione (TIC) in modo trasversale, e per questo impone una serie di vincoli in cinque aree di attività destinate a diventare sempre più interconnesse oltre i classici perimetri aziendali:
- Gestione dei rischi TIC e cyber.
- Gestione degli incidenti TIC e cyber.
- Test di resilienza operativa digitale.
- Gestione dei rischi TIC delle terze parti.
- Condivisione delle informazioni.
Un nuovo approccio alle buone pratiche di IT risk management: cosa implica DORA
In quest'ottica i processi di IT risk management andranno rimodulati in funzione di una strategia organica e condivisa, che a sua volta fungerà da cornice per elaborare un approccio che, pur nella sua peculiarità, dovrà essere conforme al Regolamento DORA. Il framework in effetti non impone l'adozione di tool specifici al tema della resilienza informatica, e lascia alle singole entità ampia discrezionalità per maturare una governance coerente con la natura e con i modelli di business dell'azienda e della filiera in cui è inserita.
Risulta però evidente che una mappatura puntuale degli eventi che ruotano intorno agli asset digitali – interni o esterni all'organizzazione che siano – implica un maggiore rigore gestionale e impone l'assegnazione di nuove responsabilità non solo ai decisori dell'IT risk management, ma a tutte le figure potenzialmente coinvolte nei casi descritti dal Regolamento DORA. Per affrontare la complessità diventa imprescindibile l'implementazione di una piattaforma integrata che consenta a tutti gli stakeholder di condividere insight di valore, facendo convergere dati e informazioni su un unico punto d'attenzione lungo ciascuna delle fasi che compongono il percorso di conformità.
Raggiungere la conformità al Regolamento DORA grazie a una soluzione modulare
È a partire da questa considerazione che Augeos, forte di un'esperienza pluridecennale nella creazione di soluzioni di risk management & compliance per il settore finanziario, ha dato vita a un'offerta ad hoc, imperniata su due componenti: una di natura tecnologica, l'altra di respiro consulenziale.
Il software GRC DORA, tanto per cominciare, è una piattaforma modulare progettata per supportare tutti gli attori del comparto Finance/Insurance (compresi i fornitori terze parti) nella creazione di una roadmap capace di coniugare coerenza e gradualità. Il segreto è proprio nell'architettura a moduli, ciascuno con funzionalità specifiche.
Il modulo di GAP Analysis e Pre-assessment, per esempio, aiuta le organizzazioni a identificare le aree critiche che necessitano di miglioramento. Tramite un questionario integrato i responsabili dei processi impattati dal Regolamento DORA possono raccogliere informazioni precise e personalizzate, indispensabili per comprendere il livello di compliance rispetto ai requisiti del framework. Sarà così possibile identificare le lacune rispetto ai requisiti normativi, effettuare analisi preliminari per una pianificazione strategica efficace ed elaborare questionari personalizzati per un feedback mirato e dettagliato.
L'asset management, come detto, è fondamentale per la conformità a DORA. Per questo il modulo di Mappatura e raccolta degli asset consente di raccogliere tutte le risorse interne ed esternalizzate, creando un Registro degli accordi di esternalizzazione.
La gestione dei rischi associati alla filiera delle tecnologie dell'informazione e della comunicazione è invece affidata al modulo di Valutazione e Classificazione dei Rischi TIC, che permette di identificare, classificare e gestire i rischi in modo sistemico.
Il tema cruciale dei rapporti con i fornitori e con le terze parti, poi, è affidato al modulo Esternalizzazioni, che semplifica la valutazione e la gestione dei rischi associati ai contratti di subappalto e assicurare la conformità al Regolamento DORA.
Ultima, ma non per importanza, l'orchestrazione della fase di segnalazione degli incidenti. È in effetti una delle principali novità introdotte dal framework, che attraverso standard tecnici RTS e ITS punta a omogeneizzare in tutta Europa il processo di classificazione e segnalazione degli incidenti informatici. Le aziende devono così adottare un impianto tecnico preciso e dettagliato con criteri di classificazione e soglie di rilevanza specifiche. Anche in questo caso, la piattaforma GRC DORA integra un modulo dedicato, che consente di riorganizzare lo schema di segnalazione degli incidenti non solo garantendo la conformità alle linee guida, ma anche predisponendo analisi di secondo livello (root cause) per prevenire e mitigare eventuali incidenti futuri.
Il valore di un partner come Augeos: il supporto consulenziale che integra l'offerta tecnologica
Il secondo pilastro dell'offerta di Augeos si basa sulle competenze. Siamo in grado di fornire ai clienti tutto il supporto consulenziale, oltre che tecnologico, non solo per intraprendere e perfezionare nel tempo il percorso di conformità rispetto ai dettami del Regolamento DORA – con la corretta applicazione dei Regulatory Technical Standards (RTS) e Implementing Technical Standards (ITS) – ma anche per migliorare la postura complessiva dell'organizzazione sul fronte dell'IT risk management e della cyber resilience.
Software e competenze sono le fondamenta su cui costruire una solida cultura della sicurezza informatica. Solo integrando strumenti tecnologici avanzati con risorse umane altamente qualificate possiamo garantire la protezione dei dati, rispettare le normative e creare una filiera in grado di affrontare le sfide sempre più complesse del panorama digitale.
Topic: IT Risk Management
Post Correlati
