Con la normativa DORA il settore finanziario affronta un panorama di minacce in crescita. Secondo Massimo Tripodi, Country Manager Italy, Veracode, serve un approccio proattivo e strategico alla sicurezza del software.
Al centro la sicurezza del software
Con l’entrata in vigore del Digital Operational Resilience Act (DORA), il settore finanziario è entrato in una nuova era che mette ancor più in primo piano la necessità di garantire una resilienza operativa. Il cuore di questa normativa è costituito da una componente critica: la sicurezza del software. Senza disporre di una base software solida e sicura, la vera resilienza operativa digitale rimane un obiettivo irraggiungibile. Come evidenzia il nostro recente report “State of Software Security 2024” il debito di sicurezza rappresenta nel settore finanziario, un problema particolarmente grave. Un problema presente nel 76% delle organizzazioni – e che per il 50% raggiunge addirittura livelli critici – falle che non sono state risolte per oltre un anno.
I pilastri sui quali si basa la normativa DORA
Con il costo medio di una violazione in questo settore stimato in 6,08 milioni di dollari, adottare misure di sicurezza proattive è fondamentale. Anche da queste considerazioni è nata la nuova normativa DORA. I cinque pilastri che la caratterizzano sono indissolubilmente legati alla software security. Nello specifico alla gestione del rischio, gestione del rischio di terze parti, segnalazione degli incidenti, condivisione delle informazioni e test di resilienza operativa digitale. Ma una gestione efficace del rischio richiede una profonda comprensione delle vulnerabilità del software. La nostra ricerca rivela che il 40% delle applicazioni del settore finanziario presenta debiti di sicurezza e solo il 5,5% è privo di falle. Questi due dati confermano la necessità di adottare solidi programmi di test di sicurezza delle applicazioni.
Anche i fornitori devono fare la loro parte
Altrettanto cruciale è la gestione dei rischi di terze parti, poiché la maggior parte dei debiti di sicurezza critici (78,6%) ha origine da fornitori esterni. Di conseguenza, le organizzazioni devono assicurarsi che i loro fornitori aderiscano a standard di sicurezza rigorosi. Anche la segnalazione tempestiva e accurata degli incidenti è cruciale e richiede sistemi in grado di rilevare e registrare incidenti di sicurezza legati al software. La collaborazione e lo scambio di informazioni sono fondamentali per la difesa collettiva e le organizzazioni devono partecipare attivamente alle iniziative di condivisione delle informazioni. Infine, una rigorosa e regolare verifica dei software è altrettanto indispensabile per convalidare i controlli di sicurezza e assicurare una resilienza continua.
La normativa DORA e il panorama finanziario italiano
Il settore finanziario italiano non fa certo eccezione, e si trova ad affrontare un panorama di minacce in crescita. Dati recenti provenienti dalla Banca D’Italia indicano che le organizzazioni finanziarie italiane hanno subito una media di 1.906 cyberattacchi ogni settimana. Cosa che rende il finance il sesto settore più attaccato del Bel Paese. Il report sottolinea una tendenza preoccupante: gli incidenti di cybersicurezza nel settore finanziario sono raddoppiati tra il 2020 e il 2023. Con i fornitori di terze parti coinvolti a vario titolo in una parte significativa di questi incidenti e vulnerabilità. Numeri che ribadiscono l’urgenza per le istituzioni finanziarie italiane di dare priorità alla software security, rafforzare la gestione dei rischi di terze parti, potenziare le capacità di risposta agli incidenti, così da allinearsi ai requisiti della DORA.
Raggiungere la compliance a DORA attraverso le soluzioni di software security
Per affrontare le complessità legate ai requisiti di compliance di DORA è necessario un approccio proattivo e strategico alla sicurezza del software. Le organizzazioni finanziarie devono sfruttare una serie di soluzioni efficaci per definire una solida base di sicurezza e raggiungere una vera resilienza operativa. La chiave è l’integrazione di test di sicurezza automatizzati durante l’intero ciclo di vita dello sviluppo del software (SDLC). Questo approccio continuo alla sicurezza consente di rilevare e correggere tempestivamente le vulnerabilità. Riducendo così al minimo il rischio che le falle sfruttabili possano raggiungere i sistemi di produzione. Inoltre, gli strumenti di analisi della composizione del software forniscono una visibilità cruciale sui componenti open source delle applicazioni, consentendo una gestione efficace del rischio legato alle terze parti e garantendo la conformità ai requisiti di licenza.
Un futuro più resiliente e sicuro
Per rafforzare ulteriormente la posizione di sicurezza, l’utilizzo di test di violazione che simulano attacchi reali è molto utile. Infatti permette di individuare le vulnerabilità che potrebbero non essere rilevate dalle scansioni automatiche. In questo modo, si ottiene una valutazione completa delle difese di un’organizzazione e si ottengono preziose indicazioni per il miglioramento. In aggiunta, le soluzioni di remediation basate sull’intelligenza artificiale sfruttano la prioritizzazione intelligente delle vulnerabilità e forniscono agli sviluppatori una guida concreta. Accelerando in questo modo il processo di remediation e riducendo l’accumulo di debiti di sicurezza. Grazie a DORA, le istituzioni finanziarie possono affrontare con fiducia le sfide di sicurezza del software moderne e progettare un futuro più resiliente e sicuro.
Un nuovo approccio alla software security
Il rispetto di DORA non deve essere visto come un ostacolo normativo, ma piuttosto un imperativo strategico per costruire un futuro finanziario più sicuro e resiliente. L’evoluzione del panorama delle minacce è particolarmente evidente nel settore finanziario italiano, con un costante aumento degli attacchi informatici e un crescente affidamento a fornitori terzi. Questo richiede quindi un approccio proattivo e completo alla software security. Adottando soluzioni affidabili per i test di sicurezza automatizzati, l’analisi della composizione del software, i test di penetrazione e la correzione basata sull’intelligenza artificiale, le organizzazioni possono affrontare efficacemente le sfide di software security imposte da DORA.
Con la normativa DORA non solo compliance
Questo non solo garantisce la conformità, ma rafforza anche la loro posizione di sicurezza complessiva, protegge i loro clienti e contribuisce a un ecosistema finanziario più solido e resiliente. Per le istituzioni finanziarie italiane, affrontare queste sfide è particolarmente cruciale. Perché non solo garantisce la conformità, ma rafforza anche la loro posizione di sicurezza complessiva, protegge i clienti e contribuisce a un ecosistema finanziario più solido e resiliente.
