Lo scorso 17 gennaio è entrato in vigore DORA, una normativa dell’Unione Europea che stabilisce un framework vincolante e completo di gestione del rischio ICT per il settore finanziario, dando ulteriore spinta alla ricerca di conformità e resilienza operativa da parte del settore finanziario. Il debito di sicurezza del software, però, rimane un ostacolo significativo, oltre che una minaccia insidiosa. Il report “State of Software Security 2024” di Veracode rivela che il 76% delle organizzazioni finanziarie presenta vulnerabilità irrisolte, un pericolo che rischia di compromettere gli sforzi di adeguamento a DORA e di causare danni economici ingenti. Ora più che mai, affrontare questo debito tecnico è cruciale per evitare future sanzioni e garantire la stabilità del sistema.
Nell’articolo che condividiamo, Massimo Tripodi, Country Manager Italy di Veracode, approfondisce il legame cruciale tra DORA e la sicurezza del software.
Buona lettura!
DORA: non può esserci compliance senza resilienza del software
Con l’entrata in vigore del Digital Operational Resilience Act (DORA), il settore finanziario è entrato in una nuova era che mette ancor più in primo piano la necessità di garantire una resilienza operativa. Il cuore di questa normativa è costituito da una componente critica: la sicurezza del software. Senza disporre di una base software solida e sicura, la vera resilienza operativa digitale rimane un obiettivo irraggiungibile. Come evidenzia il nostro recente report “State of Software Security 2024”, il debito di sicurezza rappresenta nel settore finanziario, un problema particolarmente grave, presente nel 76% delle organizzazioni – e che per il 50% raggiunge addirittura livelli critici – falle che non sono state risolte per oltre un anno.
Con il costo medio di una violazione in questo settore stimato in 6,08 milioni di dollari, adottare misure di sicurezza proattive è fondamentale. Anche da queste considerazioni è nata la nuova normativa DORA. I cinque pilastri che la caratterizzano sono indissolubilmente legati alla software security: nello specifico alla gestione del rischio, gestione del rischio di terze parti, segnalazione degli incidenti, condivisione delle informazioni e test di resilienza operativa digitale. Ma una gestione efficace del rischio richiede una profonda comprensione delle vulnerabilità del software.
La nostra ricerca rivela che il 40% delle applicazioni del settore finanziario presenta debiti di sicurezza e solo il 5,5% è privo di falle. Questi due dati confermano la necessità di adottare solidi programmi di test di sicurezza delle applicazioni. Altrettanto cruciale è la gestione dei rischi di terze parti, poiché la maggior parte dei debiti di sicurezza critici (78,6%) ha origine da fornitori esterni. Di conseguenza, le organizzazioni devono assicurarsi che i loro fornitori aderiscano a standard di sicurezza rigorosi. Anche la segnalazione tempestiva e accurata degli incidenti è cruciale e richiede sistemi in grado di rilevare e registrare incidenti di sicurezza legati al software. La collaborazione e lo scambio di informazioni sono fondamentali per la difesa collettiva e le organizzazioni devono partecipare attivamente alle iniziative di condivisione delle informazioni. Infine, una rigorosa e regolare verifica dei software è altrettanto indispensabile per convalidare i controlli di sicurezza e assicurare una resilienza continua.
DORA e il panorama finanziario italiano
Il settore finanziario italiano non fa certo eccezione, e si trova ad affrontare un panorama di minacce in crescita. Dati recenti provenienti dalla Banca D’Italia indicano che le organizzazioni finanziarie italiane hanno subito una media di 1.906 cyberattacchi ogni settimana, cosa che rende il finance il sesto settore più attaccato del Bel Paese. Il report sottolinea una tendenza preoccupante: gli incidenti di cybersicurezza nel settore finanziario sono raddoppiati tra il 2020 e il 2023, con i fornitori di terze parti coinvolti a vario titolo in una parte significativa di questi incidenti e vulnerabilità.
Questi numeri ribadiscono l’urgenza per le istituzioni finanziarie italiane di dare priorità alla software security, di rafforzare la gestione dei rischi di terze parti e di potenziare le capacità di risposta agli incidenti, così da allinearsi ai requisiti della DORA.
Raggiungere la compliance a DORA attraverso le soluzioni di software security
Per affrontare le complessità legate ai requisiti di compliance di DORA è necessario un approccio proattivo e strategico alla sicurezza del software. Le organizzazioni finanziarie devono sfruttare una serie di soluzioni efficaci per definire una solida base di sicurezza e raggiungere una vera resilienza operativa. La chiave è l’integrazione di test di sicurezza automatizzati durante l’intero ciclo di vita dello sviluppo del software (SDLC). Questo approccio continuo alla sicurezza consente di rilevare e correggere tempestivamente le vulnerabilità, riducendo al minimo il rischio che le falle sfruttabili possano raggiungere i sistemi di produzione. Inoltre, gli strumenti di analisi della composizione del software forniscono una visibilità cruciale sui componenti open source delle applicazioni, consentendo una gestione efficace del rischio legato alle terze parti e garantendo la conformità ai requisiti di licenza.
Per rafforzare ulteriormente la posizione di sicurezza, l’utilizzo di test di violazione che simulano attacchi reali è molto utile per individuare le vulnerabilità che potrebbero non essere rilevate dalle scansioni automatiche. In questo modo, si ottiene una valutazione completa delle difese di un’organizzazione e si ottengono preziose indicazioni per il miglioramento. In aggiunta, le soluzioni di remediation basate sull’intelligenza artificiale sfruttano la prioritizzazione intelligente delle vulnerabilità e forniscono agli sviluppatori una guida concreta, accelerando il processo di remediation e riducendo l’accumulo di debiti di sicurezza. Grazie a DORA, le istituzioni finanziarie possono affrontare con fiducia le sfide di sicurezza del software moderne e progettare un futuro più resiliente e sicuro.
Non solo compliance, ma un obiettivo di sicurezza
Il rispetto di DORA non deve essere visto come un ostacolo normativo, ma piuttosto un imperativo strategico per costruire un futuro finanziario più sicuro e resiliente. L’evoluzione del panorama delle minacce, particolarmente evidente nel settore finanziario italiano, che vede un costante aumento degli attacchi informatici e un crescente affidamento a fornitori terzi, richiede un approccio proattivo e completo alla software security. Adottando soluzioni affidabili per i test di sicurezza automatizzati, l’analisi della composizione del software, i test di penetrazione e la correzione basata sull’intelligenza artificiale, le organizzazioni possono affrontare efficacemente le sfide di software security imposte da DORA. Questo non solo garantisce la conformità, ma rafforza anche la loro posizione di sicurezza complessiva, protegge i loro clienti e contribuisce a un ecosistema finanziario più solido e resiliente. Per le istituzioni finanziarie italiane, affrontare queste sfide è particolarmente cruciale: non solo garantisce la conformità, ma rafforza anche la loro posizione di sicurezza complessiva, protegge i clienti e contribuisce a un ecosistema finanziario più solido e resiliente.
di Massimo Tripodi, Country Manager Italy di Veracode
