BusinessCommunity.it
Home page BusinessCommunity.it Cerca Sommario di questo numero Arretrati News Abbonamenti
BusinessCommunity.it

17/11/2021

digital

Nel 2022 arriva DORA: il settore finanziario saprà farsi trovare pronto?

Richard Harmon (Red Hat): la nuova legislazione UE introduce regole severe sull'uso della tecnologia. Le aziende dovrebbero abbracciarla per favorire l'innovazione

Sin dalla crisi finanziaria globale del 2008, governi e autorità normative si sono impegnati a rafforzare in termini di integrità e resilienza i sistemi bancari e finanziari.
Il regolamento DORA (Digital Operational Resilience Act) rappresenta l'ultimo sforzo in questa direzione. Idealmente approvato da marzo 2022 (ma è di settembre 2020), imporrà alle organizzazioni finanziarie di garantire la resilienza di tutte le tecnologie nello stack, facendo della responsabilità un principio chiave: nella sostanza, la nuova regola dice che se si possiede qualcosa, allora se ne è anche responsabili, portando anche i sistemi e le applicazioni di terze parti nell'area di responsabilità di un'organizzazione. E non saranno solo le grandi banche a essere sotto i riflettori: DORA si applicherà a tutte le imprese finanziarie, dai fornitori di credito e pagamento alle società di investimento e assicurazione, dagli scambi di criptovalute fino alle piattaforme di crowdfunding.

In tutti i paesi del mondo, i regolatori stanno seguendo il processo di approvazione del regolamento, pronti ad accoglierlo.
DORA (e qualsiasi cosa possa venire dopo) arriva in un momento in cui molte istituzioni stanno aggiungendo complessità, e quindi rischio, alla loro supply chain tecnologica.
Gli innegabili benefici del cloud stanno infatti spingendo, con tutta probabilità, un numero maggiore di workload mission critical verso quell'ambiente, ma dal momento che questi carichi di lavoro necessitano di considerazioni di sicurezza più profonde, si cercano fornitori che possano proteggere questi sistemi fondamentali, così come partner che possano modernizzare le piattaforme e le applicazioni legacy e alimentare le innovazioni digitali che permettono ai clienti di battere la concorrenza.
Il risultato è un settore finanziario iperconnesso, con una superficie di attacco più ampia e potenzialmente più vulnerabile per le istituzioni. Le organizzazioni oggi accedono a una vasta gamma di dati e servizi tecnologici di terze parti da server e data center pubblici.
E se un'organizzazione è vulnerabile può impattare tutte le altre.

Non a caso la Federal Reserve stima che un attacco a una qualsiasi delle cinque banche più attive negli Stati Uniti potrebbe avere un impatto sul 38% della rete finanziaria nazionale. Addirittura, il conseguente accaparramento di contanti e la rinuncia ai pagamenti potrebbero superare di 2,5 volte il PIL giornaliero.
Nel 2020, il settore finanziario globale ha riportato 1.188 incidenti di sicurezza e violazioni di dati, circa il 3,4% del totale, e le vittime comprendono alcuni dei più noti nomi della finanza. La violazione di Equifax del 2017 ha visto gli hacker rubare i numeri delle carte di credito di oltre 209.000 clienti, costando all'azienda fino a 700 milioni di dollari in multe e i posti di lavoro di CEO, CIO e CSO; un attacco del 2019 a Capital One ha portato alla compromissione di 80.000 conti bancari negli Stati Uniti e alla fuga di un milione di numeri di assicurazione sociale canadesi, mentre, più di recente, 613 milioni di dollari in token di cybercrime sono stati rubati dalla piattaforma Poly Network.
Le minacce stanno diventando più sofisticate. Il cybercrime si è professionalizzato e sono proprio le nazioni a sponsorizzare alcune delle operazioni più efficaci: con vaste risorse e un'apparente impunità attaccare interi settori e persino altri paesi è alla loro portata.


Non c'è quindi da stupirsi se le autorità stanno flettendo i muscoli, e le istituzioni dovrebbero esserne soddisfatte dato che solo normative come il DORA possono garantire le condizioni necessarie per permettere all'innovazione e alla digitalizzazione di fiorire.
Lo scenario attuale indica la necessità di un approccio più comunitario, con cui rendere la resilienza e la sicurezza uno sforzo di squadra, piuttosto che una ricerca solitaria poiché i sistemi finanziari non esistono più in isolamento. La soluzione "single pane of glass", diventata pratica consolidata in ambito SecOps, deve ora essere l'obiettivo per il settore nel suo complesso.
Questo spirito collaborativo è esattamente ciò che noi di Red Hat stiamo cercando di promuovere. Lavorando con alcuni data proxy e organizzazioni partner, stiamo mappando come il settore finanziario sia tecnologicamente collegato ed eseguendo simulazioni per mostrare quali risvolti un guasto di sistema o un attacco potrebbero avere. L'obiettivo è quello di capire quali tipi di infrastrutture e applicazioni finanziarie critiche siano le più colpite dalla strategia di implementazione del cloud di una banca, prevedere i punti di innesco del contagio che potrebbero produrre eventi di rischio sistemico e quantificare gli impatti sull'economia, generando insight di cui regolatori, banche e cloud provider potranno beneficiare allo stesso modo.


Ciononostante, avendo passato quasi due decenni a lavorare con le istituzioni finanziarie, so quale cambiamento culturale possa rappresentare la collaborazione aperta, per cui è bene considerare anche come le organizzazioni possano costruire la resilienza dall'interno.
Intuitivamente puntare tutto su un cloud hyperscaler può sembrare l'opzione migliore.
Eppure, se la semplicità di un fornitore e di una suite di sistemi potrebbe dare l'idea di avere meno punti di vulnerabilità, la realtà non è proprio così. Qualsiasi investitore vi direbbe che la dedizione a un solo elemento può lasciarvi esposti ai suoi capricci ed errori e questo dovrebbe preoccuparci, dal momento che il mercato è altamente concentrato, al punto che un sondaggio del 2020 della Banca d'Inghilterra ha riscontrato che quasi tre quarti delle banche, e una percentuale ancora maggiore di assicurazioni, sono serviti dagli stessi due fornitori di infrastruttura cloud.
Il dato, tuttavia, sembra al tempo stesso incoerente con quanto riportato da Red Hat nel suo report The State of Enterprise Open Source secondo cui il 98% delle aziende finanziarie dichiarano di seguire una strategia open source attraverso il driver della containerizzazione.

Non solo, lo stesso rapporto ha evidenziato che il 75% afferma di avere intenzione di aumentare l'uso di container nei prossimi 12 mesi per diventare più sicuri e resilienti. Una piattaforma di container può fornire gli standard e la supervisione per operare con più fornitori di cloud, così come la portabilità applicativa per lasciarsi massima libertà nelle scelte future.
In conclusione, è necessario integrare resilienza e innovazione, piuttosto che vederle come forze opposte e adottare un approccio genuinamente olistico, dove la sicurezza fa parte del DNA dell'ecosistema aziendale, e non solamente un'aggiunta necessaria.

Richard Harmon, VP, Global Financial Services Industry, Red Hat

ARGOMENTI: marketing - retail - ecommerce - intelligenza artificiale - AI - IA - digital transformation - pmi - high yield - bitcoin - bond - startup - pagamenti - formazione - internazionalizzazione - hr - m&a - smartworking - security - immobiliare - obbligazioni - commodity - petrolio - brexit - manifatturiero - sport business - sponsor - lavoro - dipendenti - benefit - innovazione - b-corp - supply chain - export - - punto e a capo -

> Vai al sommario < - > Guarda tutti gli arretrati < - > Leggi le ultime news <

Copyright © 2009-2024 BusinessCommunity.it.
Reg. Trib. Milano n. 431 del 19/7/97
Tutti i Diritti Riservati. P.I 10498360154
Politica della Privacy e cookie

BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo


Copertina BusinessCommunity.it