I 5 pilastri della conformità DORA in Active Directory

Come semplificare il percorso di conformità al Regolamento DORA partendo dalla sicurezza di Active Directory, chiave della resilienza operativa

Il Digital Operational Resilience Act (DORA) è un quadro legislativo dell’UE che mira a rafforzare la resilienza operativa dei sistemi digitali nel settore finanziario. Tutte le entità finanziarie che operano nell’UE o con l’UE devono raggiungere la conformità al DORA entro l’inizio del 2025, così come i fornitori di tecnologie ICT che supportano tali entità. La conformità al DORA si concentra maggiormente sugli eventi di sicurezza informatica e sui problemi IT, imponendo alle aziende di dimostrare le proprie capacità di risposta agli incidenti informatici attraverso una migliore visibilità, pianificazione e test rigorosi.

Il DORA contiene cinque pilastri della resilienza:

  1. Gestione del rischio ICT
  2. Gestione, classificazione e segnalazione degli incidenti legati alle TIC (Tecnologie dell’Informazione e della Comunicazione)
  3. Test di resilienza operativa digitale
  4. Gestione del rischio ICT di terzi
  5. Condivisione delle informazioni

Per raggiungere la conformità DORA nel suo complesso, ogni pilastro deve essere considerato e affrontato.

Proteggere l’infrastruttura di identità

L’identità è riconosciuta come il nuovo perimetro di sicurezza e la chiave della resilienza operativa. Ecco perché Microsoft Active Directory (AD), servizio di identità principale per il 90% delle organizzazioni in tutto il mondo, è il vettore di attacco numero 1 nel panorama delle minacce alla sicurezza informatica. AD fornisce l’autenticazione degli utenti e l’accesso alle applicazioni e ai servizi business-critical. Se Active Directory si blocca, si ferma anche tutto il resto. Ciò pone la sicurezza di AD sotto la responsabilità di DORA.

Ma come soddisfare i requisiti dei cinque pilastri critici di resilienza del DORA nel contesto di Active Directory?

Pilastro 1 – Gestione del rischio ICT e governance

L’organizzazione deve dimostrare di avere piena visibilità della configurazione di Active Directory, di poter controllare ciò che accade in AD e di poter ripristinare AD se qualcosa va storto. La tecnologia viene in aiuto con l’automazione e il monitoraggio proattivo. Ad esempio, Semperis Directory Services Protector (DSP) fornisce una visione completa delle risorse software di Active Directory e del loro stato di configurazione, monitora gli indicatori di esposizione e di attacco per identificare le vulnerabilità prima che possano essere sfruttate.

Pilastro 2 – Segnalazione degli incidenti

Il DORA richiede la standardizzazione delle modalità di classificazione degli incidenti legati alle TIC all’interno dell’azienda. Stabilisce anche che le organizzazioni assegnino ruoli e responsabilità a determinate risorse per i diversi tipi di incidenti, definiscano piani per la comunicazione e la notifica al personale, alla dirigenza, agli stakeholder esterni, ai media e ai clienti. Indica inoltre alle organizzazioni di stabilire procedure di risposta agli incidenti legati alle TLC. Con gli strumenti gratuiti di Semperis, Purple Knight e Forest Druid, è possibile rilevare gli indicatori di esposizione e compromissione e avere un piano chiaro per affrontare queste aree e risolvere eventuali problemi. Con, Semperis DSP è possibile automatizzare il processo di bonifica e intervenire contro le azioni malevole, annullando automaticamente le modifiche indesiderate in AD.

Pilastro 3 – Test di resilienza operativa digitale

La conformità al DORA richiede la prova che i test di resilienza operativa siano stati eseguiti con successo. Il problema è che il test di Active Directory non è semplice. Se si disattiva Active Directory, non funziona nient’altro. Una buona opzione per ridurre il rischio e l’ansia di testare il ripristino di AD è la creazione di un ambiente di test alternativo, con scenari simulati, senza mettere a rischio l’infrastruttura operativa principale. Gli esperti di sicurezza informatica di Active Directory di Semperis possono venire in aiuto con servizi di preparazione e risposta alle violazioni.

Pilastro 4 – Gestione del rischio ICT di terzi

Molti partner esterni o fornitori accedono ai sistemi di un’organizzazione tramite Active Directory. Questo aumenta la potenziale esposizione al rischio. Grazie al monitoraggio continuo delle modifiche all’ambiente e al rilevamento degli attacchi basato su Machine Learning, Semperis è in grado di identificare e mitigare gli attacchi basati sull’identità, riducendo così al minimo i rischi di terze parti in Active Directory.

Pilastro 5 – Condivisione delle informazioni

L’ultimo pilastro della resilienza riguarda la condivisione delle informazioni: le entità finanziarie devono delineare strategie per la condivisione e lo scambio di informazioni sulle minacce in modo sicuro all’interno di comunità fidate, con l’obiettivo di migliorare la posizione di sicurezza complessiva del settore. Semperis partecipa a queste community condividendo ricerche per educare il settore a proteggersi meglio dalle minacce emergenti e il suo team di ricerca segnala costantemente le nuove modalità con cui gli attaccanti abusano di Active Directory.

Valutazione della sicurezza di Active Directory

Una delle sfide principali della conformità al DORA è che il regolamento delinea le aspettative di conformità, ma non fornisce alcun quadro specifico su come le aziende possono mettere in atto queste misure. Da dove cominciare quindi? Con strumenti come Purple Knight (disponibile gratuitamente per il download qui) e Forest Druid è possibile avere un quadro dello stato di configurazione di Active Directory e delle potenziali esposizioni e ottenere un piano chiaro per risolvere eventuali problemi e iniziare il percorso di conformità DORA per Active Directory.

LEGGI ANCHE

Le “prime volte” di NIS2 e DORA

 

LEGGI ANCHE

Gli ultimi articoli