Perché l’asset inventory è un passo fondamentale nella compliance a DORA
A cura di Giuseppe Di Terlizzi, Lead Cybersecurity Software Engineer e Daniela Bevilacqua, Cybersecurity Analysis Consultant
Il nuovo regolamento europeo DORA, a cui gli stati UE dovranno garantire conformità a partire dal 17 gennaio 2025, definisce un insieme di regole e principi rivolti alle entità operanti nel settore finanziario. I criteri definiti dal regolamento orbitano attorno al concetto di Resilienza Operativa Digitale, ovvero la capacità di un’organizzazione di resistere alle perturbazioni e agli attacchi informatici tramite una gestione proattiva dei rischi e degli incidenti di sicurezza. Il concetto di resilienza espresso dal DORA non si configura esclusivamente come semplice requisito normativo, ma come una vera e propria scelta strategica per le aziende, utile per garantire maggiore solidità ed efficienza al proprio business. Tra i requisiti necessari, una gestione precisa, globale e sicura dei rischi – così come viene intesa dal DORA - non può prescindere dalla presenza di un asset inventory correttamente manutenuto.
L’inventario degli asset: cos’è e principali caratteristiche
L’asset inventory - nella sua definizione più semplice, un vero e proprio inventario dei beni di un’azienda – rappresenta non solo uno strumento ma un vero e proprio processo aziendale. Mantenere un asset inventory aggiornato significa, di fatto, identificare e catalogare tutti i beni materiali e immateriali che supportano le operazioni di business di un’azienda. Questi possono includere dispositivi hardware (computer, device portatili, dispositivi di rete), software (licenze, servizi cloud, dati) o altri beni fisici. Una mappatura corretta e completa degli asset richiede spesso più impegno del previsto, sia nelle grandi che nelle piccole organizzazioni.
È bene che l’asset inventory includa, per ciascun asset, informazioni su:
- Posizione geografica dell’asset;
- Processo di business a cui l’asset è correlato;
- Ownership dell’asset e della sua gestione, sia essa interna o esterna all’organizzazione;
- Tipologia di dati inclusi e/o trattati dall’asset.
Il regolamento DORA richiede che l’asset inventory aziendale sia periodicamente aggiornato, incorporando qualsiasi modifica a cui l’infrastruttura è sottoposta. È per questo che un asset inventory efficace dev’essere dinamico, riflettere in ogni momento lo stato dell’organizzazione a cui appartiene e cambiare con essa. Per far sì che sia possibile, nulla dev’essere lasciato al caso: è bene definire un apposito processo, inserito nelle strategie di governance aziendale, per la manutenzione e l’aggiornamento periodico dell’asset inventory. Da una corretta gestione e catalogazione degli asset si basa l’efficacia di alcuni dei pillar più importanti del regolamento DORA:
- Gestione del rischio e degli incidenti;
- Gestione del rischio ICT delle terze parti.
Gestione del rischio e degli incidenti
L’attività di gestione del rischio suggerita dal regolamento DORA è fondata su una costante identificazione e classificazione dei rischi informatici, in particolare sul concetto di monitoraggio continuo. Sono proprio gli stessi asset aziendali, nella maggior parte dei casi, a costituire un vettore d’attacco e ad esporre l’organizzazione ai rischi sopracitati. Un asset inventory adeguatamente aggiornato fornisce non solo una panoramica globale degli asset più critici per l’azienda, ma anche un punto di partenza per la valutazione dei rischi ad essi associati, nonché del loro impatto sul business. Anche la gestione delle vulnerabilità e degli incidenti di sicurezza risulta agevolata, potendo integrare l’asset inventory con sistemi di monitoraggio (ad esempio SIEM) o di vulnerability assessment. Si tratta di strumenti e procedure utili per l’acquisizione di una conoscenza “proattiva” della propria infrastruttura - concetto fondamentale nel contesto del regolamento DORA. Il grande rischio associato ad un asset inventory mancante, o non aggiornato, risiede nell’ignorare intere superfici d’attacco e, dunque, tralasciare rischi a cui l’organizzazione stessa potrebbe essere esposta.
Gestione del rischio ICT delle terze parti
Altro fondamentale requisito espresso dal regolamento DORA consiste in una corretta gestione del rischio derivante da servizi forniti da terze parti. È importante mappare all’interno dell’asset inventory aziendale anche le risorse gestite da fornitori esterni, avendo chiara la catena di approvvigionamento e il ruolo che tali asset ricoprono nei processi aziendali. Solo così è possibile evitare pericolose zone d’ombra, mantenendo traccia dello stato dell’asset, valutandone i rischi associati e verificando, con assessment periodici sull’asset in questione, che i requisiti contrattuali di sicurezza (nel rispetto del regolamento DORA) siano correttamente implementati dal fornitore. L’ownership di ogni asset presente nell’inventory dev’essere sempre ben definita e aggiornata, anche quando quest’ultimo è gestito da un fornitore esterno, al fine di garantire l’applicazione tempestiva delle strategie di recovery previste.
Come NTT DATA aiuta le aziende a monitorare i propri asset
NTT DATA ha sviluppato lo ZEN SecDB Portal, un prodotto nato per aiutare le organizzazioni a monitorare continuamente i propri asset, con un particolare riguardo verso le vulnerabilità note. In ZEN SecDB Portal è possibile importare un insieme di asset IT – manualmente o grazie all’integrazione con specifici tool di scansione – e rimanere aggiornati sul loro stato di sicurezza. Nel portale è infatti presente una dashboard riassuntiva che, raccogliendo feed di sicurezza da fonti diverse (NIST, MITRE, CVE, ecc.) e correlandoli tra loro, fornisce una panoramica completa e sempre aggiornata di tutte le vulnerabilità note associate agli asset dell’organizzazione.