Asset Management DORA mappatura classificazione e test sicurezza

Asset management DORA rappresenta il presupposto strategico per la sicurezza delle infrastrutture critiche. L’efficacia dei test di sicurezza imposti dal Digital Operational Resilience Act dipende dalla precisione nella definizione del perimetro degli asset. L’identificazione e la classificazione degli asset sono indispensabili per garantire che i critical live production systems siano protetti e testati in modo adeguato.

Asset inventory e testing: un legame normativo

L’Articolo 8 del DORA afferma che identificazione e classificazione degli asset costituiscono i passaggi fondamentali e iniziali per la resilienza operativa. I programmi previsti dagli Articoli 24 e 25 e la gestione delle vulnerabilità devono basarsi su una classificazione accurata degli asset, poiché la scansione delle vulnerabilità deve essere commisurata al profilo di rischio dell’asset stesso. La mancata classificazione o l’esclusione di asset critici può portare a test insufficienti o errati.

Identificazione delle critical or important functions (CIF)

• Identificazione totale: L’entità finanziaria deve mappare tutte le funzioni operative e aziendali.
• Valutazione di criticità: I criteri, da rispettare secondo l’Art. 3(22) del DORA, includono l’impatto sulla stabilità finanziaria, l’importanza per le operazioni quotidiane e la difficoltà di sostituzione in caso di guasto.

Mappatura di asset, owner, dipendenze ed esposizione

Il Regolamento Delegato (UE) 2024/1774 impone la tenuta di registri dettagliati per ogni asset ICT. Ogni asset deve riportare:

• Identificativo unico e localizzazione fisica/logica
• Proprietà (owner): identità del responsabile
• Supporto alle CIF: relazione con funzioni critiche
• Interdipendenze con altri asset o funzioni aziendali
• Esposizione a reti esterne o Internet
• Data di fine supporto (End-of-Life) fornita dai fornitori terzi

Errori di classificazione che impattano sui test

Un errore frequente nell’inventario asset ICT DORA riguarda la mancata mappatura delle dipendenze tecnologiche verso terze parti. Se un fornitore ICT subappalta servizi rilevanti per funzioni critiche, l’intera catena del valore tecnologico va registrata nel register of information. Un ulteriore rischio deriva dall’utilizzo di ambienti di test diversi dal live; DORA stabilisce che per i test avanzati (TLPT) vanno utilizzati i sistemi live, rendendo essenziale un’informazione aggiornata e precisa sugli asset coinvolti.

Output minimo richiesto per VA/PT

Prima di svolgere Vulnerability Assessment (VA) o Penetration Testing (PT) è necessario disporre di:

• Registro delle informazioni aggiornato (RoI) su accordi contrattuali e servizi ICT
• Documentazione delle CIF: elenco approvato delle funzioni critiche e degli asset correlati
• Mappatura dei flussi dati: dettagli delle connessioni di rete e dei flussi per definire la superficie di attacco

FAQ su asset management DORA

• Basta un CMDB? Un CMDB standard generalmente non è sufficiente, in quanto DORA richiede anche il collegamento alle CIF, i requisiti di business continuity (RTO/RPO) e la gestione delle interdipendenze con i fornitori terzi.
• Come classificare gli asset cloud? Gli asset cloud vanno classificati secondo la tassonomia DORA (IaaS, PaaS, SaaS) e inseriti nell’inventario generale, definendo chiaramente le responsabilità tra entità e fornitore.
• Procedura di collegamento fra asset e funzioni critiche? Va effettuato un “criticality assessment” per valutare l’impatto di perdita di riservatezza, integrità o disponibilità dell’asset sulla funzione aziendale supportata.

Pianifica correttamente il tuo perimetro: partecipa al nostro workshop di classificazione asset e scoping dei test per allineare il tuo inventario ai requisiti tecnici del DORA.