Patch Management DORA per la resilienza operativa finanziaria

Patch Management DORA rappresenta un elemento essenziale per la resilienza operativa digitale in ambito finanziario, con richieste di compliance che superano l’approccio tradizionale IT per abbracciare processi documentati, prioritizzazione basata sul rischio e verifica finale della risoluzione delle vulnerabilità.

Patch Management DORA e ciclo della vulnerabilità

Nel contesto del Digital Operational Resilience Act (DORA), l’individuazione di falle di sicurezza tramite vulnerability assessment o penetration test costituisce solo il punto di partenza. La resilienza effettiva si misura dalla capacità dell’entità finanziaria di risolvere tempestivamente le debolezze evidenziate. Le procedure di patch management DORA devono essere formalizzate e mirate a chiudere completamente il ciclo della vulnerabilità, compresa la validazione della chiusura del rischio.

Valore della remediation dopo il testing

L’efficacia nella gestione dei rischi ICT dipende dalla capacità di agire sulle minacce riscontrate. In base ai requisiti del Regolamento Delegato (UE) 2024/1774, non è sufficiente condurre test: occorre monitorare e valutare attentamente i risultati per aggiornare le misure di sicurezza. Se il testing non produce una remediation DORA sistematica, il processo di sicurezza viene considerato carente dal punto di vista della governance.

Prioritizzazione basata su rischio e asset

Il patch management secondo DORA richiede una distribuzione delle patch basata su:

• Criticità della vulnerabilità: gravità tecnica misurata, ad esempio, tramite CVSS.
• Profilo di rischio dell’asset: classificazione dell’asset ICT interessato (Articolo 8 DORA) e ruolo nell’ambito delle funzioni critiche o importanti (CIF).

Occorre focalizzarsi sugli asset a maggiore impatto sull’operatività aziendale, assicurando aggiornamenti tempestivi e misure di mitigazione su sistemi critici senza ritardi.

Emergency patching e change management

Il ciclo di remediation nel contesto DORA include procedure dedicate alle emergenze, secondo le norme tecniche:

• Identificazione e valutazione delle patch disponibili tramite strumenti automatizzati, ove possibile.
• Procedure di emergenza per patching e aggiornamento degli asset ICT.
• Testing delle patch in ambienti che riproducano la produzione prima del deployment, per prevenire criticità sulla continuità operativa.

Il patching d’emergenza deve essere parte integrante del change management: ogni modifica è documentata, valutata e approvata anche dopo essere stata implementata.

Validazione della chiusura

La risoluzione di una vulnerabilità non è conclusa senza verifica dell’efficacia della remediation. DORA impone il monitoraggio post-remediation e la verifica della risoluzione; se mancano patch disponibili, bisogna ricorrere a misure di mitigazione alternative (compensating controls). In presenza di test avanzati TLPT, il piano deve includere la descrizione degli shortcoming e una root cause analysis dettagliata.

KPI per il monitoraggio

La governance DORA si fonda su indicatori misurabili:

• MTTR (Mean Time To Remediate): tempo medio tra rilevamento e chiusura della vulnerabilità.
• Overdue patches: totale patch non applicate entro le scadenze definite.
• Reopen rate: frequenza di vulnerabilità che falliscono il retest anche dopo la correzione.
• Percentuale di critical risolte: rapporto tra vulnerabilità critiche eliminate sui sistemi CIF.

FAQ Patch Management DORA

• DORA impone tempi massimi di patching? La normativa non fissa un numero di giorni universale, ma obbliga a definire internamente scadenze inderogabili per l’installazione e a predisporre escalation se i termini non vengono rispettati.
• Come gestire eccezioni e compensating controls? Se una patch non è installabile, a causa di incompatibilità o mancato rilascio, DORA richiede misure di mitigazione alternative e la documentazione nel framework di risk management.
• Va sempre eseguito un retest? Sì, il monitoraggio e la verifica della risoluzione sono obbligatori per accertare l’eliminazione della vulnerabilità e prevenire la reintroduzione di nuovi rischi.

Chiudi il cerchio della sicurezza: richiedi una revisione del tuo processo di patching e remediation per assicurare la piena conformità ai requisiti tecnici del DORA.