Digital Operational Resilience Act DORA e testing avanzato

Il Digital Operational Resilience Act (DORA) rappresenta un passaggio determinante per il settore finanziario: l’obiettivo non è più soltanto prevenire attacchi informatici, ma garantire la continuità dei servizi anche in presenza di incidenti o guasti. La resilienza operativa diventa quindi il parametro centrale, da validare tramite un programma di test definito nell’Articolo 25, che va ben oltre le verifiche tecniche ordinarie e richiede test di resilienza avanzati: scenario-based test, end-to-end test e performance test.

Perché DORA va oltre il vulnerability testing

I test tradizionali, come il vulnerability assessment o il penetration test (pentest), si limitano spesso ad analizzare singoli sistemi o ambienti isolati. DORA, invece, impone di convalidare la capacità dell’entità finanziaria di resistere e rispondere a interruzioni ICT reali. L’obiettivo non è soltanto rilevare una singola falla software, ma assicurare che le funzioni critiche o importanti (CIF) restino operative anche in presenza di vulnerabilità o incidenti presso fornitori terzi.

Scenario-based test su eventi severi ma plausibili

I scenario-based test previsti da DORA implicano la simulazione di perturbazioni basate su scenari severi ma realistici. Le entità finanziarie devono identificare diversi scenari di esposizione dei propri asset ICT, tra cui:

• Attacchi informatici diretti: simulazioni di tecniche adottate da attori malevoli reali.
• Switchover tecnologici: test di commutazione dall’infrastruttura ICT primaria a capacità ridondanti, backup o strutture secondarie per verificare la tempestività del ripristino.
• Malfunzionamenti critici: situazioni dove la qualità di una funzione critica si riduce a un livello inaccettabile o fallisce completamente.

End-to-end test su processi e dipendenze

L’end-to-end testing secondo DORA prevede la validazione dell’intera filiera di un processo aziendale, includendo ogni dipendenza rilevante. I punti fondamentali di questi test sono:

• Mappatura del percorso di attacco: descrizione di un potenziale attacco dal suo ingresso nei sistemi fino alla compromissione dell’obiettivo finale.
• Coinvolgimento dei fornitori terzi: nelle funzioni critiche esternalizzate, i test devono includere i servizi di fornitori ICT e subfornitori per verificare la resilienza di tutto l’ecosistema.
• Interdipendenze: analisi del modo in cui il fallimento di un componente tecnologico può impattare a cascata sulle altre funzioni dell’organizzazione.

Performance test e robustezza operativa

Nell’ambito DORA, i performance test non misurano solo la velocità del software, ma certificano la robustezza operativa in condizioni di stress. Le entità sono chiamate a:

• Sottoporre i sistemi ICT a condizioni di stress estremo per identificare i punti critici di rottura.
• Gestire capacità e prestazioni: identificare i requisiti di capacità per prevenire carenze che potrebbero interrompere i servizi.
• Verificare che i sistemi di supporto alle funzioni critiche mantengano standard di disponibilità e integrità anche durante picchi di carico o in presenza di incidenti.

Come selezionare gli scenari

La selezione degli scenari deve seguire un approccio risk-based:

• Business Impact Analysis (BIA): i test devono rispecchiare i risultati della BIA e la classificazione degli asset.
• Rilevanza e plausibilità: priorità agli scenari con alta probabilità di accadimento o grande impatto sistemico/reputazionale, anche se rari.
• Threat Intelligence: gli scenari vengono informati dalle minacce cyber più recenti e dalle lezioni tratte da incidenti storici.

FAQ

• Sono alternativi al pentest? No. Questi test integrano il programma di sicurezza: mentre il pentest rileva vulnerabilità, lo scenario-based testing valuta la capacità di risposta e ripristino dell’intera organizzazione.
• Vanno coinvolti i fornitori? Sì. Per le funzioni critiche esternalizzate DORA richiede che i test includano i servizi delle terze parti e che i contratti prevedano esplicitamente la collaborazione dei fornitori ai test di sicurezza.
• Come scegliere gli scenari prioritari? Priorità agli scenari riferiti a funzioni la cui interruzione avrebbe impatti maggiori su stabilità finanziaria, continuità dei servizi ai clienti e reputazione dell’entità.

Oltre la conformità tecnica: progetta oggi il tuo piano di resilience testing per validare la robustezza dei tuoi processi end-to-end secondo i criteri DORA.