Network Security Assessment in DORA per infrastrutture finanziarie

Il Regolamento DORA impone alle entità finanziarie una verifica rigorosa e costante dell’infrastruttura di rete, chiedendo valutazioni approfondite per garantire che l’architettura resista, rilevi e contenga le minacce informatiche. Il programma di test di resilienza operativa digitale, secondo l’Articolo 25, deve includere network security assessments strutturati per assicurare continuità e sicurezza delle funzioni critiche o importanti.

Che cos’è un network security assessment in DORA

Un network security assessment in ambito DORA è un processo tecnico e analitico che convalida l’efficacia delle politiche, delle procedure e degli strumenti di sicurezza della rete. L’obiettivo non è solo individuare vulnerabilità software, ma verificare la robustezza della configurazione e del design della rete per prevenire accessi non autorizzati, garantire la riservatezza e l’integrità dei dati in transito e proteggere la continuità delle funzioni critiche.

Segmentazione, accessi remoti, firewalling, IAM, PAM e logging

• Segregazione e Segmentazione: La rete deve essere segmentata in base alla criticità delle funzioni supportate e al profilo di rischio degli asset ICT, limitando il movimento laterale degli attaccanti.
• Firewalling e Filtri di Connessione: Devono essere identificati ruoli e responsabilità per l’approvazione e la revisione delle regole firewall. Nei sistemi che supportano funzioni critiche, la revisione dell’adeguatezza delle regole è obbligatoria almeno ogni sei mesi.
• Gestione degli Accessi (IAM e PAM): L’implementazione di controlli di accesso alla rete è obbligatoria per impedire la connessione di dispositivi non autorizzati. Per l’amministrazione degli asset critici, è richiesta una rete separata e dedicata.
• Logging e Monitoraggio: È necessario che vengano registrati eventi relativi al traffico e alle prestazioni di rete, con un dettaglio proporzionato alla criticità dell’asset. I log devono essere protetti da manomissioni e cancellazioni.
• Crittografia in transito: Tutte le connessioni di rete, siano esse aziendali, pubbliche o wireless, devono essere crittografate secondo la classificazione dei dati trattati.

Hardening e Exposure Review per asset esposti

• Network Hardening: Le basi di configurazione sicura devono essere implementate per tutti i componenti di rete, seguendo le istruzioni dei fornitori e le leading practices del settore.
• Gestione dell’Esposizione: L’accesso diretto da Internet ai dispositivi usati per l’amministrazione dei sistemi informativi è vietato.
• Terminazione delle Sessioni: Le procedure devono prevedere la chiusura automatica delle sessioni remote dopo un periodo di inattività prestabilito.
• Isolamento Temporaneo: La rete deve essere progettata per consentire l’isolamento temporaneo di sottoreti o componenti in caso di incidente.

Rapporto con vulnerability assessment e pentest

Il network security assessment si pone tra vulnerability assessment e penetration test. Il vulnerability assessment si limita a una scansione automatizzata di falle note, mentre il penetration test effettua una simulazione attiva degli attacchi. Il network assessment si concentra sull’analisi di configurazione e architettura per individuare errori logici e punti di fallimento che le scansioni potrebbero non rilevare. Serve a mappare i flussi di dati e a definire lo scope corretto per le attività di vulnerability assessment e penetration test.

Evidenze e remediation

• La documentazione prodotta deve includere la mappatura e rappresentazione visiva delle reti e dei flussi di dati.
• Devono essere riportati i risultati delle revisioni annuali dell’architettura di rete.
• Deve essere previsto un remediation plan che collega le carenze rilevate alla loro causa profonda con una root cause analysis, assegnando priorità in base al rischio per le funzioni critiche.

FAQ

• È la stessa cosa di un pentest? No. Il penetration test tenta di violare le difese; il network security assessment verifica che le difese (segmentazione, firewall, hardening) siano configurate secondo policy e best practice.
• Va incluso il cloud? Sì. DORA si applica a tutti gli asset ICT, incluse infrastrutture cloud e servizi di terzi.
• Come dimostrare la proporzionalità del controllo? In base all’Articolo 4, la complessità dell’assessment dipende da dimensione e profilo di rischio dell’entità, ma non si può prescindere dai requisiti minimi di segregazione e revisione semestrale per i sistemi critici.

Proteggi la tua infrastruttura: richiedi un Network Security Assessment orientato a DORA per validare la tua segmentazione e hardening prima dell’ispezione delle autorità.