Il regolamento DORA (Digital Operational Resilience Act) relativo alla resilienza operativa digitale entrerà in vigore a partire dal 17 gennaio 2025, obbligando i team di NetOps nel settore dei servizi finanziari a modificare il loro approccio di conseguenza.
Il DORA impone a banche, compagnie assicurative, società di investimento e ai loro provider di servizi di tecnologie dell’informazione e della comunicazione (TIC) esterni di soddisfare una serie di requisiti rigorosi in materia di gestione del rischio, resilienza delle reti, segnalazione degli incidenti e altro ancora. A questo proposito, il mio collega Ian Waters descrive in dettaglio le disposizioni del regolamento e spiega in che modo ThousandEyes aiuta le aziende a rispettarne la conformità.
Il DORA non è un semplice elenco di cose da fare una tantum, per poi dimenticarsene una volta spuntate tutte le voci. Si tratta invece di un insieme di requisiti che impongono alle aziende di implementare sistemi di monitoraggio e vigilanza continui non solo per la propria infrastruttura IT, ma anche per quella dei partner esterni. Gli istituti finanziari devono quindi assumersi la piena responsabilità dell’intera catena di erogazione dei servizi, anche dei componenti che sfuggono al loro controllo diretto.
Di conseguenza, i team di NetOps nel settore dei servizi finanziari devono imparare a gestire la rete con un nuovo approccio. Questa guida pratica al DORA delinea i tre fattori critici da monitorare regolarmente, se possibile sfruttando l’automazione per ridurre al minimo il carico di lavoro e garantire una maggiore affidabilità del servizio.
Guida pratica regolamento DORA
Se un team deve adempiere ai nuovi obblighi imposti dal DORA, ci sono tre aspetti chiave che non può ignorare.
1. Assicurarsi che il sistema di backup sia sempre pronto a intervenire
Potremmo ribattere che dovrebbe essere così da sempre, ma oggi più che mai i sistemi di backup non possono permettersi di fallire. L’ambiente di failover deve essere pronto a entrare in azione ogni volta che è necessario.
Alcuni casi recenti testimoniano che non sempre nel settore dei servizi finanziari le cose stanno così. Ad esempio, nell’ottobre 2023, due importanti banche di Singapore hanno subito un’interruzione dell’operatività che si è protratta per la maggior parte del fine settimana. Il problema è stato causato dall’aggiornamento del sistema di raffreddamento in uno dei data center aziendali, che non è andato come previsto e ha portato all’arresto delle apparecchiature IT. A detta loro entrambe le banche hanno attivato i loro sistemi di backup, ma non sono riuscite a ripristinare completamente i servizi fino al giorno dopo.
Ai sensi del DORA, non solo gli istituti finanziari sono tenuti ad avere un sistema di backup sicuro che consenta il ripristino tempestivo del servizio in caso di interruzioni, ma devono testarne l’efficacia con regolarità. Se il sistema di backup fallisce quando è necessario che funzioni, l’esperienza del cliente ne risulterà compromessa e l’azienda potrebbe ricevere delle sanzioni. Inoltre, il DORA impone agli istituti finanziari che si affidano a provider di servizi TIC esterni di valutarne la resilienza operativa. Questo processo prevede simulazioni o stress test per determinare la capacità del provider esterno di gestire in modo efficace un’interruzione di ampia portata.
Pertanto è fondamentale continuare a monitorare i sistemi di backup, perché anche il più innocuo cambiamento può avere conseguenze impreviste. Una minima modifica a una pagina Web potrebbe impedire l’autenticazione degli utenti. Se un provider di servizi cloud modifica una policy di sicurezza, potrebbe essergli negato l’accesso al circuito di backup.
L’azienda deve monitorare accuratamente l’intera catena di erogazione del servizio, in modo tale da accorgersi di questi problemi non appena si verificano. Aspettare che gli incidenti si verifichino prima di intervenire e sperare che si risolva tutto per il meglio non è l’approccio ideale.
In questo processo l’automazione ha un ruolo centrale. Una soluzione come ThousandEyes verifica continuamente lo stato dei sistemi operativi e di backup, segnalando i componenti critici che non funzionano come previsto.
2. Realizzare un sistema di monitoraggio completo
Ci sono due modi per sapere se le cose vanno male: disporre di un sistema di monitoraggio solido o attendere che arrivino le lamentele dei clienti. Il primo è decisamente più efficace. Anzi, con l’introduzione del DORA, per gli istituti finanziari nell’Unione europea la scelta è d’obbligo.
Verificare in modo costante il corretto funzionamento dei sistemi di avviso e di monitoraggio è essenziale per riuscire a rilevare le violazioni della sicurezza e altri problemi che possono compromettere l’affidabilità del servizio. Non possiamo dare per scontato che questi sistemi funzionino. Per garantire che sia tutto a posto dobbiamo testarli regolarmente. Non ha senso installare dei rivelatori di fumo se poi non controlliamo che le batterie siano cariche.
La verifica dell’integrità e delle prestazioni dei sistemi di monitoraggio deve essere un processo continuo e automatizzato; solo così possiamo garantire che siano affidabili e mandino le notifiche e gli avvisi necessari. Sfruttare l’IA per analizzare miliardi di dati raccolti ogni giorno da Internet, cloud e reti aziendali può essere utile a identificare i problemi e a capirne l’impatto sugli utenti.
Ad esempio, ThousandEyes consente di impostare delle soglie per metriche quali latenza, tempi di risposta e perdita di pacchetti e di creare dashboard che inviano un avviso quando questi KPI non vengono raggiunti. In combinazione con altri set di dati, queste informazioni forniscono una panoramica completa dello stato e delle prestazioni delle applicazioni.
Inoltre, il DORA impone agli istituti finanziari requisiti rigorosi in materia di segnalazione degli incidenti alle autorità competenti. Senza un sistema di monitoraggio e segnalazione adeguato, l’azienda potrebbe essere soggetta a sanzioni disciplinari da parte dell'autorità di vigilanza in caso di incidenti non rilevati in tempo reale.
3. Monitorare attivamente i sistemi esterni
Il DORA estende la responsabilità degli istituti finanziari oltre l’infrastruttura fisica di proprietà. Il regolamento impone di verificare continuamente l’integrità e le prestazioni degli ambienti di terze parti.
Questo significa non solo verificare le prestazioni dei servizi esterni, ma anche identificare i potenziali rischi per la sicurezza, come il dirottamento dei percorsi BGP o l’avvelenamento del DNS, che potrebbero compromettere l’esperienza dei clienti.
Se pensiamo a quanti sono i sistemi esterni che fanno parte della catena di erogazione del servizio, non è certo un compito facile. Provider di servizi cloud, reti CDN, provider di applicazioni SaaS, servizi di mitigazione degli attacchi DDoS e gateway di pagamento sono solo alcuni dei sistemi esterni da cui dipendono i servizi e le applicazioni aziendali. Come abbiamo visto in un recente post del blog, affidarsi solo alla pagina dello stato del servizio per scoprire un problema con un provider esterno potrebbe non essere la scelta migliore. Un approccio più efficace consiste nel considerare un insieme di dati eterogeneo e sfruttare un sistema di monitoraggio completo per tutti i servizi, sia interni che esterni.
Una volta identificato il provider di servizi TIC esterno responsabile dell’interruzione, è importante anche disporre di dati concreti da condividere con il provider e i team interni, in modo da confrontarsi e collaborare per risolvere il problema.
Questo aspetto si ricollega al tema trattato in un recente articolo del mio collega Kemal Sanjta, ovvero l’importanza dell’ingegneria del traffico di rete. I tecnici di rete lavorano continuamente per ottimizzare i percorsi del traffico. A tale scopo, serve un approccio completo al monitoraggio del traffico di rete sia in entrata che in uscita, per assicurarsi che segua il percorso previsto e che non si verifichino problemi nei sistemi di terze parti. Con centinaia di punti di monitoraggio in tutto il mondo, il team riceve un avviso immediato in caso di interruzioni o fughe di dati dai percorsi.
L’era del DORA
Questi suggerimenti sono pensati per aiutare gli istituti finanziari ad attuare le opportune misure nella nuova era del DORA, ma costituiscono criteri operativi validi anche per tutte le altre aziende, qualunque sia il settore o il luogo in cui operano.
Un approccio proattivo e costante al monitoraggio del sistema di backup aiuta a prevenire conseguenze disastrose per l’azienda in caso di guasti al sistema principale, evitando di sprecare soldi per soluzioni di sicurezza inefficaci. Il monitoraggio in tempo reale è essenziale per individuare i problemi prima che lo facciano i clienti. Tenere d’occhio le prestazioni degli ambienti di terze parti riduce la probabilità che i sistemi smettano di funzionare in caso di problemi di un provider esterno.
A questo proposito, la nostra guida pratica al DORA può essere utile a qualsiasi team di NetOps, non solo a chi opera nel settore dei servizi finanziari in Europa.