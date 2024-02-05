Il Digital Operational Resilience Act (DORA) rappresenta una tappa significativa negli sforzi dell'Unione Europea (UE) per rafforzare la resilienza operativa del settore finanziario nell'era digitale. Con l'obiettivo di affrontare in modo completo la gestione del rischio delle tecnologie dell'informazione e della comunicazione (ICT) nei servizi finanziari, il DORA mira ad armonizzare le normative esistenti tra gli Stati membri dell'UE. Impone a tutti gli istituti finanziari che rientrano nel suo ambito di applicazione di sviluppare la necessaria resilienza operativa digitale, enfatizzando un approccio su misura per ciascuna organizzazione.
Per affrontare efficacemente il DORA, si consiglia agli istituti finanziari di concentrarsi sulla padronanza delle funzionalità fondamentali in quattro ambiti chiave: dati, operazioni, gestione del rischio, automazione e AI. Combinando strategicamente la tecnologia in questi ambiti, le organizzazioni possono migliorare la loro capacità di integrare la sicurezza, promuovere la mitigazione dei rischi, consentire il monitoraggio continuo, garantire la continuità aziendale adattiva, favorire l'interoperabilità e snellire la governance.
Sebbene il panorama economico per gli istituti finanziari sia difficile, la conformità al DORA non è solo un altro obbligo costoso. Al contrario, rappresenta un'opportunità per trasformare le spese di conformità in investimenti strategici volti a garantire migliori prestazioni aziendali. L'adozione di questa mentalità consente alle istituzioni di ottenere sia la conformità che il valore aziendale digitale a lungo termine dai loro investimenti nella resilienza operativa digitale.
Il confidential computing e la crittografia dei dati svolgono un ruolo importante nel raggiungimento della totale garanzia della privacy dei dati, proteggendo i dati in uso e in memoria ed estendendo tale protezione anche ai sistemi e agli amministratori cloud, che continueranno a gestire l'infrastruttura senza avere accesso ai dati.
Questo aspetto è evidenziato anche all'interno del DORA, negli RTS (Regulatory Technical Standards), delineati per la consultazione pubblica (1, link esterno a ibm.com), all'articolo 6, che si focalizza sulla crittografia e sui controlli crittografici, e all'articolo 7, che riguarda la gestione principale.
Secondo l'articolo 6 degli RTS, la crittografia dei dati è ritenuta essenziale per tutto il ciclo di vita dei dati, inclusi i dati a riposo, in transito e in uso. Questo si allinea perfettamente con l'idea che raggiungere la privacy dei dati totale, come previsto dal DORA, richiede un approccio completo alla crittografia, con la garanzia che le informazioni sensibili siano protette in ogni fase della loro esistenza.
Inoltre, l'articolo 6 degli RTS sottolinea la necessità che tutto il traffico di rete, sia interno che esterno, sia criptato. Questa richiesta rafforza l'idea che un canale di comunicazione sicuro e criptato sia fondamentale, in sintonia con la necessità di una catena di fiducia affidabile e interconnessa dall'hardware alla soluzione, come menzionato nel testo originale.
L'articolo 7 degli RTS approfondisce la gestione principale, sottolineando l'importanza della gestione del ciclo di vita delle chiavi crittografiche. Questo è in linea con il concetto che i componenti che consentono il confidential computing debbano formare una catena di fiducia interconnessa. Garantendo l'immutabilità e l'autenticazione dell'ambiente di esecuzione affidabile, le istituzioni finanziarie possono rispondere alle aspettative normative del DORA delineate all'articolo 7.
In conclusione, i principi del confidential computing e della crittografia, come articolati nel testo originale, trovano risonanza nei requisiti specifici enunciati negli RTS. L'adesione a questi standard normativi non solo assicura la conformità con il DORA, ma stabilisce anche un framework affidabile per la salvaguardia dei dati finanziari sensibili tramite crittografia e pratiche efficaci di gestione principale.
Il confidential computing e la crittografia rappresentano degli elementi fondamentali per assicurare la privacy totale dei dati. I componenti tecnologici che consentono il confidential computing devono formare una catena di fiducia interconnessa, dall'hardware alla soluzione, offrendo il confidential computing come soluzione con un ambiente di esecuzione affidabile, immutabile e autenticato.
La sicurezza totale dei dati, che porta alla privacy, alla sovranità e alla resilienza digitale, richiede una protezione end-to-end in tutto il ciclo di vita e lo stack dei dati. Il confidential computing garantisce che i provider di cloud non accedano ai dati basandosi su fiducia, visibilità e controllo, ma piuttosto su prove tecniche, crittografia e isolamento del tempo di esecuzione.
La garanzia tecnica è fondamentale per prevenire accessi non autorizzati ai dati, il che implica che amministratori cloud, fornitori, provider di software e ingegneri dell'affidabilità del sito non possano accedere ai dati durante l'uso. La garanzia tecnica assicura che il fornitore di cloud service (CSP) non possa rilasciare dati in caso di richieste legali, prevenendo violazioni della protezione dei dati indipendentemente dalla legislazione e dalle forze dell'ordine.
La protezione dei dati con garanzia tecnica favorisce la sovranità dei dati e la resilienza digitale. Ciò significa che il controllo completo sui dati effettivi spetta all'utente cloud, non al provider di cloud. Sfruttando il confidential computing e la crittografia, le istituzioni finanziarie possono rispondere ai rigorosi requisiti del DORA, garantendo il massimo livello di garanzia tecnica e tutelando le loro operazioni digitali in un landscape in continua evoluzione.
In conclusione, il DORA non è solo un compito di conformità, ma un'opportunità per le istituzioni finanziarie di investire strategicamente nella resilienza operativa digitale. Incorporando il confidential computing e la crittografia nella propria strategia, le organizzazioni possono farsi strada nel mondo digitale con sicurezza, garantendo la privacy dei dati, la sicurezza e il controllo in un landscape in continua evoluzione.
Fai il primo passo verso il miglioramento della sicurezza dei dati e il raggiungimento della conformità e scopri di più sulle soluzioni IBM® Confidential Computing, ad esempio su come Hyper Protect Virtual Servers può contribuire a proteggere le transazioni finanziarie e su come IBM affronta la sicurezza a livello di applicazione.
Acquisisci gli insight necessari per prevenire e reagire agli attacchi informatici con maggiore velocità ed efficacia con IBM X-Force Threat Intelligence Index.
Scopri le minacce più recenti e rafforza le tue difese cloud con il report X-Force Cloud Threat Landscape.
Accedi a questo rapporto di Gartner per scoprire come gestire l'inventario completo dell'AI, proteggere i workload AI con misure di sicurezza, ridurre i rischi e gestire il processo di governance per ottenere l'AI Trust in tutti i casi d'uso dell'AI nella tua organizzazione.
Scopri nuovi insight per scegliere il fornitore di soluzioni di rilevamento e risposta gestite più allineato agli obiettivi della tua organizzazione
Aumenta la sicurezza con la nostra suite leader di soluzioni per il rilevamento e la risposta alle minacce.
Proteggi gli investimenti esistenti e potenziali con l'AI, migliora le operazioni di sicurezza e proteggi l'hybrid cloud.
Crea un identity fabric solido e indipendente dal fornitore con una soluzione IAM affidabile.
Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.