Come gestire la conformità al Regolamento DORA
Sulla base di standard Internazionali

La normative DORA e gli strumenti di CAST

Analizzando alcuni degli articoli contenuti nel documento RTS (Regulatory Technical Standard) 1774 del 25 Maggio 2024 che definisce gli strumenti, le metodologie, i processi e le policy (TMPP) per l’ICT Risk Management delle entità finanziarie secondo il regolamento 2022/2054 DORA, risulta chiaro come CAST possa soddisfare la compliance alla nuova normativa:

Analisi statica del codice sorgente

L’Art 16.8 stabilisce che la procedura deve prevedere la verifica del codice sorgente sia per i codici proprietari che per quelli open-source.

L'analisi statica del codice di CAST è una metodologia che esamina il codice sorgente di un'applicazione senza eseguirlo, utilizzando strumenti specializzati per identificare bug, vulnerabilità di sicurezza, difetti di qualità e problemi di manutenibilità e altre criticità. Questa analisi si basa su una serie di regole predefinite che valutano il codice in termini di conformità agli standard di codifica, alle best practice, alle performance e alla sicurezza.

Normativa ISO 5055

L’Art. 16.1 richiede che la politica per l'acquisizione e la manutenzione del software faccia riferimento agli standard di sicurezza indicati nel regolamento 1025/2012.

In questo contesto l'ISO 5055 si allinea perfettamente agli obiettivi del regolamento affrontando 4 aree: sicurezza, affidabilità, manutenibilità ed efficienza e consentendo ai CIO e ai loro Team di verificare le proprie applicazioni critiche in una logica di prevenzione dei rischi, basata su uno standard riconosciuto a livello internazionale. La piattaforma di analisi di CAST integra automaticamente le regole della norma ISO 5055, semplificando l'adozione dello standard. Inoltre, CAST fornisce piani d'azione dettagliati che indicano le priorità per affrontare i punti deboli, aiutando le organizzazioni a raggiungere gli obiettivi di conformità ISO 5055 con il minimo sforzo.

CVE e SBOM

L'Art. 16.3 delinea le modalità di adozione di una procedura per la gestione e la correzione delle vulnerabilità.

L'art. 27 stabilisce che tra i risultati da segnalare vi sono gli strumenti, le vulnerabilità, le azioni e le procedure adottate durante il periodo di riferimento.

CAST identifica automaticamente tutte le CVE (Common Vulnerabilities and Exposures) che comportano rischi per la sicurezza a livello di portafoglio e di singola applicazione, inviando notifiche automatiche via e-mail sulle nuove CVE non appena vengono scoperte. Inoltre, estende la copertura del rischio di sicurezza identificando le CWE (Common Weakness Enumerations), che rappresentano possibili vulnerabilità future non ancora segnalate ufficialmente come CVE. Questo processo avviene grazie all'esclusivo Open Source Software Intelligence Database (OSSIDB) di CAST e alla tecnologia di analisi della qualità del codice strutturale, che monitora i componenti OSS (Open Source Software) più diffusi.

CAST consente anche di generare periodicamente SBOM (Software Bill of Materials), un inventario dettagliato di tutti gli elementi software che costituiscono l’applicazione.

Grazie alla Software Intelligence di CAST, è possibile eseguire l'analisi della composizione del software (SCA) su un portafoglio applicativo e creare automaticamente un inventario completo dei componenti di terze parti, utilizzati nel codice. Questo inventario identifica le tipologie di licenze e le relative versioni, evidenziando la conformità alle licenze e le possibili vulnerabilità di sicurezza. Inoltre, CAST fornisce raccomandazioni sui rimedi necessari per mitigare i rischi identificati.