• Non sono presenti suggerimenti perché il campo di ricerca è vuoto.

Come gestire la conformità al Regolamento DORA
Sulla base di standard Internazionali

Gestione dei rischi di sicurezza e Vendor management

Implementazione di un processo di prevenzione dei rischi

Attuazione di gate di controllo sul software dei fornitori esterni

Quali cambiamenti introduce DORA?

DORA stabilisce un framework comune per la gestione e la mitigazione del rischio ICT nel settore finanziario
  • Le organizzazioni devono mappare i propri sistemi ICT, identificare e classificare funzioni e asset critici e documentare le dipendenze tra risorse, sistemi, processi e provider. Devono inoltre condurre continui accertamenti del rischio sui propri sistemi ICT, documentare e classificare le minacce informatiche e documentare le misure in atto per mitigare eventuali rischi identificati.
  • DORA obbliga le entità finanziarie al controllo dell’intera filiera di fornitura di sistemi e servizi ICT, attivando un sistema strutturato di vendor & supplier risk management.
DORA - Digital Operational Resilience Act

Come soddisfare, nei fatti, i requisiti richiesti da DORA?

DORA richiede l’adozione di un approccio proattivo e informato, che contempla lo svolgimento di una serie di attività. DORA obbliga le organizzazioni finanziarie a valutare in maniera integrata la resilienza dei sistemi aziendali, il rischio ICT e il relativo monitoraggio nel tempo.

Sicurezza applicativa e prevenzione dei rischi

CAST è in grado di fornire una soluzione completa “360° Security” DevSecOps che consente di implementare un processo di prevenzione dei rischi tramite:

  • analisi strutturale SAST dei codici applicativi, identificando i rischi secondo standard (ISO 5055-Security, OWASP, CWE, PCI-DSS)
  • individuazione delle root-cause, gestione e tracciatura di piani di rimedio basati su obiettivi (compliance, risk containment, remediation budget).
  • audit sulle componenti software di terze parti, dirette o come Software Bill of Materials (SBOM) in termini di:
    • vulnerabilità NVD note (CVE e KEV)
    • zero-day vulnerability (CWE nel codice sorgente open source)
    • rischi legati al licensing e alla proprietà intellettuale
    • rischi connessi all'obsolescenza dei componenti
Security Dashboard - WebGoatNetBenchmark

Strategia di gestione dei fornitori

Le soluzioni CAST per il Vendor Management / Supply Chain Management, integrandosi agevolmente nei processi e nelle catene CI/CD, permettono di implementare gate di controllo sul software dei fornitori esterni, misurandolo secondo varie prospettive (qualità strutturale e sicurezza secondo ISO 5055, dimensione funzionale secondo ISO 19515, safety delle componenti open source, aderenza a regole e pattern architetturali).

Per maggiori dettagli sulla trasparenza della catena di fornitura del software clicca qui

ecommerce - Size Indicators

La normative DORA e gli strumenti di CAST

Analizzando alcuni degli articoli contenuti nel documento RTS (Regulatory Technical Standard) che definisce gli strumenti, le metodologie, i processi e le policy (TMPP) per l’ICT Risk Management delle entità finanziarie secondo il regolamento 2022/2054 DORA, risulta chiaro come CAST possa soddisfare la compliance alla nuova normativa:

Analisi statica del codice sorgente
L’Art 16.8 stabilisce che la procedura deve prevedere la verifica del codice sorgente sia per i codici proprietari che per quelli open-source.

L'analisi statica del codice di CAST è una metodologia che esamina il codice sorgente di un'applicazione senza eseguirlo, utilizzando strumenti specializzati per identificare bug, vulnerabilità di sicurezza, difetti di qualità e problemi di manutenibilità e altre criticità. Questa analisi si basa su una serie di regole predefinite che valutano il codice in termini di conformità agli standard di codifica, alle best practice, alle performance e alla sicurezza.

Normativa ISO 5055
L’Art. 16.1 richiede che la politica per l'acquisizione e la manutenzione del software faccia riferimento agli standard di sicurezza indicati nel regolamento 1025/2012.

In questo contesto l'ISO 5055 si allinea perfettamente agli obiettivi del regolamento affrontando 4 aree: sicurezza, affidabilità, manutenibilità ed efficienza e consentendo ai CIO e ai loro Team di verificare le proprie applicazioni critiche in una logica di prevenzione dei rischi, basata su uno standard riconosciuto a livello internazionale. La piattaforma di analisi di CAST integra automaticamente le regole della norma ISO 5055, semplificando l'adozione dello standard. Inoltre, CAST fornisce piani d'azione dettagliati che indicano le priorità per affrontare i punti deboli, aiutando le organizzazioni a raggiungere gli obiettivi di conformità ISO 5055 con il minimo sforzo.

CVE e SBOM
L'Art. 16.3 delinea le modalità di adozione di una procedura per la gestione e la correzione delle vulnerabilità.
L'art. 27 stabilisce che tra i risultati da segnalare vi sono gli strumenti, le vulnerabilità, le azioni e le procedure adottate durante il periodo di riferimento.

CAST identifica automaticamente tutte le CVE (Common Vulnerabilities and Exposures) che comportano rischi per la sicurezza a livello di portafoglio e di singola applicazione, inviando notifiche automatiche via e-mail sulle nuove CVE non appena vengono scoperte. Inoltre, estende la copertura del rischio di sicurezza identificando le CWE (Common Weakness Enumerations), che rappresentano possibili vulnerabilità future non ancora segnalate ufficialmente come CVE. Questo processo avviene grazie all'esclusivo Open Source Software Intelligence Database (OSSIDB) di CAST e alla tecnologia di analisi della qualità del codice strutturale, che monitora i componenti OSS (Open Source Software) più diffusi.

CAST consente anche di generare periodicamente SBOM (Software Bill of Materials), un inventario dettagliato di tutti gli elementi software che costituiscono l’applicazione.

Grazie alla Software Intelligence di CAST, è possibile eseguire l'analisi della composizione del software (SCA) su un portafoglio applicativo e creare automaticamente un inventario completo dei componenti di terze parti, utilizzati nel codice. Questo inventario identifica le tipologie di licenze e le relative versioni, evidenziando la conformità alle licenze e le possibili vulnerabilità di sicurezza. Inoltre, CAST fornisce raccomandazioni sui rimedi necessari per mitigare i rischi identificati.