Il framework europeo in materia di cybersecurity e resilienza delle infrastrutture IT sta vivendo un’evoluzione straordinaria, guidata da normative come NIS 2 e il Regolamento DORA.
In questo articolo, ci focalizzeremo su quest’ultimo e sul suo impatto per i player del mercato finanziario che adottano architetture cloud native per i propri processi core.
I pilastri di DORA, il framework armonizzato per il settore finanziario
Con il Digital Operational Resilience Act (DORA), il legislatore europeo ha inteso creare un framework armonizzato di resilienza digitale per il settore finanziario, riconoscendone la strategicità per l’economia del continente. L’obiettivo non è soltanto rafforzare la protezione delle infrastrutture IT, ma rendere omogenei, verificabili e regolamentati i requisiti di gestione del rischio ICT, la risposta agli incidenti e il controllo sui fornitori tecnologici.
Il regolamento, applicabile da gennaio 2025, si fonda su alcuni principi cardine destinati a modellare le strategie digitali degli operatori finanziari. Tra questi, l’integrazione della gestione del rischio ICT nella governance aziendale, il rafforzamento della resilienza digitale e della capacità di risposta agli incidenti, che deve poggiare su processi strutturati di rilevamento, analisi, contenimento e comunicazione alle autorità competenti.
A questo si affianca la gestione del rischio legato alle terze parti, con implicazioni dirette per i fornitori – in particolare quelli ICT – delle entità finanziarie, che diventano a tutti gli effetti parte integrante del perimetro regolamentare.
L’impatto di DORA sulla cloud native security
Il progresso tecnologico delle entità finanziarie passa sempre più spesso dall’adozione di architetture cloud-native, utilizzate sia per la modernizzazione del parco applicativo esistente sia per lo sviluppo di nuovi servizi digitali core.
L’approccio cloud-native, con la sua capacità di abilitare scalabilità, flessibilità e resilienza, è un asset strategico per qualsiasi istituzione finanziaria che voglia mantenere competitività e capacità di adattamento. Tuttavia, l’elevato livello di distribuzione e di astrazione introdotto da componenti come microservizi, container, orchestratori e pipeline CI/CD crea livelli completamente nuovi di complessità ed elementi di potenziale vulnerabilità non semplici da gestire.
Dalle configurazioni di Kubernetes alle architetture fault-tolerant
La complessità del paradigma cloud native ha un impatto importante sulla sicurezza dei sistemi digitali. Si pensi, ad esempio, alla gestione delle configurazioni di Kubernetes, che richiede una governance precisa e continua per evitare derive di rischio, oppure alla protezione dei flussi di dati tra microservizi, che devono essere costantemente tracciati, osservati e protetti, pena l’impossibilità di soddisfare i requisiti della normativa, anche in ottica di incident detection.
In ambienti cloud-native, laddove le risorse sono dinamiche per definizione, anche solo garantire trasparenza e visibilità sull’infrastruttura rappresenta una sfida importante, e a ciò si aggiunge la difficoltà di adottare processi di vulnerability management efficaci in architetture composte da centinaia o migliaia di microservizi. Occorre introdurre, per esempio, meccanismi di scansione continua delle immagini Docker, strumenti di analisi delle dipendenze applicative, inventari degli asset in tempo reale e capacità di prioritizzazione automatizzata delle vulnerabilità in base al livello di esposizione e alla criticità dei workload coinvolti.
Tutto questo, però, non è sufficiente se non si tengono in considerazione anche le tematiche di rilevazione, gestione e documentazione degli incidenti, oltre che di recovery e continuità operativa. Quest’ultimo aspetto, in particolare, richiede l’adozione di paradigmi architetturali resilienti e basati sul principio della fault tolerance, nonché l’implementazione di strategie di decoupling per isolare i singoli domini applicativi e lo sviluppo, testing e automazione di processi di disaster recovery.
La cloud-native security parte dall’approccio giusto: DevSecOps
Nell’attuale contesto regolatorio, in cui resilienza operativa e gestione strutturata del rischio ICT sono diventati requisiti vincolanti, la cloud-native security richiede un approccio sistemico, fondato sui principi DevSecOps. Non tanto, dunque, un cambio di strumenti ma di mindset e di processo, il cui fine è integrare la sicurezza lungo tutto il ciclo di vita del software ed evitare che sia confinata alle fasi finali di rilascio.
Il paradigma DevSecOps nasce proprio da questa esigenza: spostare a sinistra (shift left) le attività di sicurezza, portandole nelle fasi più precoci del ciclo DevOps, a partire dalla progettazione architetturale e dalla scrittura del codice. Questo approccio consente di identificare vulnerabilità e configurazioni errate quando i costi di correzione sono minimi e i tempi di intervento più rapidi.
Nell’ottica della nuova normativa europea, adottare una strategia DevSecOps significa partire col piede giusto, ovvero ridurre l’esposizione al rischio e potenziare in modo strutturale le capacità di detection e remediation, elementi chiave ai fini della compliance. Fondamentale, in quest’ottica, è (anche) automatizzare i controlli di sicurezza, integrandoli direttamente nelle pipeline CI/CD tramite strumenti di analisi statica e dinamica del codice (SAST/DAST), che rilevano anomalie e vulnerabilità prima del rilascio in produzione.
Tutto questo, senza dimenticare l’importanza di un’osservabilità continua dei sistemi cloud-native, resa possibile da log, telemetria, tracing e alerting in tempo reale.
