statua di soldato che simboleggia la resilienza

Resilienza operativa digitale: una sfida per un numero crescente d’imprese

Il ruolo centrale dei sistemi informatici

La resilienza operativa, oggi legata a doppio filo ai sistemi informatici, non è più soltanto una questione interna aziendale. Per utility, banche, aeroporti, ospedali e altre aziende che gestiscono servizi alla collettività, un fermo accidentale o doloso dei servizi non è solo una causa di perdite economiche, ma può creare danni a catena di ampia portata per l’economia di un Paese e la vita delle persone. Ne ha preso coscienza il legislatore europeo che, dopo i numerosi disastri causati dal cybercrime, si sta preoccupando di normare l’impegno alla tutela di sistemi e dati. Al pari di quanto già fatto in passato sui temi della sicurezza alimentare, della circolazione stradale e altri di rilevanza pubblica. Nel mirino dei provvedimenti più recenti c’è la resilienza operativa del settore bancario/finanziario a tutela dei sistemi di pagamento e di credito. Molti osservatori sono tuttavia certi che norme simili potranno toccare in futuro altri ambiti d’impresa. Per questo è fondamentale parlare di resilienza operativa digitale.

keyboard button che contiene la parola resilienza

DORA: il regolamento europeo a tutela la resilienza operativa digitale

Da gennaio è in vigore il Digital Operational Resilience Act (DORA) il nuovo regolamento europeo che, assieme a NIS 2 e agli aggiornamenti della circolare 285 di Bankitalia, impone una più solida gestione delle tematiche riguardanti la resilienza ICT e la cybersecurity. Al di là delle banche e dei grandi istituti finanziari, le norme toccano anche realtà più piccole: società di trading, borse valori, società assicurative, previdenziali, di decentralized finance (criptovalute) e a cascata le filiere dei loro fornitori. DORA impone un ampliamento del perimetro di gestione del rischio operativo alle terze parti con cui si lavora, oltre a maggiore trasparenza.

La resilienza digitale va testata

Per essere conformi, le aziende interessate devono sottoporre i loro sistemi a specifici test basati sulle minacce reali in circolazione, identificare e mettere in atto le misure per migliorare le difese e garantire la resilienza. Devono inoltre programmare i piani in caso d’attacco informatico e predisporre i processi che, come nel caso del GDPR, prevedono la responsabilità nella comunicazione degli incidenti. La compliance con le nuove regole impone un health-check generale sulla resilienza dei data center, a cominciare dai supporti per il backup dei dati e la business continuity le cui prestazioni di recovery time e recovery point objective (RTO e RPO) sono spesso inadeguate alle nuove esigenze. Oltre alle capacità consulenziali, progettuali e realizzative per gli interventi sulle infrastrutture di security, il networking e i sistemi del data center, BinHexS è in grado di approntare soluzioni efficaci per la salvaguardia dei dati, il disaster recovery ed erogare servizi gestiti, in linea con le necessità di business e i budget disponibili.