
La resilienza digitale è passata dall’essere un obiettivo desiderabile all’essere un requisito misurabile. I dati sono inequivocabili. La maggior parte delle aziende non sopravviverebbe a tre giorni di inattività, tuttavia il 96% delle società di servizi finanziari riconosce di non essere ancora pienamente conforme a DORA (Digital Operational Resilience Act).
DORA è un Regolamento dell’Unione Europea concepito per rafforzare la capacità degli enti finanziari di resistere e reagire rapidamente a interruzioni legate alle tecnologie dell’informazione e della comunicazione (TIC), inclusi attacchi informatici, guasti di sistema e disservizi di fornitori terzi.
Il divario tra ciò che viene richiesto e ciò che le società sono realmente in grado di mettere in pratica continua ad ampliarsi. Le autorità di vigilanza stanno già spostando l’attenzione dalle intenzioni ai risultati concreti, ed è qui che iniziano i problemi.
Recovery sotto esame
Nel quadro di normative come DORA non è più sufficiente avere dei piani di ripristino: le organizzazioni devono dimostrare, con evidenze oggettive, che tali piani funzionano davvero quando serve. DORA impone test periodici dei piani di risposta e di ripristino, incluse simulazioni realistiche di attacchi informatici: i Recovery Point Objectives (RPO) e i Recovery Time Objectives (RTO) devono essere validati in condizioni reali.
Tuttavia, la definizione di “condizioni reali” è piuttosto vaga. Nella peggiore delle ipotesi, ad esempio se un aggressore riuscisse ad accedere alle credenziali di amministratore di livello più elevato, le conseguenze potrebbero essere catastrofiche. In molti casi quanto documentato non sarebbe in grado di reggere a uno scenario di crisi reale, uno scenario di crisi che mette a rischio la continuità operativa.
Backup: il vero obiettivo
Nella maggior parte degli attacchi ransomware, i backup sono tra i primi bersagli. Il motivo è evidente: impedendo il ripristino dei sistemi, gli aggressori aumentano le probabilità di ottenere il pagamento di un riscatto, che tuttavia non garantisce in alcun modo il recupero dei dati. In ogni caso, un attacco ransomware non è soltanto un problema informatico, potrebbe infatti bloccare la produzione, generare perdite di fatturato, interrompere i servizi ai clienti e le catene di approvvigionamento, con un conseguente e rapido indebolimento della reputazione aziendale. In questo scenario, la capacità di ripristinare i dati fa la differenza tra un incidente circoscritto e una crisi aziendale di vasta portata: un punto cruciale, che molte aziende ancora oggi sottovalutano.
Quasi tutte le aziende dispongono di sistemi di backup, ma se basati su tecnologie legacy possono offrire una falsa sensazione di sicurezza e apparire adeguati durante gli audit, mentre in condizioni reali, specie nel caso di un attacco grave, il più delle volte falliscono. Il problema non è solo tecnico, è anche strutturale.
L’immutabilità non è più un’opzione
Teoricamente, un backup immutabile non può essere sovrascritto, manomesso o eliminato. Tuttavia, spesso esistono eccezioni e scappatoie, soprattutto quando l’immutabilità è una funzionalità aggiuntiva anziché un componente nativo architettura di backup. Alcuni sistemi applicano l’immutabilità solo dopo la scrittura del backup, impediscono la crittografia end-to-end o consentono a chiunque disponga di privilegi elevati di eseguire un ripristino delle impostazioni di fabbrica. Tali limitazioni creano finestre di opportunità che gli aggressori possono sfruttare. Disporre di backup con immutabilità assoluta significa che nessuno, nemmeno amministratori con privilegi elevati, può modificare o eliminare i dati di backup una volta che sono stati scritti.
Non si tratta solo di un requisito tecnico, ma strutturale. I sistemi che si basano sull’accesso privilegiato per gestire l’immutabilità introducono un singolo punto di guasto. In un ambiente compromesso, questo è sufficiente a rendere impossibile il ripristino. Le aziende dovrebbero ricorrere a storage di backup che implementino un modello Zero Access alle azioni distruttive per progettazione (by design), e non semplicemente tramite policy, e che possano essere verificate tramite test indipendenti di terze parti.
Quando la complessità diventa un moltiplicatore di rischio
Con l’aumentare delle esigenze normative, spesso aumenta anche la complessità operativa. Le grandi imprese possono gestirla grazie a team e strumenti specializzati, ma per molte aziende l’introduzione di sistemi, controlli e processi aggiuntivi può aumentare il rischio di errori di configurazione, punti scoperti e malfunzionamenti.
Questa complessità può inoltre rendere più difficile dimostrare la resilienza operativa. Più strumenti significano anche una maggiore complessità gestionale, più documentazione e maggiori risorse necessarie per condurre test regolari e verificabili. La giusta architettura di backup dovrebbe ridurre questo onere ed essere sufficientemente semplice da utilizzare, sicura per riuscire a resistere alle minacce del mondo reale e sufficientemente robusta da supportare attività di test, senza interrompere le operazioni.
Dalla teoria alla pratica
La vera sfida non consiste più solo nell’essere conformi alle regole, ma nel dimostrare che i processi di recovery siano in grado di assicurare un ripristino rapido, sostenere con successo test periodici e verificabili e dimostrare la propria performance anche sotto pressione. Perché, in definitiva, la resilienza non si misura dall’esito degli audit, bensì con la capacità di garantire il ripristino anche nelle situazioni più difficili.
Oggi, molte organizzazioni rimangono intrappolate in un paradosso: più cercano di essere conformi alle normative, più si appesantiscono dal punto di vista operativo e meno sono preparate a reagire. Ridurre il divario tra quanto dichiarato dalle imprese nella documentazione di conformità, e ciò che team e sistemi sono effettivamente in grado di fare sotto pressione, è senza dubbio la più grande sfida per la resilienza nell’era di DORA.
A cura di Simona Riela, Senior Channel and Territory Manager di Object First in Italia
























































