L’azienda Saturn Over, tra i leader italiani nel campo dell’Outsourcing di servizi non core e del Facility Management, specializzato nei settori finanziari e assicurativi, è operativa da oltre 25 anni. L’azienda rientrava nelle tipologie di soggetti individuati nell’articolo 2 del REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario (DORA). I servizi erogati, infatti, se interrotti anche temporaneamente, potrebbero rischiare di compromettere la regolare operatività o l’erogazione di servizi bancari o assicurativi dei propri clienti.
Per questo motivo l’azienda ha deciso di intraprendere volontariamente un percorso di adeguamento ai requisiti di compliance di DORA, con i seguenti obiettivi:
- anticipare eventuali richieste di compliance da parte dei propri clienti nell’ambito dell’estensione dei requisiti DORA di Cyber-resilienza alla loro catena di fornitura.
- Conseguire un assetto organizzativo sicuro e resiliente in anticipo rispetto ai propri concorrenti, in modo da acquisire un vantaggio competitivo tangibile e differenziarsi ulteriormente da loro, potendo essere pronta a erogare i propri servizi anche verso grandi corporate molto strutturate.
Inoltre, avendo l’azienda riscontrato la carenza di un sistema strutturato di governance della Cybersecurity aziendale, c’era l’esigenza di introdurre un modello organizzativo di Cybersecurity adeguato alla propria complessità operativa e di adeguare allo stesso tempo la cultura aziendale.
Saturn Over si è quindi rivolta a Profice, società di formazione e consulenza, specializzata nelle certificazioni aziendali. Attraverso un percorso di consulenza e affiancamento sviluppato su 4 fasi, si è definito un ASSESSMENT DI DETTAGLIO E DORA REMEDIATION PLAN, con le seguenti attività richieste ai fini della compliance legislativa: GAP Analysis e identificazione dei rischi rispetto ai requisiti normativi (nelle aree Governance, People & Organization, Gestione Fornitori, Gestione Operations (ovvero Processi, servizi e infrastruttura tecnologica). Questa analisi ha permesso di individuare il livello di maturità aziendale per ognuno degli ambiti aziendali e a definire un Cyber-resiliency Readiness Score generale. Ancora, è stata condotta una valutazione degli impatti con la definizione di un Piano di Remediation, individuando le attività di adeguamento più appropriate e meno invasive, adottando un approccio di compliance basato sul criterio di proporzionalità degli interventi rispetto alla complessità e alla criticità dei servizi e del contesto aziendale, e pianificando le attività di remediation per ordine di priorità rispetto ai requisiti normativi. Ne è seguito un modello di Cybersecurity Governance e di Incident Management basato su standard e best practices internazionali, facilmente conciliabile con la realtà e la cultura di Saturn Over.
La seconda fase ha previsto un SUPPORTO OPERATIVO ALL’ADEGUAMENTO; ovvero un supporto nella redazione documentale dei processi e delle procedure aziendali; la definizione concordata delle misure di controllo e monitoraggio; l’affiancamento nella scelta e nell’implementazione delle misure di adeguamento concordate, formazione del management e dei key users aziendali sui temi di compliance DORA, con particolare riferimento alle attività da eseguire nel day by day, e ai controlli di monitoraggio da applicare con regolarità per garantire la corretta resilienza operativa.
La terza fase ha compreso l’AUDIT DI TERZA PARTE E ASSERZIONE DI CONFORMITA’ DORA, con lo sviluppo, in collaborazione con Dimitto Certification Services – organismo di certificazione terzo accreditato -, di uno schema di asserzione proprietario basato sui requisiti di conformità legislativa al regolamento DORA. Al termine del percorso di compliance interno, Profice ha condotto la pianificazione di un audit da parte di un ispettore esterno inviato dall’Ente di Certificazione, al fine di constatare formalmente il rispetto dei requisiti di conformità legislativa secondo lo schema proprietario precedentemente sviluppato. Il passo successivo è stato l’emissione da parte dell’Organismo di Certificazione del certificato finale di Asserzione in conformità al regolamento DORA. “L’adesione a questo schema di asserzione, oltre che essere validato da un ente terzo, richiede anche un mantenimento annuale, e come tale vale anche come garanzia del rispetto e della conformità al regolamento DORA nel tempo da parte del cliente”, ha spiegato Giuseppe Gualandris, ceo di Profice (nell’immagine).
La quarta fase ha riguardato la MESSA A REGIME DI UN SISTEMA SIEM E DI UN PROGRAMMA DI VULNERABILITY ASESSMENTS e PEN TEST PERIODICI, con l’introduzione e installazione di un sistema SIEM (Security Information and Event Management) di monitoraggio continuo e rilevazione delle minacce potenzialmente applicabili all’infrastruttura IT del cliente, al fine di prevenire incidenti e compromissioni dell’operatività aziendale. La gestione del SIEM è stata seguita da Profice, in stretta collaborazione con gli amministratori di sistema e di rete aziendali. A seguire, sono stati pianificati Vulnerability Assessment e Pen Test periodici, sempre da parte di Profice, internamente ed esternamente al perimetro digitale aziendale, al fine di rafforzare la capacità di controllo delle vulnerabilità tecnologiche e di prevenzione delle minacce, secondo il modello di Cybersecurity Governance ed Incident Management concordato con Saturn Over.
Quali benefici concreti sono stati ottenuti? L’azienda Saturn Over, mediante il percorso proposto e implementato, ha raggiunto la conformità normativa, la redazione e l’implementazione di un modello di maturità in accordo al regolamento DORA, la sensibilizzazione e la cultura del personale interessato. Ha introdotto in pochi mesi un modello di Cybersecurity Governance e di Incident Detection & Management adeguato alla complessità e alla dimensione aziendale tale da garantire una appropriata Cyber-resilienza per sé e per i propri clienti. Come ha tenuto a specificare Viviana Patrizia Cattaneo, Ceo di Saturn Over: “Siamo grati a Profice per averci accompagnato in questo percorso di adeguamento normativo e di cambiamento culturale. Abbiamo deciso di avviare l’iter di conformità DORA su base spontanea sì, ma consapevoli che avrebbe richiesto cambiamenti e discontinuità anche importanti nella nostra organizzazione”.
“Grazie a Profice – continua Cattaneo – siamo riusciti a raggiungere i nostri obiettivi minimizzando l’invasività degli interventi e introducendo un cambio culturale e un nuovo modello di governance che ci accompagnerà nel tempo e ci aiuterà a rimanere resilienti e sicuri. Un grazie anche a Dimitto Certification Services, per aver assecondato la proposta di Profice nello sviluppo di uno schema di asserzione DORA, che ha reso ancor più efficaci i nostri sforzi, grazie alla validazione formale da parte di un organismo di certificazione ufficiale e importante come appunto è Dimitto”.
