Microsoft Entra considerazioni sul cliente in DORA
Nota
Queste informazioni non sono legali, finanziarie o professionali e non devono essere considerate come una dichiarazione completa né le azioni necessarie per rispettare i requisiti della legge. Viene fornito solo a scopo informativo.
Il Digital Operational Resilience Act (DORA) è un quadro normativo istituito dall'Unione europea, volto a fortificare la resilienza operativa del settore dei servizi finanziari in mezzo al panorama in rapida evoluzione dei rischi delle tecnologie dell'informazione e della comunicazione (ICT). Le entità regolamentate possono prendere in considerazione l'incorporazione di funzionalità e funzionalità Microsoft Entra nei framework, nei criteri e nei piani per allinearsi a determinati requisiti in DORA.
Anche se Microsoft Entra ID offre controlli che consentono di soddisfare determinati requisiti DORA e offre funzionalità moderne di gestione delle identità e degli accessi (IAM), affidarsi esclusivamente a una piattaforma IAM non è sufficiente per proteggere i dati delle entità finanziarie. È importante esaminare questo articolo e tutti i requisiti DORA per stabilire un programma completo di resilienza operativa digitale. Per le risorse ufficiali di DORA, visitare il sito web ufficiale dell'Autorità europea per le assicurazioni e le pensioni aziendali e professionali.
Microsoft Entra e DORA
Microsoft Entra, costituito da Microsoft Entra ID (in precedenza Azure Active Directory) e altre funzionalità di Microsoft Entra è un servizio di identità aziendale che consente di proteggere applicazioni, sistemi e risorse a supporto delle attività di conformità DORA. Microsoft Entra ID è alla base delle offerte aziendali Microsoft, come Microsoft 365, Azure e Dynamics 365, migliora la sicurezza complessiva e la protezione delle identità e può svolgere un ruolo cruciale nell'allineamento ai più ampi requisiti di gestione dei rischi ICT previsti da DORA.
Le entità regolamentate possono prendere in considerazione l'incorporazione di funzionalità Microsoft Entra nei framework, nei criteri e nei piani per allinearsi a determinati requisiti in DORA:
- Framework di gestione dei rischi ICT
- Criteri di continuità aziendale ICT
- Piani di risposta e ripristino ICT
Ognuno degli elementi di cui sopra può includere diverse strategie, politiche, procedure, protocolli ICT e strumenti che le entità finanziarie devono implementare. L'elenco precedente non deve essere considerato esaustivo.
Inoltre, un quadro di governance e controllo interno che garantisce una gestione efficace e prudente del rischio ICT è fondamentale per mitigare i rischi che dora cerca di affrontare. Se tale framework è supportato tramite l'uso di controlli Microsoft Entra, dovrebbe essere eseguita una valutazione regolare dei controlli e di altre mitigazioni dei rischi per i carichi di lavoro supportati, con particolare attenzione a quelli che sono parte integrante della fornitura di servizi finanziari.
Microsoft Entra indicazioni per i clienti nell'ambito di DORA
L'architettura geograficamente distribuita di Microsoft Entra combina funzionalità complete di monitoraggio, reindirizzamento automatizzato, failover e ripristino per offrire disponibilità elevata e prestazioni continue. Microsoft adotta anche un approccio completo alla gestione degli eventi imprevisti di sicurezza, alla gestione dei fornitori e alla gestione delle vulnerabilità.
Microsoft Entra ID funzionalità può aiutare le entità finanziarie a rispettare gli obblighi di conformità dora. La tabella seguente illustra le funzionalità, le funzionalità e le offerte di servizi Microsoft, oltre a indicazioni correlate e un elenco non esaustivo di esempi di articoli DORA da considerare come parte di un programma completo di resilienza operativa digitale.
Gli articoli a cui si fa riferimento nella tabella seguente forniscono indicazioni alle entità finanziarie su come configurare e rendere operative le Microsoft Entra ID in modo da promuovere procedure consigliate IAM (Identity and Access Management) efficaci nell'ambito degli obblighi di conformità dora.
Nota
Per brevità, abbiamo definito rts sul framework di gestione dei rischi ICT e sul framework semplificato di gestione dei rischi ICT (Ref. JC 2023 86) come "RTS on ICT risk management frameworks".
Funzionalità, funzionalità o offerta di servizi Microsoft | Indicazioni per la considerazione dei clienti | Articoli dora di esempio per la considerazione del cliente |
---|---|---|
Più funzionalità Microsoft Entra ID consentono alle organizzazioni di creare resilienza nella gestione delle identità e degli accessi. | Le entità finanziarie possono migliorare la resilienza nei sistemi protetti da Microsoft Entra ID seguendo le raccomandazioni incluse e a cui si fa riferimento nell'articolo seguente: |
DORA Act:
|
Microsoft Entra sistema di autenticazione del backup | Le entità finanziarie possono prendere in considerazione il sistema di autenticazione di backup Microsoft Entra, che aumenta la resilienza dell'autenticazione in caso di interruzione. Le entità finanziarie possono adottare misure per garantire che gli utenti possano eseguire l'autenticazione usando il sistema di autenticazione di backup in caso di interruzione, ad esempio:
|
DORA Act:
|
valutazione dell'accesso continuo Microsoft Entra | Le entità finanziarie possono prendere in considerazione l'utilizzo della valutazione dell'accesso continuo, che consente a Microsoft Entra ID di emettere token di durata più lunga, consentendo alle applicazioni di revocare l'accesso e forzare la riautenticazione solo quando necessario. Il risultato netto di questo modello è un minor numero di chiamate per acquisire token, il che significa che il flusso end-to-end è più resiliente. Per usare CAE, sia il servizio che il client devono supportare CAE. Pertanto, le entità finanziarie possono prendere in considerazione questi passaggi di implementazione per aggiornare il codice per usare le API abilitate per CAE, assicurarsi che vengano usate versioni compatibili delle applicazioni native di Microsoft Office e ottimizzare le richieste di riautenticazione. |
DORA Act:
|
Opzioni dell'architettura dell'autenticazione ibrida Microsoft | Le entità finanziarie che richiedono un'architettura di autenticazione ibrida possono considerare la resilienza dei meccanismi per l'autenticazione ibrida, incluse le dipendenze locali e i potenziali punti di errore.
|
DORA Act:
|
Più funzionalità Microsoft Entra ID consentono alle organizzazioni di rafforzare il proprio comportamento di sicurezza del tenant. | Le entità finanziarie possono distribuire azioni consigliate critiche:
|
DORA Act:
|
L'accesso Single Sign-On (SSO) per le applicazioni aziendali in Microsoft Entra ID consente di garantire i vantaggi dei criteri delle credenziali, del rilevamento delle minacce, del controllo, della registrazione e di altre funzionalità aggiunte a tali applicazioni. | Le entità finanziarie possono configurare le applicazioni per l'uso di Microsoft Entra ID come provider di identità per sfruttare i criteri delle credenziali, il rilevamento delle minacce, il controllo, la registrazione e altre funzionalità che consentono di proteggere e monitorare adeguatamente le applicazioni. Seguire le raccomandazioni sulla gestione delle applicazioni per garantire che le applicazioni siano protette, gestite, monitorate e pulite. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
L'autenticazione a più fattori in Microsoft Entra ID richiede due o più metodi di autenticazione per aumentare la sicurezza. | Le entità finanziarie possono implementare l'autenticazione a più fattori (MFA) in Microsoft Entra ID per ridurre notevolmente il rischio di accesso non autorizzato e garantire la sicurezza dei sistemi ICT:
|
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
L'accesso condizionale in Microsoft Entra ID è il motore dei criteri Zero Trust di Microsoft che tiene conto dei segnali provenienti da varie origini quando si applicano le decisioni relative ai criteri. | Le entità finanziarie possono implementare i controlli seguenti all'interno dell'accesso condizionale per tutti gli utenti:
È anche consigliabile che le entità finanziarie rivedino e considerino i criteri consigliati nelle linee guida per la distribuzione dell'accesso condizionale. L'implementazione dei controlli precedenti per gli account con privilegi può essere considerata un requisito critico, in quanto questi account possono avere un impatto grave sulla sicurezza e sul funzionamento di Microsoft Entra ID. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Privileged Identity Management (PIM) è un servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso alle risorse importanti dell'organizzazione. | È possibile implementare controlli di sicurezza affidabili per i ruoli con privilegi per evitare la disponibilità accidentale o dannosa Microsoft Entra ID, la configurazione errata e/o la perdita di dati:
|
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Microsoft Entra ID fornisce controlli degli accessi in base al ruolo, inclusi ruoli predefiniti e ruoli personalizzati. | Le entità finanziarie possono seguire il principio dei privilegi minimi per limitare l'accesso a ciò che è necessario per le funzioni e le attività legittime e approvate, contribuendo a ridurre al minimo il potenziale impatto di una violazione della sicurezza. Come parte di una strategia con privilegi minimi, è consigliabile che le entità finanziarie seguano le procedure consigliate per i ruoli Microsoft Entra. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Le azioni protette in Microsoft Entra ID sono autorizzazioni a cui sono stati assegnati criteri di accesso condizionale. Quando un utente tenta di eseguire un'azione protetta, deve prima soddisfare i criteri di accesso condizionale assegnati alle autorizzazioni necessarie. | Per aumentare il numero di azioni amministrative che rientrano nell'ambito delle azioni protette e ridurre il rischio di blocco del tenant, seguire le procedure consigliate per le azioni protette in Microsoft Entra ID. Per proteggere da eliminazioni hard accidentali o dannose di alcuni oggetti directory eliminati temporaneamente dal Cestino e dalla perdita di dati permanente, è possibile aggiungere un'azione protetta per l'autorizzazione seguente: Microsoft.directory/deletedItems/delete Questa eliminazione si applica agli utenti, ai gruppi di Microsoft 365 e alle applicazioni. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Microsoft Entra ID supporta numerose opzioni di integrazione del log attività per l'archiviazione o l'analisi, per soddisfare gli obiettivi di risoluzione dei problemi, archiviazione a lungo termine o monitoraggio. | Le entità finanziarie possono selezionare e implementare un approccio di integrazione del log attività che consente l'analisi e il monitoraggio continui e un periodo di conservazione dei dati sufficiente:
|
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Microsoft Identity Secure Score indica l'allineamento di un'organizzazione con alcune raccomandazioni Microsoft per la sicurezza. | Le entità finanziarie possono esaminare regolarmente Microsoft Identity Secure Score per misurare e tenere traccia del comportamento di sicurezza delle identità e pianificare i miglioramenti della sicurezza delle identità. Microsoft offre anche numerosi servizi, ad esempio il Workshop di Microsoft Zero Trust, che consente alle organizzazioni di valutare il comportamento di sicurezza del tenant Microsoft Entra, come descritto altrove in questa tabella. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
La funzionalità Microsoft Entra raccomandazioni consente di garantire la sicurezza e l'integrità del tenant tramite monitoraggio e avvisi tramite posta elettronica. | Le entità finanziarie possono controllare regolarmente Microsoft Entra raccomandazioni per garantire la consapevolezza di eventuali nuove raccomandazioni, in quanto possono aiutare a identificare le opportunità di implementare procedure consigliate e ottimizzare le configurazioni per le funzionalità correlate a Microsoft Entra ID. | DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Cartelle di lavoro di Azure per Microsoft Entra ID offre una rappresentazione visiva dei dati del tenant, abilitando l'esecuzione di query e la visualizzazione per una serie di scenari di gestione delle identità. | Le entità finanziarie possono selezionare ed esaminare regolarmente i modelli di cartella di lavoro in Microsoft Entra ID che consentono di monitorare la sicurezza e il funzionamento dei casi d'uso Microsoft Entra ID rilevanti. Come esempi di modelli di cartelle di lavoro pubblici Microsoft Entra correnti che possono essere utili:
|
DORA Act:
|
Microsoft Graph offre l'accesso basato su API a Microsoft Entra ID e a numerosi servizi di Microsoft 365. | Per ridurre la superficie di attacco di un'applicazione e l'impatto di una violazione della sicurezza, le entità finanziarie possono seguire il principio dei privilegi minimi durante la compilazione, l'assegnazione dell'accesso e il controllo Microsoft Identity Platform'applicazione integrata. | DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Microsoft365DSC abilita la gestione automatica della configurazione del tenant. Microsoft365DSC supporta determinate configurazioni Microsoft Entra ID. | Per registrare determinate impostazioni di configurazione Microsoft Entra ID e tenere traccia delle modifiche, le entità finanziarie possono prendere in considerazione strumenti di gestione della configurazione automatizzati come Microsoft365DSC. Potrebbe essere necessaria la documentazione manuale per tutte le impostazioni di configurazione non disponibili tramite l'API. |
DORA Act:
|
Microsoft Entra ID Protection consente alle organizzazioni di rilevare, analizzare e correggere i rischi basati sull'identità. | Per rilevare, analizzare e correggere i rischi basati sull'identità (incluse le attività anomale), le entità finanziarie possono prendere in considerazione un servizio come Microsoft Entra ID Protection. Le entità finanziarie che distribuiscono Microsoft Entra ID Protection possono integrare il servizio con l'accesso condizionale in Microsoft Entra ID per la correzione automatizzata e strumenti siem (Security Information and Event Management), ad esempio Microsoft Sentinel per l'archivio, ulteriori indagini e correlazione. Sia le identità umane che quelle del carico di lavoro possono essere incluse nell'ambito di queste protezioni. È consigliabile usare strumenti di difesa aziendali per coordinare il rilevamento, la prevenzione, l'indagine e la risposta. Ad esempio, Microsoft Defender XDR consente ai team di sicurezza di proteggere e rilevare le proprie organizzazioni usando informazioni provenienti da altri prodotti di sicurezza Microsoft, tra cui Microsoft Entra ID Protection. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Microsoft Entra ID funzionalità di recuperabilità, tra cui l'eliminazione temporanea e le API Microsoft Graph per molti tipi di risorse diversi (ad esempio, API Graph per l'accesso condizionale). | Le entità finanziarie possono incorporare le procedure consigliate di recuperabilità nelle procedure di ripristino e nei test di continuità aziendale ICT (o attività simili), tra cui:
La frequenza dei passaggi precedenti può essere determinata dall'entità finanziaria in base alla criticità delle informazioni contenute all'interno di Microsoft Entra ID, considerando eventuali intervalli di tempo specificati da DORA. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Risorse Microsoft che forniscono informazioni e risorse di formazione relative a vulnerabilità, minacce informatiche, eventi imprevisti correlati alle TIC e funzionalità del prodotto correlate alla sicurezza. | Le entità finanziarie possono esaminare, tenere traccia e agire regolarmente sulle risorse fornite da Microsoft in relazione a vulnerabilità e minacce informatiche che possono includere: Le entità finanziarie possono sviluppare programmi di sensibilizzazione sulla sicurezza delle TIC che incorporano Microsoft Entra ID formazione per il personale pertinente che può includere:
Si noti che alcune delle risorse precedenti coprono una gamma di prodotti e tecnologie Microsoft Security. Non sono limitati a Microsoft Entra. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Microsoft Entra ID Governance è una soluzione di governance delle identità che consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità. | Le entità finanziarie possono prendere in considerazione la distribuzione di una soluzione di Governance delle identità per controllare i diritti di gestione degli accessi. Microsoft Entra ID Governance include le funzionalità seguenti che consentono di applicare il principio dei privilegi minimi alle risorse protette da Microsoft Entra ID:
|
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Risorse Microsoft che forniscono indicazioni relative alle operazioni di sicurezza Microsoft Entra ID e alla risposta agli eventi imprevisti. | Le entità finanziarie possono esaminare e prendere in considerazione l'operazionalizzazione delle operazioni di sicurezza Microsoft Entra ID e le linee guida per la risposta agli eventi imprevisti, tra cui, a titolo esemplificazionale:
|
DORA Act:
|
Risorse che forniscono informazioni correlate alla disponibilità (e potenzialmente correlate a) Microsoft Entra ID | Le entità finanziarie possono esaminare, tenere traccia e considerare regolarmente le informazioni incluse in questi articoli e siti:
Si noti che alcune delle risorse precedenti coprono una gamma di prodotti e tecnologie Microsoft Security. Non sono limitati a Microsoft Entra. |
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Offerte di servizi Microsoft che consentono alle organizzazioni di valutare il comportamento di sicurezza del tenant Microsoft Entra nell'ambito dei test di resilienza operativa digitale | Il programma di test della resilienza operativa digitale distribuito da un'entità finanziaria può comprendere una serie di valutazioni, strumenti e metodologie, tra cui, a titolo esemplificazionale:
Le entità finanziarie possono eseguire regolarmente tali valutazioni, a una frequenza in linea con gli attuali requisiti DORA. |
DORA Act:
|
Risorse che forniscono informazioni correlate alle modifiche Microsoft Entra | Le entità finanziarie possono tenere traccia e considerare regolarmente le informazioni incluse negli articoli e nei siti seguenti. Le azioni intraprese dalle entità finanziarie possono includere, ad esempio, test di regressione e aggiornamenti a processi e test correlati alla resilienza operativa digitale.
|
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Risorse che forniscono informazioni relative a test di penetrazione e Microsoft Entra ID | Le entità finanziarie che desiderano eseguire test di penetrazione sul cloud Microsoft possono prendere in considerazione le regole di engagement elencate in questo articolo: Le entità finanziarie possono prendere in considerazione le regole di impegno precedenti nel contesto della presente relazione delle autorità europee di vigilanza (ESA):
|
DORA Act:
RTS sui framework di gestione dei rischi ICT:
|
Risorse correlate all'abilitazione, all'imposizione e alla gestione dei controlli di crittografia e crittografia durante la trasmissione dei dati da o verso Microsoft Entra ID. | Per motivi di sicurezza, Microsoft Entra ID smetterà presto di supportare i protocolli e le crittografie TLS (Transport Layer Security) prima di TLS 1.2 e sta implementando il supporto per TLS 1.3. Le entità finanziarie possono prendere in considerazione i passaggi seguenti per garantire l'utilizzo e la gestione di controlli di crittografia e crittografia appropriati:
|
RTS sui framework di gestione dei rischi ICT:
RTS sui framework di gestione dei rischi ICT:
|
Risorse correlate alle caratteristiche di capacità e prestazioni Microsoft Entra ID | Le entità finanziarie possono prendere in considerazione la revisione e tenere traccia della documentazione seguente per comprendere alcune caratteristiche di capacità e prestazioni Microsoft Entra ID:
|
RTS sui framework di gestione dei rischi ICT:
RTS sui framework di gestione dei rischi ICT:
|
Accesso sicuro globale è la soluzione Microsoft Edge (SSE) del servizio di sicurezza Microsoft | I servizi finanziari possono implementare controlli per proteggere l'accesso a internet pubblico e alle reti private tramite l'accesso sicuro globale | RTS sui framework di gestione dei rischi ICT:
|
Risorse correlate all'acquisizione, allo sviluppo e alla manutenzione delle applicazioni | Financial Services può includere gli aspetti seguenti nell'ambito dell'acquisizione o della creazione di nuove applicazioni:
|
RTS sui framework di gestione dei rischi ICT:
|