Condividi tramite


Microsoft Entra considerazioni sul cliente in DORA

Nota

Queste informazioni non sono legali, finanziarie o professionali e non devono essere considerate come una dichiarazione completa né le azioni necessarie per rispettare i requisiti della legge. Viene fornito solo a scopo informativo.

Il Digital Operational Resilience Act (DORA) è un quadro normativo istituito dall'Unione europea, volto a fortificare la resilienza operativa del settore dei servizi finanziari in mezzo al panorama in rapida evoluzione dei rischi delle tecnologie dell'informazione e della comunicazione (ICT). Le entità regolamentate possono prendere in considerazione l'incorporazione di funzionalità e funzionalità Microsoft Entra nei framework, nei criteri e nei piani per allinearsi a determinati requisiti in DORA.

Anche se Microsoft Entra ID offre controlli che consentono di soddisfare determinati requisiti DORA e offre funzionalità moderne di gestione delle identità e degli accessi (IAM), affidarsi esclusivamente a una piattaforma IAM non è sufficiente per proteggere i dati delle entità finanziarie. È importante esaminare questo articolo e tutti i requisiti DORA per stabilire un programma completo di resilienza operativa digitale. Per le risorse ufficiali di DORA, visitare il sito web ufficiale dell'Autorità europea per le assicurazioni e le pensioni aziendali e professionali.

Microsoft Entra e DORA

Microsoft Entra, costituito da Microsoft Entra ID (in precedenza Azure Active Directory) e altre funzionalità di Microsoft Entra è un servizio di identità aziendale che consente di proteggere applicazioni, sistemi e risorse a supporto delle attività di conformità DORA. Microsoft Entra ID è alla base delle offerte aziendali Microsoft, come Microsoft 365, Azure e Dynamics 365, migliora la sicurezza complessiva e la protezione delle identità e può svolgere un ruolo cruciale nell'allineamento ai più ampi requisiti di gestione dei rischi ICT previsti da DORA.

Le entità regolamentate possono prendere in considerazione l'incorporazione di funzionalità Microsoft Entra nei framework, nei criteri e nei piani per allinearsi a determinati requisiti in DORA:

  • Framework di gestione dei rischi ICT
  • Criteri di continuità aziendale ICT
  • Piani di risposta e ripristino ICT

Ognuno degli elementi di cui sopra può includere diverse strategie, politiche, procedure, protocolli ICT e strumenti che le entità finanziarie devono implementare. L'elenco precedente non deve essere considerato esaustivo.

Inoltre, un quadro di governance e controllo interno che garantisce una gestione efficace e prudente del rischio ICT è fondamentale per mitigare i rischi che dora cerca di affrontare. Se tale framework è supportato tramite l'uso di controlli Microsoft Entra, dovrebbe essere eseguita una valutazione regolare dei controlli e di altre mitigazioni dei rischi per i carichi di lavoro supportati, con particolare attenzione a quelli che sono parte integrante della fornitura di servizi finanziari.

Microsoft Entra indicazioni per i clienti nell'ambito di DORA

L'architettura geograficamente distribuita di Microsoft Entra combina funzionalità complete di monitoraggio, reindirizzamento automatizzato, failover e ripristino per offrire disponibilità elevata e prestazioni continue. Microsoft adotta anche un approccio completo alla gestione degli eventi imprevisti di sicurezza, alla gestione dei fornitori e alla gestione delle vulnerabilità.

Microsoft Entra ID funzionalità può aiutare le entità finanziarie a rispettare gli obblighi di conformità dora. La tabella seguente illustra le funzionalità, le funzionalità e le offerte di servizi Microsoft, oltre a indicazioni correlate e un elenco non esaustivo di esempi di articoli DORA da considerare come parte di un programma completo di resilienza operativa digitale.

Gli articoli a cui si fa riferimento nella tabella seguente forniscono indicazioni alle entità finanziarie su come configurare e rendere operative le Microsoft Entra ID in modo da promuovere procedure consigliate IAM (Identity and Access Management) efficaci nell'ambito degli obblighi di conformità dora.

Nota

Per brevità, abbiamo definito rts sul framework di gestione dei rischi ICT e sul framework semplificato di gestione dei rischi ICT (Ref. JC 2023 86) come "RTS on ICT risk management frameworks".

Funzionalità, funzionalità o offerta di servizi Microsoft Indicazioni per la considerazione dei clienti Articoli dora di esempio per la considerazione del cliente
Più funzionalità Microsoft Entra ID consentono alle organizzazioni di creare resilienza nella gestione delle identità e degli accessi. Le entità finanziarie possono migliorare la resilienza nei sistemi protetti da Microsoft Entra ID seguendo le raccomandazioni incluse e a cui si fa riferimento nell'articolo seguente:
DORA Act:

  • Articolo 7: Sistemi, protocolli e strumenti ICT
Microsoft Entra sistema di autenticazione del backup Le entità finanziarie possono prendere in considerazione il sistema di autenticazione di backup Microsoft Entra, che aumenta la resilienza dell'autenticazione in caso di interruzione. Le entità finanziarie possono adottare misure per garantire che gli utenti possano eseguire l'autenticazione usando il sistema di autenticazione di backup in caso di interruzione, ad esempio:
DORA Act:
  • Articolo 7: Sistemi, protocolli e strumenti ICT
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.
valutazione dell'accesso continuo Microsoft Entra Le entità finanziarie possono prendere in considerazione l'utilizzo della valutazione dell'accesso continuo, che consente a Microsoft Entra ID di emettere token di durata più lunga, consentendo alle applicazioni di revocare l'accesso e forzare la riautenticazione solo quando necessario. Il risultato netto di questo modello è un minor numero di chiamate per acquisire token, il che significa che il flusso end-to-end è più resiliente.

Per usare CAE, sia il servizio che il client devono supportare CAE. Pertanto, le entità finanziarie possono prendere in considerazione questi passaggi di implementazione per aggiornare il codice per usare le API abilitate per CAE, assicurarsi che vengano usate versioni compatibili delle applicazioni native di Microsoft Office e ottimizzare le richieste di riautenticazione.
DORA Act:
  • Articolo 7: Sistemi, protocolli e strumenti ICT
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.
Opzioni dell'architettura dell'autenticazione ibrida Microsoft Le entità finanziarie che richiedono un'architettura di autenticazione ibrida possono considerare la resilienza dei meccanismi per l'autenticazione ibrida, incluse le dipendenze locali e i potenziali punti di errore.
  • Microsoft considera la sincronizzazione degli hash delle password come l'opzione di architettura ibrida più resiliente, in quanto ha dipendenze locali solo per la sincronizzazione e non per l'autenticazione. Ciò significa che gli utenti possono continuare a eseguire l'autenticazione con Microsoft Entra ID in caso di interruzione di PHS.
  • L'autenticazione pass-through (PTA) ha un footprint locale sotto forma di agenti PTA Microsoft Entra. Questi agenti devono essere disponibili per consentire agli utenti di eseguire l'autenticazione con Microsoft Entra ID.
  • La federazione richiede l'utilizzo di un servizio federativo, ad esempio Active Directory Federation Services (ADFS). La federazione ha la dipendenza più elevata dall'infrastruttura locale e, di conseguenza, più punti di errore di autenticazione.
  • Le organizzazioni che usano PTA o federazione possono anche prendere in considerazione l'abilitazione di PHS per la segnalazione di credenziali perse e la possibilità di passare all'uso dell'autenticazione cloud in caso di interruzione locale (ad esempio a causa di un attacco ransomware).
DORA Act:
  • Articolo 7: Sistemi, protocolli e strumenti ICT
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.
Più funzionalità Microsoft Entra ID consentono alle organizzazioni di rafforzare il proprio comportamento di sicurezza del tenant. Le entità finanziarie possono distribuire azioni consigliate critiche:

  • Rafforzare le credenziali
  • Ridurre la superficie di attacco
  • Automatizzare la risposta alle minacce
  • Usare l'intelligence cloud
  • Abilitare il self-service dell'utente finale
DORA Act:

  • Articolo 9: Protezione e prevenzione dei rischi ict garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie
L'accesso Single Sign-On (SSO) per le applicazioni aziendali in Microsoft Entra ID consente di garantire i vantaggi dei criteri delle credenziali, del rilevamento delle minacce, del controllo, della registrazione e di altre funzionalità aggiunte a tali applicazioni. Le entità finanziarie possono configurare le applicazioni per l'uso di Microsoft Entra ID come provider di identità per sfruttare i criteri delle credenziali, il rilevamento delle minacce, il controllo, la registrazione e altre funzionalità che consentono di proteggere e monitorare adeguatamente le applicazioni.

Seguire le raccomandazioni sulla gestione delle applicazioni per garantire che le applicazioni siano protette, gestite, monitorate e pulite.
DORA Act:

  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.
  • Articolo 18: Classificazione degli incidenti correlati alle TIC e delle minacce informatiche.


RTS sui framework di gestione dei rischi ICT:
  • Articolo 20: Gestione delle identità
L'autenticazione a più fattori in Microsoft Entra ID richiede due o più metodi di autenticazione per aumentare la sicurezza. Le entità finanziarie possono implementare l'autenticazione a più fattori (MFA) in Microsoft Entra ID per ridurre notevolmente il rischio di accesso non autorizzato e garantire la sicurezza dei sistemi ICT:

DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi ict garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie
  • Articolo 15: Ulteriore armonizzazione degli strumenti, dei metodi, dei processi e delle politiche di gestione dei rischi delle TIC

RTS sui framework di gestione dei rischi ICT:
  • Articolo 11: Sicurezza dei dati e del sistema
  • Articolo 21: Controllo di accesso
  • Articolo 33: Controllo di accesso (framework semplificato)
L'accesso condizionale in Microsoft Entra ID è il motore dei criteri Zero Trust di Microsoft che tiene conto dei segnali provenienti da varie origini quando si applicano le decisioni relative ai criteri. Le entità finanziarie possono implementare i controlli seguenti all'interno dell'accesso condizionale per tutti gli utenti:

È anche consigliabile che le entità finanziarie rivedino e considerino i criteri consigliati nelle linee guida per la distribuzione dell'accesso condizionale.

L'implementazione dei controlli precedenti per gli account con privilegi può essere considerata un requisito critico, in quanto questi account possono avere un impatto grave sulla sicurezza e sul funzionamento di Microsoft Entra ID.
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi ict garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie
  • Articolo 15: Ulteriore armonizzazione degli strumenti, dei metodi, dei processi e delle politiche di gestione dei rischi delle TIC

RTS sui framework di gestione dei rischi ICT:
  • Articolo 11: Sicurezza dei dati e del sistema
  • Articolo 21: Controllo di accesso
  • Articolo 22: Criteri di gestione degli eventi imprevisti correlati alle TIC
  • Articolo 23: Rilevamento delle attività anomale e criteri per il rilevamento e la risposta degli eventi imprevisti correlati alle TIC
  • Articolo 33: Controllo di accesso (framework semplificato)
Privileged Identity Management (PIM) è un servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso alle risorse importanti dell'organizzazione. È possibile implementare controlli di sicurezza affidabili per i ruoli con privilegi per evitare la disponibilità accidentale o dannosa Microsoft Entra ID, la configurazione errata e/o la perdita di dati:
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.

RTS sui framework di gestione dei rischi ICT:
  • Articolo 11: Sicurezza dei dati e del sistema
  • Articolo 21: Controllo di accesso
  • Articolo 33: Controllo di accesso (framework semplificato)
Microsoft Entra ID fornisce controlli degli accessi in base al ruolo, inclusi ruoli predefiniti e ruoli personalizzati. Le entità finanziarie possono seguire il principio dei privilegi minimi per limitare l'accesso a ciò che è necessario per le funzioni e le attività legittime e approvate, contribuendo a ridurre al minimo il potenziale impatto di una violazione della sicurezza.

Come parte di una strategia con privilegi minimi, è consigliabile che le entità finanziarie seguano le procedure consigliate per i ruoli Microsoft Entra.
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.

RTS sui framework di gestione dei rischi ICT:
  • Articolo 11: Sicurezza dei dati e del sistema
  • Articolo 21: Controllo di accesso
  • Articolo 33: Controllo di accesso (framework semplificato)
Le azioni protette in Microsoft Entra ID sono autorizzazioni a cui sono stati assegnati criteri di accesso condizionale. Quando un utente tenta di eseguire un'azione protetta, deve prima soddisfare i criteri di accesso condizionale assegnati alle autorizzazioni necessarie. Per aumentare il numero di azioni amministrative che rientrano nell'ambito delle azioni protette e ridurre il rischio di blocco del tenant, seguire le procedure consigliate per le azioni protette in Microsoft Entra ID.

Per proteggere da eliminazioni hard accidentali o dannose di alcuni oggetti directory eliminati temporaneamente dal Cestino e dalla perdita di dati permanente, è possibile aggiungere un'azione protetta per l'autorizzazione seguente: Microsoft.directory/deletedItems/delete

Questa eliminazione si applica agli utenti, ai gruppi di Microsoft 365 e alle applicazioni.
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.

RTS sui framework di gestione dei rischi ICT:
  • Articolo 11: Sicurezza dei dati e del sistema
  • Articolo 21: Controllo di accesso
  • Articolo 33: Controllo di accesso (framework semplificato)
Microsoft Entra ID supporta numerose opzioni di integrazione del log attività per l'archiviazione o l'analisi, per soddisfare gli obiettivi di risoluzione dei problemi, archiviazione a lungo termine o monitoraggio. Le entità finanziarie possono selezionare e implementare un approccio di integrazione del log attività che consente l'analisi e il monitoraggio continui e un periodo di conservazione dei dati sufficiente:
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.
  • Articolo 18: Classificazione degli incidenti correlati alle TIC e delle minacce informatiche
  • Articolo 19: Segnalazione di importanti incidenti correlati alle TIC e notifica volontaria di minacce informatiche significative

RTS sui framework di gestione dei rischi ICT:
  • Articolo 12: Registrazione
  • Articolo 21: Controllo di accesso
  • Articolo 22: Criteri di gestione degli eventi imprevisti correlati alle TIC
  • Articolo 23: Rilevamento delle attività anomale e criteri per il rilevamento e la risposta degli eventi imprevisti correlati alle TIC
  • Articolo 33: Controllo di accesso (framework semplificato)
Microsoft Identity Secure Score indica l'allineamento di un'organizzazione con alcune raccomandazioni Microsoft per la sicurezza. Le entità finanziarie possono esaminare regolarmente Microsoft Identity Secure Score per misurare e tenere traccia del comportamento di sicurezza delle identità e pianificare i miglioramenti della sicurezza delle identità.

Microsoft offre anche numerosi servizi, ad esempio il Workshop di Microsoft Zero Trust, che consente alle organizzazioni di valutare il comportamento di sicurezza del tenant Microsoft Entra, come descritto altrove in questa tabella.
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.

RTS sui framework di gestione dei rischi ICT:
  • Articolo 34: Sicurezza delle operazioni ICT
La funzionalità Microsoft Entra raccomandazioni consente di garantire la sicurezza e l'integrità del tenant tramite monitoraggio e avvisi tramite posta elettronica. Le entità finanziarie possono controllare regolarmente Microsoft Entra raccomandazioni per garantire la consapevolezza di eventuali nuove raccomandazioni, in quanto possono aiutare a identificare le opportunità di implementare procedure consigliate e ottimizzare le configurazioni per le funzionalità correlate a Microsoft Entra ID. DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.

RTS sui framework di gestione dei rischi ICT:
  • Articolo 34: Sicurezza delle operazioni ICT
Cartelle di lavoro di Azure per Microsoft Entra ID offre una rappresentazione visiva dei dati del tenant, abilitando l'esecuzione di query e la visualizzazione per una serie di scenari di gestione delle identità. Le entità finanziarie possono selezionare ed esaminare regolarmente i modelli di cartella di lavoro in Microsoft Entra ID che consentono di monitorare la sicurezza e il funzionamento dei casi d'uso Microsoft Entra ID rilevanti.

Come esempi di modelli di cartelle di lavoro pubblici Microsoft Entra correnti che possono essere utili:
  • L'analizzatore gap di accesso condizionale consente di garantire che le risorse siano protette correttamente dall'accesso condizionale in Microsoft Entra ID
  • La cartella di lavoro del report sulle operazioni sensibili consente di identificare le attività sospette dell'applicazione e dell'entità servizio che potrebbero indicare compromissioni nell'ambiente in uso
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi ict garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie
  • Articolo 17: Processo di gestione degli eventi imprevisti correlati alle TIC
Microsoft Graph offre l'accesso basato su API a Microsoft Entra ID e a numerosi servizi di Microsoft 365. Per ridurre la superficie di attacco di un'applicazione e l'impatto di una violazione della sicurezza, le entità finanziarie possono seguire il principio dei privilegi minimi durante la compilazione, l'assegnazione dell'accesso e il controllo Microsoft Identity Platform'applicazione integrata. DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi ict garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie

RTS sui framework di gestione dei rischi ICT:
  • Articolo 12: Registrazione Articolo 21: Controllo di accesso
  • Articolo 33: Controllo di accesso (framework semplificato)
Microsoft365DSC abilita la gestione automatica della configurazione del tenant. Microsoft365DSC supporta determinate configurazioni Microsoft Entra ID. Per registrare determinate impostazioni di configurazione Microsoft Entra ID e tenere traccia delle modifiche, le entità finanziarie possono prendere in considerazione strumenti di gestione della configurazione automatizzati come Microsoft365DSC.

Potrebbe essere necessaria la documentazione manuale per tutte le impostazioni di configurazione non disponibili tramite l'API.
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi ict garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie
Microsoft Entra ID Protection consente alle organizzazioni di rilevare, analizzare e correggere i rischi basati sull'identità. Per rilevare, analizzare e correggere i rischi basati sull'identità (incluse le attività anomale), le entità finanziarie possono prendere in considerazione un servizio come Microsoft Entra ID Protection.

Le entità finanziarie che distribuiscono Microsoft Entra ID Protection possono integrare il servizio con l'accesso condizionale in Microsoft Entra ID per la correzione automatizzata e strumenti siem (Security Information and Event Management), ad esempio Microsoft Sentinel per l'archivio, ulteriori indagini e correlazione. Sia le identità umane che quelle del carico di lavoro possono essere incluse nell'ambito di queste protezioni.

È consigliabile usare strumenti di difesa aziendali per coordinare il rilevamento, la prevenzione, l'indagine e la risposta. Ad esempio, Microsoft Defender XDR consente ai team di sicurezza di proteggere e rilevare le proprie organizzazioni usando informazioni provenienti da altri prodotti di sicurezza Microsoft, tra cui Microsoft Entra ID Protection.
DORA Act:
  • Articolo 10: Rilevamento
  • Articolo 15: Ulteriore armonizzazione degli strumenti, dei metodi, dei processi e delle politiche di gestione dei rischi delle TIC
  • Articolo 17: Processo di gestione degli eventi imprevisti correlati alle TIC

RTS sui framework di gestione dei rischi ICT:
  • Articolo 22: Criteri di gestione degli eventi imprevisti correlati alle TIC
  • Articolo 23: Rilevamento delle attività anomale e criteri per il rilevamento e la risposta degli eventi imprevisti correlati alle TIC
Microsoft Entra ID funzionalità di recuperabilità, tra cui l'eliminazione temporanea e le API Microsoft Graph per molti tipi di risorse diversi (ad esempio, API Graph per l'accesso condizionale). Le entità finanziarie possono incorporare le procedure consigliate di recuperabilità nelle procedure di ripristino e nei test di continuità aziendale ICT (o attività simili), tra cui:
  • Le API Microsoft Graph possono essere usate per esportare regolarmente lo stato corrente delle configurazioni di Microsoft Entra ID supportate. M365DSC fornisce un framework che consente di ottenere questo risultato.
  • I log di controllo e le cartelle di lavoro di Azure possono essere usati per monitorare la mancata configurazione del tenant.
  • Le procedure per il ripristino dalle eliminazioni in Microsoft Entra ID possono essere provate in un tenant di test per determinati tipi di oggetto insieme al processo di comunicazione corrispondente.
  • Le API Graph per l'accesso condizionale possono essere usate per gestire criteri come il codice.
  • Le procedure di ripristino possono essere eseguite usando un approccio con privilegi minimi insieme all'escalation JIT di PIM dei privilegi per ridurre il rischio associato ad attività come l'eliminazione di oggetti rigidi.
  • Per i playbook di risposta agli eventi imprevisti e gli scenari di ripristino, le entità finanziarie possono esaminare e adottare playbook di risposta agli eventi imprevisti Microsoft

La frequenza dei passaggi precedenti può essere determinata dall'entità finanziaria in base alla criticità delle informazioni contenute all'interno di Microsoft Entra ID, considerando eventuali intervalli di tempo specificati da DORA.
DORA Act:
  • Articolo 11: Risposta e ripristino
  • Articolo 12: Criteri e procedure di backup, procedure e metodi di ripristino e ripristino

RTS sui framework di gestione dei rischi ICT:
  • Articolo 25: Test dei piani di continuità aziendale ict
  • Articolo 26: Piani di risposta e ripristino delle TIC
Risorse Microsoft che forniscono informazioni e risorse di formazione relative a vulnerabilità, minacce informatiche, eventi imprevisti correlati alle TIC e funzionalità del prodotto correlate alla sicurezza. Le entità finanziarie possono esaminare, tenere traccia e agire regolarmente sulle risorse fornite da Microsoft in relazione a vulnerabilità e minacce informatiche che possono includere:

Le entità finanziarie possono sviluppare programmi di sensibilizzazione sulla sicurezza delle TIC che incorporano Microsoft Entra ID formazione per il personale pertinente che può includere:

Si noti che alcune delle risorse precedenti coprono una gamma di prodotti e tecnologie Microsoft Security. Non sono limitati a Microsoft Entra.
DORA Act:
  • Articolo 13: Apprendimento ed evoluzione
  • Articolo 25: Test di strumenti e sistemi ICT

RTS sui framework di gestione dei rischi ICT:
  • Articolo 3: Gestione dei rischi ICT
  • Articolo 10: Gestione delle vulnerabilità e delle patch
Microsoft Entra ID Governance è una soluzione di governance delle identità che consente alle organizzazioni di migliorare la produttività, rafforzare la sicurezza e soddisfare più facilmente i requisiti normativi e di conformità. Le entità finanziarie possono prendere in considerazione la distribuzione di una soluzione di Governance delle identità per controllare i diritti di gestione degli accessi. Microsoft Entra ID Governance include le funzionalità seguenti che consentono di applicare il principio dei privilegi minimi alle risorse protette da Microsoft Entra ID:
  • La gestione entitlement consente l'automazione dei flussi di lavoro delle richieste di accesso, delle assegnazioni di accesso, delle verifiche e della scadenza. I controlli di separazione dei compiti sono supportati anche per impedire l'allocazione di combinazioni di diritti di accesso che possono consentire ai controlli di ignorare.
  • Le verifiche di accesso in Microsoft Entra ID consentono una gestione regolare del ciclo di vita dell'accesso alle risorse.
  • I flussi di lavoro del ciclo di vita consentono l'automazione dei processi del ciclo di vita in scenari di joiner, mover e leaver. Ciò può includere la revoca dei diritti di accesso.
  • Privileged Identity Management (PIM) è un servizio in Microsoft Entra ID che consente di gestire, controllare e monitorare l'accesso alle risorse importanti dell'organizzazione.
  • Ruoli con privilegi minimi per la gestione nelle funzionalità di governance delle identità
DORA Act:
  • Articolo 9: Protezione e prevenzione dei rischi delle TIC garantendo al tempo stesso la resilienza e la sicurezza delle operazioni delle entità finanziarie.
  • Articolo 15: Ulteriore armonizzazione degli strumenti, dei metodi, dei processi e delle politiche di gestione dei rischi delle TIC

RTS sui framework di gestione dei rischi ICT:
  • Articolo 20: Gestione delle identità
  • Articolo 21: Controllo di accesso
  • Articolo 33: Controllo di accesso (framework semplificato)
Risorse Microsoft che forniscono indicazioni relative alle operazioni di sicurezza Microsoft Entra ID e alla risposta agli eventi imprevisti. Le entità finanziarie possono esaminare e prendere in considerazione l'operazionalizzazione delle operazioni di sicurezza Microsoft Entra ID e le linee guida per la risposta agli eventi imprevisti, tra cui, a titolo esemplificazionale:
DORA Act:
  • Articolo 17: Processo di gestione degli eventi imprevisti correlati alle TIC
Risorse che forniscono informazioni correlate alla disponibilità (e potenzialmente correlate a) Microsoft Entra ID Le entità finanziarie possono esaminare, tenere traccia e considerare regolarmente le informazioni incluse in questi articoli e siti:

Si noti che alcune delle risorse precedenti coprono una gamma di prodotti e tecnologie Microsoft Security. Non sono limitati a Microsoft Entra.
DORA Act:
  • Articolo 18: Classificazione degli incidenti correlati alle TIC e delle minacce informatiche
  • Articolo 19: Segnalazione di importanti incidenti correlati alle TIC e notifica volontaria di minacce informatiche significative

RTS sui framework di gestione dei rischi ICT:
  • Articolo 10: Gestione delle vulnerabilità e delle patch
Offerte di servizi Microsoft che consentono alle organizzazioni di valutare il comportamento di sicurezza del tenant Microsoft Entra nell'ambito dei test di resilienza operativa digitale Il programma di test della resilienza operativa digitale distribuito da un'entità finanziaria può comprendere una serie di valutazioni, strumenti e metodologie, tra cui, a titolo esemplificazionale:
  • Il Microsoft Entra ID valutazione on demand, che analizza e fornisce indicazioni sulla gestione delle identità e degli accessi (IAM) per Microsoft Entra ID e i componenti correlati.
  • Microsoft Zero Trust Workshop è una guida tecnica completa per aiutare clienti e partner ad adottare una strategia Zero Trust e distribuire soluzioni di sicurezza end-to-end per proteggere le organizzazioni.

Le entità finanziarie possono eseguire regolarmente tali valutazioni, a una frequenza in linea con gli attuali requisiti DORA.
DORA Act:
  • Articolo 24: Requisiti generali per le prestazioni dei test di resilienza operativa digitale
  • Articolo 25: Test di strumenti e sistemi ICT
Risorse che forniscono informazioni correlate alle modifiche Microsoft Entra Le entità finanziarie possono tenere traccia e considerare regolarmente le informazioni incluse negli articoli e nei siti seguenti. Le azioni intraprese dalle entità finanziarie possono includere, ad esempio, test di regressione e aggiornamenti a processi e test correlati alla resilienza operativa digitale.
  • Il Centro messaggi di Microsoft 365 può essere usato per tenere traccia delle modifiche imminenti, incluse le funzionalità nuove e modificate, la manutenzione pianificata e altri annunci importanti
  • Le novità (anteprima) possono essere usate per tenere traccia delle modifiche Microsoft Entra ID nel Interfaccia di amministrazione di Microsoft Entra
DORA Act:
  • Articolo 25: Test di strumenti e sistemi ICT

RTS sui framework di gestione dei rischi ICT:
  • Articolo 16: Acquisizione, sviluppo e manutenzione dei sistemi ICT
  • Articolo 17: Gestione del cambiamento delle TIC
  • Articolo 34 – Sicurezza delle operazioni ICT
Risorse che forniscono informazioni relative a test di penetrazione e Microsoft Entra ID Le entità finanziarie che desiderano eseguire test di penetrazione sul cloud Microsoft possono prendere in considerazione le regole di engagement elencate in questo articolo:

Le entità finanziarie possono prendere in considerazione le regole di impegno precedenti nel contesto della presente relazione delle autorità europee di vigilanza (ESA):
  • JC 2024 29: Rapporto finale su DORA RTS sui test di penetrazione a rischio (TLPT) ai sensi dell'articolo 26 di DORA.
DORA Act:
  • Articolo 25: Test di strumenti e sistemi ICT
  • Articolo 26: Test avanzati di strumenti, sistemi e processi ICT basati su TLPT
  • Articolo 27: Requisiti per i tester per l'esecuzione di TLPT

RTS sui framework di gestione dei rischi ICT:
  • Articolo 25: Test dei piani di continuità aziendale ict
  • Articolo 26: Piani di risposta e ripristino delle TIC
Risorse correlate all'abilitazione, all'imposizione e alla gestione dei controlli di crittografia e crittografia durante la trasmissione dei dati da o verso Microsoft Entra ID. Per motivi di sicurezza, Microsoft Entra ID smetterà presto di supportare i protocolli e le crittografie TLS (Transport Layer Security) prima di TLS 1.2 e sta implementando il supporto per TLS 1.3.

Le entità finanziarie possono prendere in considerazione i passaggi seguenti per garantire l'utilizzo e la gestione di controlli di crittografia e crittografia appropriati:
RTS sui framework di gestione dei rischi ICT:
  • Articolo 6: Crittografia e controlli crittografici
  • Articolo 7: Gestione delle chiavi crittografiche
  • Articolo 14: Protezione delle informazioni in transito

RTS sui framework di gestione dei rischi ICT:
  • Articolo 6: Crittografia e controlli crittografici
  • Articolo 7: Gestione delle chiavi crittografiche
  • Articolo 14: Protezione delle informazioni in transito
  • Articolo 35: Sicurezza dei dati, del sistema e della rete
Risorse correlate alle caratteristiche di capacità e prestazioni Microsoft Entra ID Le entità finanziarie possono prendere in considerazione la revisione e tenere traccia della documentazione seguente per comprendere alcune caratteristiche di capacità e prestazioni Microsoft Entra ID:
RTS sui framework di gestione dei rischi ICT:
  • Articolo 9: Gestione della capacità e delle prestazioni

RTS sui framework di gestione dei rischi ICT:
  • Articolo 34: Sicurezza delle operazioni ICT
Accesso sicuro globale è la soluzione Microsoft Edge (SSE) del servizio di sicurezza Microsoft I servizi finanziari possono implementare controlli per proteggere l'accesso a internet pubblico e alle reti private tramite l'accesso sicuro globale RTS sui framework di gestione dei rischi ICT:
  • Articolo 13: Gestione della sicurezza di rete
  • Articolo 14: Protezione delle informazioni in transito
  • Articolo 35: Sicurezza dei dati, del sistema e della rete
Risorse correlate all'acquisizione, allo sviluppo e alla manutenzione delle applicazioni Financial Services può includere gli aspetti seguenti nell'ambito dell'acquisizione o della creazione di nuove applicazioni:
RTS sui framework di gestione dei rischi ICT:
  • Articoli 16 Acquisizione, sviluppo e manutenzione dei sistemi ICT
  • Articoli 37: Acquisizione, sviluppo e manutenzione di sistemi ICT (Framework semplificato)

Risorse