In una giornata tipo, usiamo centinaia, e a volte anche migliaia, di servizi digitali. L'esperienza digitale è ormai parte integrante della nostra vita lavorativa e personale. Tuttavia, l'innovazione che ci aspettiamo dalle applicazioni moderne è possibile solo grazie a un complesso ecosistema di connessioni, piattaforme, API e integrazioni che interagiscono e funzionano insieme.
Tutto questo è particolarmente vero nel settore dei servizi finanziari, dove la maggior parte degli utenti interagisce con banche, compagnie di assicurazione e piattaforme di trading tramite supporti digitali. Anche se in molti Paesi le filiali fisiche chiudono i battenti, i servizi digitali che le stanno sostituendo hanno senza dubbio semplificato le nostre vite, e quasi nessuno rimpiange i tempi in cui era necessario mettersi in coda allo sportello per fare un bonifico.
Oggi che i servizi digitali hanno preso il posto delle filiali fisiche, garantire un'esperienza impeccabile per i clienti è più importante che mai: infatti, questi servizi possono rafforzare o compromettere irrimediabilmente la reputazione degli istituti finanziari agli occhi dei clienti e delle autorità di regolamentazione.
ThousandEyes può vantare relazioni di lunga data con molte delle società di servizi finanziari più importanti del mondo. Queste aziende usano la nostra piattaforma per garantire esperienze digitali eccellenti in diversi scenari d'uso. Ora, però, l'Unione europea sta introducendo nuove normative che definiscono gli standard di riferimento per la gestione operativa e la resilienza dei servizi digitali.
17 gennaio 2025: una data importante
Nel settembre 2020, la Commissione europea ha pubblicato la bozza del regolamento relativo alla resilienza operativa digitale per il settore finanziario (DORA), parte del Digital Finance Package (DFP). In quel periodo Cisco aveva appena completato l'acquisizione di ThousandEyes, volta a potenziare l'offerta nel segmento Digital Experience Monitoring. Il regolamento DORA mira a definire un approccio sistematico alla sicurezza e alla resilienza per oltre 22.000 società di servizi finanziari che hanno sede nei Paesi UE o effettuano transazioni nell'Unione europea.
Il regolamento non riguarda solo la resilienza finanziaria, ma anche i servizi digitali; l'obiettivo è definire nuovi standard di riferimento per gestire le interruzioni dell'operatività, ovvero i problemi di sicurezza o dei sistemi informatici che compromettono l'erogazione di questi servizi. In altre parole, si richiede che le società di servizi finanziari siano responsabili dell'esperienza del cliente dall'inizio alla fine e abbiano visibilità e informazioni approfondite sui problemi che interferiscono con il servizio, ovunque si verifichino.
In base a quanto stabilito dall'Unione europea, il regolamento dovrà essere implementato entro due anni a partire dal 16 gennaio 2023 e gli obblighi dovranno entrare in vigore dal 17 gennaio 2025. Di conseguenza, entro tale data tutte le società di servizi finanziari con sede in UE o che effettuano transazioni nell'UE dovranno operare in conformità al regolamento DORA. Anche l'autorità di regolamentazione australiana (APRA) e la Federal Reserve degli Stati Uniti hanno introdotto normative simili per la resilienza operativa delle società di servizi finanziari.
Fornitori terzi di servizi TIC
Il regolamento DORA amplia l'ambito di applicazione delle normative ad altri, nuovi stakeholder del settore, come i provider di crowdfunding e di asset in criptovalute, e definisce i requisiti in termini di gestione, verifiche e segnalazione dei problemi relativi all'infrastruttura TIC (tecnologie dell’informazione e della comunicazione); tuttavia, il regolamento pone particolare attenzione ai fornitori terzi di servizi TIC.
Le disposizioni si applicano anche ai fornitori terzi di servizi cloud e di altri servizi TIC e impongono ai team IT e della sicurezza degli istituti finanziari soggetti al regolamento DORA di verificare la resilienza dei partner esterni; questo richiederà una stretta collaborazione con i fornitori critici di servizi TIC, specialmente quando da loro dipende l'erogazione di un servizio aziendale importante Il regolamento DORA obbliga le aziende a mappare i servizi aziendali per identificare quelli più importanti e le relative interdipendenze, interne ed esterne. Questo gruppo sempre più esteso di provider deve essere incluso nel processo di pianificazione, verifica, gestione e segnalazione, quindi occorrerà prevedere nuovi approcci al monitoraggio dell'esperienza digitale e alla visibilità.
ThousandEyes supporta l'idea secondo cui le aziende devono assumere il controllo dell'esperienza digitale end-to-end, e a tale scopo fornisce dati strategici approfonditi e visibilità estesa sui servizi digitali distribuiti. Anche se l'azienda non possiede direttamente tutti i componenti coinvolti nell'erogazione dei servizi digitali, è comunque responsabile di garantire agli utenti un'esperienza di qualità. Ormai è chiaro che un'azienda deve necessariamente esternalizzare una o più parti del servizio, ma come adattare sistemi e processi a questa nuova realtà?
I cinque punti fondamentali del regolamento
Per comprendere l'impatto del DORA e il ruolo di ThousandEyes, è necessario esaminare il regolamento più nel dettaglio e per la precisione le cinque sezioni principali di cui si compone:
-
Gestione del rischio TIC: le aziende devono progettare un'infrastruttura TIC resiliente che preveda processi di monitoraggio, identificazione e documentazione, al fine di isolare rapidamente eventuali anomalie, garantire la continuità operativa e attuare i piani di disaster recovery.
-
Gestione, classificazione e segnalazione degli incidenti informatici: le aziende devono definire processi per identificare e registrare i problemi nell'infrastruttura TIC, individuare i problemi più gravi e generare report iniziali, intermedi e finali utilizzando modelli standard.
-
Test di resilienza operativa digitale: le aziende devono svolgere verifiche annuali degli strumenti e dei sistemi TIC al fine di identificare, mitigare ed eliminare tempestivamente eventuali punti deboli, irregolarità o lacune.
-
Gestione dei rischi informatici derivanti da terzi: le aziende devono registrare tutte le attività esternalizzate, con particolare attenzione ai fornitori terzi critici di servizi TIC, tramite il quadro di sorveglianza dell'Unione, devono garantire che i contratti con i fornitori riflettano i nuovi requisiti e implementare “complete” processi di monitoraggio completi di questi partner.
-
Meccanismi di condivisione delle informazioni: le aziende del settore finanziario sono autorizzate a scambiarsi informazioni, in particolare per quanto riguarda la cybersecurity, ad esempio le informazioni e i dati di intelligence sulle minacce informatiche.
Come è evidente, la maggior parte delle disposizioni riguarda il monitoraggio, la verifica, l'identificazione, la documentazione e la segnalazione dei problemi nell'infrastruttura TIC, con l'obiettivo di garantire una mitigazione tempestiva, la continuità delle attività aziendali, il ripristino del servizio e il potenziamento dell'infrastruttura. Ma come garantire la conformità in un ambiente distribuito, in cui le applicazioni sono progettate per dipendere da reti e servizi che sfuggono al controllo diretto dell'azienda? Integrando l'assurance dell'esperienza digitale di ThousandEyes nella strategia aziendale. La nostra piattaforma aiuta a definire e attuare i processi volti a garantire la conformità al regolamento DORA. ThousandEyes fornisce visibilità sui componenti del servizio digitale da cui l'azienda dipende, ma che non controlla direttamente, tramite la definizione continua dei parametri di riferimento e la mappatura della rete aziendale interna e delle reti dei fornitori terzi TIC più importanti. Il nostro approccio è intuitivo e basato sui dati, e facilita la condivisione delle informazioni.
ThousandEyes e DORA
ThousandEyes supporta la conformità al regolamento DORA nell'ambito della strategia aziendale complessiva:
Gestione del rischio delle TIC
ThousandEyes è una piattaforma SaaS che monitora le architetture di erogazione dei servizi digitali distribuite, con informazioni strategiche sull'intera catena di fornitura digitale. I nostri agenti effettuano test continui delle applicazioni dal punto di vista dell'utente, per consentire agli istituti finanziari di identificare e mitigare proattivamente i rischi correlati all'infrastruttura TIC. Gli Agent monitorano le reti interne, le interdipendenze di Internet e i servizi cloud, per fornire una visione completa dei problemi che possono compromettere il servizio.
In caso di anomalie, la piattaforma invia un avviso al team, direttamente o tramite standard di integrazione aperti verso altri sistemi di processo, indica la causa profonda del problema ovunque si verifichi e fornisce i dati necessari a documentare il disservizio. Questo processo di verifica si può applicare anche ad altre aree di rischio, come il traffico in-flight (ovvero quando si verifica un dirottamento del percorso BGP su Internet), che reindirizza il traffico verso destinazioni impreviste o subottimali, e alla sovranità dei dati, che impone alle aziende di sapere sempre dove si trovano i dati. 
Gestione, classificazione e segnalazione degli incidenti informatici
Le funzionalità di monitoraggio estese e gli avvisi di ThousandEyes consentono di rilevare gli incidenti relativi all'infrastruttura TIC in tempi rapidi, per facilitare il processo di segnalazione alle autorità di regolamentazione. Le analisi e le visualizzazioni dettagliate aiutano a comprendere la portata e l'impatto degli incidenti, per report più accurati e tempestivi.
La piattaforma include le metriche dei servizi chiave per aiutare il team a monitorare la disponibilità delle applicazioni, nonché le metriche relative a tempi di risposta, velocità di trasmissione, jitter, latenza, perdita di pacchetti e altre ancora; così, è possibile progettare dashboard in base alle soglie definite dall'azienda, per creare facilmente report dei KPI più importanti. In alternativa, poiché ThousandEyes supporta OpenTelemetry, tutti i dati dei test si possono esportare in altre piattaforme di visualizzazione, ad esempio Splunk; qui, è possibile combinarli con altri set di dati e ottenere una panoramica contestualizzata dello stato e delle prestazioni dell'applicazione
Inoltre, poiché ThousandEyes è una piattaforma che risiede nel cloud, acquisisce miliardi di dati al giorno da ogni parte del mondo, offrendo un quadro completo dello stato generale di Internet e dei principali provider di servizi cloud, dei provider SaaS e di altri componenti fondamentali nell'erogazione del servizio digitale. I clienti possono accedere ai dati tramite Internet Insights per capire esattamente l'origine del problema e comprendere la portata degli incidenti che compromettono il servizio.
Test di resilienza operativa digitale
ThousandEyes è da sempre una piattaforma moderna, globale e su scala Web, con un'unica base di codice che consente gli aggiornamenti periodici e il rilascio di nuove funzionalità; questo significa che le nuove funzionalità sono disponibili per tutti gli utenti sin da subito e non esistono versioni legacy, né costi di gestione per il controllo delle versioni. La piattaforma permette di simulare e testare la resilienza di reti e applicazioni rispetto a varie interruzioni a livello di TIC. Questo processo può essere integrato nelle verifiche periodiche della resilienza, al fine di identificare potenziali vulnerabilità e colli di bottiglia.
Molti degli istituti finanziari più grandi al mondo si affidano già a ThousandEyes; la piattaforma offre supporto tramite tecnici di terzo livello, disponibili 24 ore su 24, 7 giorni su 7 via chat per fornire consulenza e aiutare il team a identificare e risolvere i problemi. In più, ThousandEyes gestisce una regione dell'UE separata e ha ottenuto la certificazione di livello 3 per il Codice di condotta UE sul cloud, oltre alle certificazioni ISO 27018 e 27701.
Gestione dei rischi informatici derivanti da terzi
Una delle proposte di valore principali di ThousandEyes è la capacità di gestire l'erogazione del servizio nelle reti non direttamente controllate dall'azienda. Il monitoraggio dei fornitori terzi di servizi TIC, tra cui provider di servizi Internet, provider di servizi cloud, CDN, DNS, servizi di mitigazione degli attacchi DDoS, provider SaaS, gateway API, provider di pagamento e così via, avviene automaticamente quando compaiono lungo il percorso tra gli Agent e le applicazioni.
La visibilità sulle prestazioni e sulla disponibilità dei servizi TIC di terzi aiuta a gestire e mitigare i rischi associati a queste interdipendenze, in conformità con le disposizioni del regolamento DORA che impongono di supervisionare i rischi esterni e di garantire la resilienza operativa. I team operativi ottengono i dati necessari a isolare la causa profonda dei problemi nelle reti da cui dipende l'erogazione dei servizi chiave, e possono monitorare le prestazioni dei provider nel corso del tempo; queste informazioni sono estremamente utili durante le riunioni di verifica, nella valutazione dei fornitori e nella gestione degli SLA.
Inoltre, le aziende di servizi finanziari possono verificare le prestazioni dei fornitori più importanti, come provider di servizi Internet nelle regioni chiave, nuovi provider di servizi cloud, regioni del cloud e coppie di aree, prima di implementare i nuovi servizi o di migrare i carichi di lavoro nel cloud. Questo favorisce processi di monitoraggio e segnalazione basati sui dati per le migrazioni e le modifiche più importanti prima, durante e dopo l'implementazione.
Infine, poiché ThousandEyes è una piattaforma aperta progettata per essere estensibile tramite API REST, webhook o OpenTelemetry, è possibile combinare i dati dei test con quelli di altre origini, tra cui le piattaforme di Application Performance Management (APM) come Splunk o AppDynamics, nell'ambito della strategia di osservabilità generale.
Meccanismi di condivisione delle informazioni
ThousandEyes consente alle aziende di collaborare sui problemi comuni che compromettono l'erogazione del servizio. Pertanto, le informazioni sugli incidenti rilevati da ThousandEyes sono condivisibili. La condivisione delle informazioni avviene tramite gli sharelink, che offrono una visione interattiva di un periodo di tempo fino a 48 ore associato a un evento. Gli sharelink vengono archiviati in modo permanente e consentono l'analisi retrospettiva e la visualizzazione dei problemi a livello di applicazione, rete e percorsi in Internet. È possibile condividere le visualizzazioni degli incidenti all'interno o all'esterno dell'azienda, in modo tale che tutti i team lavorino tenendo conto degli stessi dati.
Conclusioni
Il regolamento DORA offre alle aziende del settore finanziario l'opportunità di adeguarsi alla nuova realtà dei servizi digitali erogati a utenti distribuiti tramite un'architettura distribuita; allo stesso modo, ThousandEyes è una piattaforma progettata per garantire un'esperienza digitale eccellente in questa nuova realtà. La piattaforma offre un quadro completo dell'esperienza digitale dell'utente con le applicazioni essenziali per il business. ThousandEyes aiuta gli istituti finanziari a operare in conformità al regolamento DORA con funzionalità avanzate per il monitoraggio, i test e la gestione del rischio. Questi strumenti facilitano il rispetto degli obblighi normativi, aumentano la resilienza operativa e ottimizzano la gestione delle minacce e dei problemi nell'infrastruttura TIC in un contesto di rischio mutevole.