Portfolio

  1. Home
  2. Pentest e Compliance DORA — Settore Asset Management

Pentest e Compliance DORA — Settore Asset Management

Un gruppo di gestione del risparmio con operativita’ su mercati regolamentati ci ha coinvolto per un assessment integrato: da un lato un penetration test black-box sull’infrastruttura esposta, dall’altro una gap analysis sulla conformita’ al Regolamento DORA (Digital Operational Resilience Act), con focus sugli articoli 28 e 30 relativi alla gestione del rischio ICT di terze parti.

L’obiettivo non era superare un audit. Era capire lo stato reale dell’esposizione prima che lo scoprissero altri.

Penetration Test Black-Box
L’engagement e’ partito senza credenziali e senza documentazione dell’infrastruttura — le stesse condizioni di un attaccante esterno reale. Dall’analisi della superficie di attacco esposta abbiamo identificato 11 finding, classificati per criticita’: 2 critici, 3 alti, 4 medi, 2 bassi. I finding critici riguardavano esposizione di servizi autenticati raggiungibili dall’esterno con configurazioni non aggiornate e possibilita’ di information disclosure su componenti del perimetro web. Per ciascun finding il report tecnico include evidenza, impatto, vettore di attacco e piano di remediation con priorita’ e tempi.

Gap Analysis DORA — Articoli 28 e 30
Parallelamente abbiamo condotto una gap analysis sulla conformita’ al Regolamento DORA, con attenzione specifica alla gestione contrattuale e operativa dei fornitori ICT critici. L’analisi ha coperto la mappatura dei fornitori terzi, la valutazione dei contratti esistenti rispetto ai requisiti degli articoli 28 e 30, e la definizione di un addendum contrattuale tipo da adottare nelle relazioni con i provider principali. Il deliverable include una roadmap di adeguamento con gap prioritizzati e azioni concrete per colmare le lacune entro le scadenze regolamentari.

Approccio integrato
Lavorare su pentest e compliance nello stesso engagement ha permesso di collegare le vulnerabilita’ tecniche rilevate con i requisiti di resilienza operativa richiesti da DORA: non due progetti separati, ma un quadro unico del rischio reale dell’organizzazione.

Info

25 Giugno 2026
penetration test, DORA, compliance, asset management, gap analysis
Settore gestione del risparmio — cliente anonimizzato su richiesta

Related Projects

Mise

Mise

,
Silvia

Silvia

,
Gap Analysis NIS2 — Settore Manifatturiero

Gap Analysis NIS2 — Settore Manifatturiero

,
wpChatIcon
wpChatIcon