La differenza tra sopravvivere e crescere nel complesso panorama normativo dell'UE in materia di cybersecurity

Se vivi in Europa potresti aver notato l'enorme numero di normative relative alla sicurezza informatica emerse negli ultimi anni. Basta dare un'occhiata al Global Cyber Security Index 2020 dell'ITU delle Nazioni Unite per rendersi conto che l'Europa (tutti i Paesi) è particolarmente forte in termini di normative. Un ambiente normativo complesso e piuttosto severo è la risposta dell'UE a un'industria tecnologica che si è sviluppata principalmente al di fuori dei suoi confini (le prime 20 aziende tecnologiche a livello globale risiedono negli Stati Uniti e in Cina). L'UE vuole proteggere il suo mercato e i suoi cittadini creando uno dei sistemi giuridici più avanzati in materia di cybersecurity, con ulteriori regolamenti in arrivo nei prossimi anni. Questo, però, significa anche che le aziende dell'UE devono rispettare molti obblighi e requisiti.

I tempi in cui si lanciava rapidamente un nuovo store online e lo si pubblicizzava a una vecchia lista di contatti e-mail sono ormai lontani. Ora bisogna essere consapevoli dei servizi digitali che si offrono e del loro impatto su clienti e partner. Devi rispettare la loro privacy criptando i dati, facendo pubblicità solo se hai il loro consenso, implementando misure di sicurezza obbligatorie per i pagamenti online, ecc. E queste sono solo le basi, poiché altri tipi di servizi digitali, come il cloud, i servizi finanziari, la telemedicina, i sistemi di controllo industriale, ecc. devono affrontare sfide di sicurezza ancora più complesse. La sicurezza è diventata un aspetto critico e sfaccettato di qualsiasi organizzazione. Può farti fallire o darti un vantaggio strategico sul mercato rispetto ai tuoi concorrenti. Se gestisci male un incidente di sicurezza informatica o una violazione dei dati, potresti perdere clienti, reputazione e fatturato. Secondo alcune stime, "il 60% delle piccole aziende fallisce entro sei mesi dal momento in cui è vittima di una violazione dei dati o di un attacco informatico".

Ma la regolamentazione può rappresentare una sfida se non si è pronti ad affrontarla. Se non tratta in modo adeguato, può essere un peso per le aziende e, a lungo andare, può influire sulla produttività e sull'efficienza, soprattutto se l'azienda opera su scala globale. Ecco perché la conformità deve essere una parte intrinseca di qualsiasi programma di sicurezza aziendale.

Un programma di sicurezza aziendale è essenziale per qualsiasi organizzazione che voglia raggiungere la resilienza e la conformità informatica. Un programma di sicurezza è un processo continuo che prevede l'utilizzo delle risorse, come persone, processi e tecnologie, in modo organizzato ed efficiente, per garantire che i sistemi siano protetti dalle minacce e conformi a tutti i requisiti UE/nazionali o agli standard internazionali. La parola chiave è "aziendale", significa che il programma di sicurezza deve far parte di una strategia a livello di organizzazione. Deve essere incorporato nel suo modus operandi principale.

Gestire un programma di sicurezza non è un compito facile al giorno d'oggi. Innanzitutto, è diventato un argomento complesso che richiede un approccio multidisciplinare. A seconda del tipo di organizzazione, la gestione delle operazioni di sicurezza informatica richiede più ruoli, che coprono tutti i livelli dello stack (tool manager, incident analyst, risk e governance manager, esperti di normative e conformità, backup e ripristino, ecc.) È inoltre necessario considerare la migrazione del moderno SOC verso la cyber resilience, dove vengono coperti anche risposta e ripristino. Questo, unito all'attuale gap di forza lavoro sul mercato e alle conseguenze della crisi economica generata dalla pandemia, darà non pochi grattacapi agli attuali CISO. Basti pensare che le organizzazioni utilizzano all'incirca tra i 45 e i 75 strumenti di sicurezza nei loro ambienti, con una difesa che risulta sempre meno efficace all'aumentare del numero di strumenti. Dove trovare tanti ingegneri per gestire tutto questo portafoglio?

Oltre a tutte le sfide tecniche e a quelle legate alla forza lavoro, è necessario rispettare le complesse e variegate normative in materia di sicurezza informatica. L'UE ha emanato otto importanti pacchetti normativi - elencati alla fine di questo articolo - che stabiliscono requisiti obbligatori per la sicurezza informatica e la protezione dei dati. Tuttavia, queste normative non sono sempre coerenti tra loro. In alcuni casi un'azienda potrebbe doverli rispettare tutti. Immaginate di avere anche un piccolo esercito di esperti in materia tecnico-legale che si occupi di questo lavoro.

Dopo aver superato tutte queste sfide, devi ancora occuparti della parte strategica e di governance, in cui bisogna allineare tutti i componenti del tuo programma di sicurezza per raggiungere il risultato desiderato. Ora pensa alle risorse necessarie e alla fattibilità legata al mantenere il programma e il team per almeno tre anni.

Creare e gestire un programma di sicurezza informatica internamente potrebbe non essere alla portata di tutti. È arrivato il momento di ricorrere a servizi specializzati per mantenere i costi al minimo, evitare il problema del gap di forza lavoro, trovare supporto nella scelta degli strumenti più adatti al tuo ambiente e ottenere la conformità a tutti i requisiti normativi. Devi affidarti a degli esperti che possano aiutarti.

I Managed security services (MSS) sono il modo più intelligente per affrontare le sfide di sicurezza informatica. Hai bisogno di un fornitore di servizi di sicurezza professionale e completo, in grado di coprire almeno le seguenti aree:

1. In grado di VALUTARE la tua situazione attuale.

Una sicurezza solida inizia con una valutazione chiara e accurata del panorama attuale e dei rischi potenziali. Si tratta di un processo continuo di rivalutazione che ti aiuterà a stabilire le priorità e ad applicare in modo intelligente gli investimenti e le risorse per la sicurezza. La sicurezza informatica non è una soluzione unica. Deve essere adattata al tuo ambiente. Per questo motivo è necessaria una valutazione, per posizionare correttamente la tua organizzazione sulla maturity map e determinare i passi successivi necessari.

Si parla di valutazioni di sicurezza basate su standard, audit, gestione delle vulnerabilità, ecc. La valutazione può essere effettuata in modo completo, a livello aziendale, ma anche attraverso diversi moduli (CIS, ransomware, NIS2 ecc.). Il Cyber Security Assessment Framework (CSAF) di Cegeka è già disponibile per effettuare tali valutazioni.

2. In grado di gestire la tua infrastruttura di sicurezza e di assicurare la PREVENZIONE.

La prevenzione consiste nell'adottare le misure giuste per proteggere le risorse dagli incidenti. I controlli devono essere implementati a molti livelli (rete, endpoint, cloud, account privilegiati, ecc.) in modo che l'intero ambiente sia protetto.

3. In grado di gestire un ambiente di sicurezza integrato e di assicurare RILEVAZIONE e RISPOSTA.

Rilevazione e risposta sono fondamentali perché un moderno SOC deve essere orientato alla risposta. È necessario tenere gli occhi aperti sulle minacce che potrebbero degenerare in incidenti gravi. L'implementazione di strumenti di rilevamento efficienti (endpoint detection, network detection, brand intelligence ecc.) è obbligatoria e la risposta deve essere preparata di conseguenza.
Il C-SOR2C di Cegeka copre tutte le attività di monitoraggio, rilevamento e risposta agli incidenti. 

4. In grado di assisterti e/o offrire opzioni di RECUPERO.

La resilienza è fondamentale al giorno d'oggi. Considera sempre lo scenario peggiore e preparati a reagire di conseguenza. È necessario un piano per limitare i danni e ripristinare l'attività nel più breve tempo possibile, con una perdita di dati minima o nulla.

Naturalmente, è possibile trovare strumenti validi per ciascuna delle aree sopra elencate. Ma non è sufficiente. È necessario integrare tutti questi strumenti tra loro, aggiungere dettagli contestuali attraverso il CMDB, eseguire l'orchestrazione e l'automazione per gestire il grande volume di log e avvisi, creare una reportistica dettagliata in modo da poter vedere chiaramente la grande quantità di dati presenti nell'ambiente e utilizzare una soluzione di ticketing efficiente. Per ottenere i risultati desiderati è necessaria una configurazione strutturata e organizzata. In caso contrario, preparati ad affrontare molte difficoltà.

Se hai bisogno di un supporto professionale, consulta questa pagina.

Uleteriori informazioni

Di seguito una sintesi dei principali atti legislativi dell'UE, qui trovi maggiori dettagli:

1. GDPR – Protection of personal data of EU citizens. It requires organizations (at a global level) to take appropriate measures to secure personal data against unauthorized access, loss, or theft.
2. Network and Information Security Directive (NIS Directive) - prevention and mitigation of cyber incidents, especially for a particular category of companies (essential service providers and digital service providers) and coordination of EU and national level efforts in this area. The revision of the NIS Directive (called NIS2) was formally adopted in Europe in September 2022. The proposed expansion of the scope covered by NIS2 is effectively obliging more entities and sectors to take measures.
3. eIDAS Regulation - legal framework for electronic identification and trust services, such as electronic signatures, seals, and timestamps. It aims to ensure the security and authenticity of electronic transactions.
4. Payment Services Directive 2 (PSD2) - rules for electronic payment services, including requirements for strong customer authentication and secure communication.
5. Cybersecurity Act - improving the cybersecurity of the EU by establishing a European cybersecurity certification framework for products, services, and processes.
6. EU Cybersecurity Strategy - EU’s approach to cybersecurity, including measures to strengthen cyber resilience, combat cybercrime, and promote international cooperation on cybersecurity.
7. DORA ("Digital Operational Resilience Act") - new EU regulation aimed at strengthening the operational resilience of the EU financial sector against cyber threats (e.g., including banks, investment firms, insurance companies, and trading venues).
8. Cyber Resilience Act (CRA) - A notable proposal for a regulation on cybersecurity requirements for products with digital elements, to ensure more secure hardware and software products.