Dai recenti report elaborati da esperti e leader globali di cyber security (uno tra gli altri...
Sicurezza informatica aziendale e NIS2: affrontare le nuove sfide
La Direttiva NIS 2 si allinea con le normative europee sulla protezione dei dati e della privacy, con l'obiettivo di potenziare le misure di sicurezza informatica. Tra le novità introdotte dalla NIS 2 vi è un approccio multirischio e specifiche misure di sicurezza. Scopri in questo articolo come la tua azienda può affrontare con successo le sfide della sicurezza informatica alla luce della direttiva NIS2.
Panoramica della direttiva NIS2
La Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio, conosciuta come Direttiva NIS 2, è un importante passo avanti nella protezione delle reti e delle informazioni. Il suo obiettivo è creare una strategia comune di sicurezza informatica per gli stati membri, al fine di migliorare i livelli di protezione dei servizi digitali in tutta l'Unione. Gli Stati membri devono adottare la direttiva entro il 17 ottobre 2024.
All'interno della Direttiva, l'articolo 21 esplicita le linee guida per gestire i rischi legati alla sicurezza informatica, proponendo una serie di azioni per affrontare le minacce alla sicurezza dei sistemi, con l'obiettivo di prevenire o almeno minimizzare l'impatto degli incidenti sia sui destinatari diretti dei servizi sia sulle attività correlate.
La Direttiva NIS 2 pone l'accento su un approccio multirischio per garantire che i soggetti definiti "essenziali" e "importanti" siano preparati ad affrontare un vasto panorama di minacce. L’obiettivo non è solo difendersi dagli attacchi cyber, ma anche avere una visione più ampia che include anche i rischi fisici e ambientali, la gestione dei processi interni e della catena di approvvigionamento, la preparazione della risposta agli attacchi e la condivisione delle informazioni. Va sottolineato che le misure previste da NIS2 si riflettono nei vari framework legati alla sicurezza delle informazioni, come la ISO 27001 o il NIST.
I soggetti inclusi nel campo di applicazione della direttiva devono implementare procedure che includono, tra le altre cose:- Analisi dei rischi e di sicurezza dei sistemi informatici
- Gestione degli incidenti, continuità operativa e gestione del backup
- Sicurezza della catena di approvvigionamento, comprese le questioni relative alla sicurezza nei rapporti con i fornitori
- Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e delle reti
- Procedure per valutare l'efficacia delle misure di gestione dei rischi di sicurezza informatica
- Pratiche di igiene informatica di base e formazione del personale
- Procedure relative all'uso della crittografia e dell'autenticazione a più fattori o autenticazione continua
- Strategie di controllo degli accessi e gestione dei varchi attivi
La NIS2 prevede anche la designazione di un responsabile della sicurezza informatica all'interno delle aziende, che saranno tenute a notificare immediatamente le violazioni di sicurezza alle autorità competenti e a collaborare attivamente con esse per risolvere la situazione.
È importante notare che la Commissione europea potrà stabilire requisiti tecnici e metodologici specifici per tali misure, considerando le diverse peculiarità dei settori, come ad esempio il settore bancario rispetto a quello alimentare. La NIS2 si applica, in realtà, a tutte le aziende che offrono servizi essenziali per la società, come le telecomunicazioni, l'energia elettrica, il trasporto. i provider di cloud computing e i social media.
Proteggere i dati con l'autenticità
Il concetto di autenticità dei dati è menzionato in diversi passaggi della NIS2.
La riservatezza, l'integrità e la disponibilità dei dati (paradigma RID) sono i tre fondamenti della gestione della sicurezza informatica aziendale. Tuttavia, per affrontare al meglio le sfide attuali, è necessario aggiungere un nuovo pilastro: l'autenticità. Con l'evolversi degli scenari di minaccia, la Direttiva NIS 2 pone l'enfasi su questo elemento per garantire la protezione delle infrastrutture critiche.
L'autenticità è rilevante oggi perché gli attacchi di ingegneria sociale sono sempre più sofisticati. Inoltre, con l'espansione dell'IoT e l'adozione di ambienti cloud e di lavoro remoto, il perimetro di sicurezza si è notevolmente ampliato, rendendo cruciale l'utilizzo di meccanismi di autenticazione.
Secondo quanto stabilito dalla norma ISO/IEC 27000:2018 "Tecniche di sicurezza informatica Sistemi di gestione della sicurezza informatica - Panoramica e vocabolario", l'autenticità è definita come "la qualità per cui un'entità è effettivamente ciò che dichiara di essere". In altre parole, l'autenticità garantisce che le informazioni siano effettivamente provenienti dalla fonte dichiarata e che non siano state manipolate durante il processo di trasmissione. Assicurare l'autenticità implica, per esempio, confermare che un documento, un messaggio o una transazione provengono effettivamente dalla fonte dichiarata, senza alcuna interferenza esterna.
Esistono diversi strumenti a disposizione per garantire l'autenticità di un dato, per esempio firme digitali, timestamps, blockchain, crittografia e certificati digitali.
Piani di prevenzione e risposta agli attacchi informatici
Le aziende dovrebbero sviluppare piani di backup e di ripristino dei dati, al fine di garantire la disponibilità e l'integrità dei dati anche in caso di incidenti di sicurezza. È inoltre consigliabile effettuare regolari test di vulnerabilità (vulnerability assessment) e penetration test per identificare eventuali falle nel sistema e prendere le misure correttive necessarie. Questo però, in molti casi non è sufficiente. dato il livello sempre più alto degli attacchi informatici, le aziende devono prendere in considerazione anche l'implementazione di soluzioni di threat intelligence, al fine di individuare e prevenire attacchi informatici in tempo reale.
In secondo luogo, è importante sviluppare piani di risposta agli incidenti di sicurezza, definendo le procedure da seguire in caso di violazioni, il team di risposta agli incidenti, la raccolta delle prove digitali, il processo di notifica alle autorità competenti e la gestione delle relazioni con i clienti e gli stakeholder.
Consapevoli della raffinatezza delle tecniche di attacco più recenti, in realtà è consigliabile individuare l’insieme di interventi più efficace per la propria specifica realtà aziendale. Questo è un compito complesso, per il quale è necessaria un' esperienza trasversale nei settori della cybersecurity, della modellizzazione del rischio e del suo trasferimento al mercato. Ecco perché la soluzione più economica ed efficace è quella di affidarsi a dei professionisti del settore.
I professionisti della sicurezza informatica: Professional Link e Aon
I professionisti del settore svolgono oggi un ruolo fondamentale nel supporto alle aziende per affrontare le sfide della sicurezza informatica, soprattutto alla luce della direttiva NIS2. In questo contesto, una proposta interessante è sicuramente quella di Professional Link e Aon.
Professional Link, con la propria offerta di cyber security “Elephant in the Room”, è in grado di guidare le imprese nell’analisi predittiva del loro sistema informativo. Basata sull’Intelligenza Artificiale, Elephant in the Room integra a propria volta le competenze di operatori esperti garantendo tecnologia all’avanguardia ed eccellenza dei servizi. Aon, leader nei servizi assicurativi di livello globale, ha sviluppato strumenti proprietari di assessment che derivano da esperienza in ambiti high-tech, militari e industriali.
L’accordo consente a Professional Link di integrare la propria tecnologia di rilevazione e mitigazione delle minacce cyber con la capacità di analisi dell’esposizione aziendale a crimini informatici e i servizi di assicurabilità per i rischi residui di Aon. La collaborazione di queste due realtà, oltre ai servizi di consulenza cyber, copre anche gli aspetti di assicurabilità: le aziende possono così implementare un sistema completo di Security Information and Event Management, affrontando in modo strutturato le criticità legate al rischio informatico fino alla fase della protezione assicurativa, con un unico interlocutore di riferimento.
Il ruolo di professionisti della sicurezza informatica è essenziale nel contesto della normativa NIS2. Collaborare con aziende come Professional Link e Aon può aiutare le aziende a implementare misure di sicurezza efficaci e garantire una risposta rapida ed efficace agli attacchi informatici.
Conclusioni: una lista delle cose da fare
L'adeguamento alla nuova direttiva NIS 2 non è solo una questione di conformità, ma rappresenta un'opportunità per introdurre una cultura della cybersecurity all'interno dell'azienda. Pianificare fin da subito un processo di adeguamento, al fine di rispondere gradualmente e uniformare gli asset aziendali, oltre a formare il personale, è imprescindibile. Le attività da attuare sono:
- Definire un sistema documentale in grado di dimostrare la creazione di una strategia di sicurezza informatica aziendale
- Raggiungere obiettivi di sicurezza misurabili e progressivamente crescenti nel tempo
- Attuare attività formative e istituire un organigramma della sicurezza con funzioni ben definite
- Implementare misure di sicurezza tecniche
- Sviluppare piani di backup e di ripristino dei dati
- Notificare immediatamente le violazioni di sicurezza alle autorità competenti
- Partecipare al nostro webinar gratuito il giorno 25 giugno a questo link
- Collaborare con professionisti della sicurezza informatica per valutare il rischio e implementare soluzioni di sicurezza avanzate
Seguendo queste raccomandazioni, le aziende saranno facilitate nell'affrontare le sfide della sicurezza informatica nel contesto della normativa NIS2 e garantire una protezione efficace dei propri sistemi informatici.