Federico Botti, Vice President, Security and Resilience Practice di Kyndryl Italia, mette in evidenza 5 modi per prepararsi alle nuove regole sulla cyber resilience.
Con l’avanzare della digitalizzazione, garantire la resilienza di sistemi e infrastrutture critiche diventa essenziale per mantenere la continuità delle operation e proteggersi da violazioni e interruzioni.
Diversi Paesi nel mondo hanno assunto un ruolo guida nel processo di normalizzazione e codifica di pratiche più sicure per la gestione delle minacce informatiche che colpiscono le aziende, sviluppando normative e regolamenti per la sicurezza informatica volti a mitigare i rischi. Tra questi, gli Stati membri dell’Unione Europea hanno istituito il Regolamento DORA (Digital Operational Resilience Act) e la NIS 2 (Network Information Security Directive), mentre gli Stati Uniti hanno implementato le nuove norme della SEC (Security and Exchange Commission).
L’obiettivo comune è quello di mettere in atto protocolli di gestione dei dati e una generale postura di sicurezza che consentano alle attività di andare avanti, limitando al contempo il raggio d’azione dei criminali informatici.
Negli ultimi mesi, tuttavia, il dibattito si è concentrato sulle tempistiche di entrata in vigore delle nuove normative in materia di cybersecurity, senza guardare al loro reale impatto per le aziende.
La SEC, ad esempio, prevede che debbano essere fornite informazioni sugli incidenti di cybersecurity, sulla gestione dei relativi rischi e sulle misure di governance adottate.
Analogamente, il DORA rende il management di tutte le istituzioni finanziarie che operano all’interno dell’UE direttamente responsabile della gestione del rischio e della strategia di resilienza operativa per l’ICT. In pratica, ciò richiederà ai C-level di assumersi maggiore responsabilità nella supervisione dei rischi di cybersecurity, compresa la garanzia di conformità ai requisiti tecnici e di rispetto delle policy del DORA stesso.
Anche Canada, Regno Unito e Australia, inoltre, hanno in programma di implementare quadri normativi simili a Europa e Stati Uniti.
Cosa possono fare le aziende in vista dell’entrata in vigore delle nuove normative?
In questo contesto, esistono alcune pratiche che consentono di anticipare le minacce informatiche, in modo da proteggersi e ripristinare in modo rapido gli ambienti IT critici:
1. Creare consapevolezza a livello di management e coinvolgere i diversi livelli aziendali fin dall’inizio
Le nuove normative in materia di cybersecurity richiedono l’impegno di tutta l’azienda: per questo è necessario evitare i cosiddetti “silos” all’interno dell’organizzazione. Oggi, infatti, la sicurezza informatica non è un problema di pochi, ma riguarda tutti, dai leader ai dipendenti.
2. Stabilire requisiti aziendali minimi
I requisiti minimi indicano quei servizi aziendali fondamentali per supportare le operation e raggiungere gli obiettivi. La cyber defense e la resilienza informatica devono quindi iniziare proprio da qui.
3. Fare l’inventario dei propri asset IT e determinare il rischio
Le aziende con patrimoni IT ampi e complessi devono sapere quali sono le risorse di cui dispongono, oltre a conoscere le misure necessarie per proteggerle e quali sono le probabilità che subiscano un tentativo di attacco. In altre parole, è necessario identificare e proteggere il punto debole di ciascuna azienda.
4. Sviluppare un piano di gestione delle crisi ed effettuare esercitazioni
Questo è il momento di giocare d’anticipo e prepararsi per gestire qualsiasi situazione, anche l’inevitabile: quando si tratta di cyberattacchi, non è una questione di “se”, ma di “quando” si verificheranno.
5. Passare a un framework “Zero Trust” e aggiornare regolarmente le strategie di cyber resilience
I bad actors (che agiscano sia come grandi organizzazioni, sia come singoli) sono innovativi e intelligenti: le aziende devono essere pronte a contrastarli, senza dare nulla per scontato.
La cybersecurity e la resilienza informatica sono una questione che riguarda tutti, soprattutto a fronte delle nuove normative introdotte da Unione Europea e Stati Uniti che, in caso di attacco, al danno reputazionale e di business potrebbero aggiungere anche sanzioni importanti per le aziende: è dunque essenziale che governi e organizzazioni adottino un approccio proattivo per anticipare, prevenire e ripristinare i sistemi in caso di eventi informatici malevoli.