Compliance, Guida

Sicurezza IT e conformità normativa: perché sono una priorità e come gestirli

Sicurezza informatica e conformità sono ormai diventate priorità chiave per le aziende e le organizzazioni che sono sempre più spesso vittime di attacchi informatici. Il cybercrime è infatti un fenomeno in costante crescita, sia per numero di reati che per importanza dei dati compromessi negli attacchi.

Conoscere le minacce informatiche e tutelare dati personali e riservati da violazioni e divulgazioni dovrebbe essere una priorità per le imprese.

La prevenzione degli attacchi informatici passa per l’adozione di adeguate misure di sicurezza, sia tecniche che organizzative. Dopo l’entrata in vigore del GDPR, implementare adeguate misure tecniche e informatiche per la prevenzione delle violazioni dei dati personali è diventato un vero e proprio obbligo giuridico per aziende e organizzazioni.

Il titolare del trattamento è infatti tenuto a dimostrare di aver adottato adeguate misure tecniche per ottemperare al proprio dovere di protezione dei dati personali. Diversamente, può andare incontro a responsabilità di vario tipo per la violazione dei dati.

La conformità normativa

Le aziende oggi devono gestire l’impresa quasi insormontabile di garantire la conformità a una complessa serie di leggi e normative in materia di sicurezza delle informazioni e privacy dei dati personali, vigenti a livello locale, statale, nazionale e persino internazionale.

La Direttiva 1148/2016 (NIS), il Regolamento UE 679/2016 (GDPR) e il D.L. 105/2019 sul Perimetro di Sicurezza Nazionale Cibernetico sono solo alcuni esempi di  regolamentazioni che istituiscono per le aziende la responsabilità di adottare misure di sicurezza informatica, atte a rafforzarne la conformità normativa ed a mitigare i rischi informatici a cui sono quotidianamente esposte.

In materia di sicurezza delle informazioni, la privacy dei dati personali rappresenta solo uno dei molteplici aspetti della conformità. Le aziende hanno infatti l’obbligo di proteggere anche molti altre categorie di dati riservati o confidenziali, quali, ad esempio, segreti industriali e commerciali, dati e informazioni relativi a clienti e fornitori, dati finanziari e così via.

È fondamentale quindi per le aziende esaminare le diverse leggi e normative in materia di privacy e sicurezza dei dati al fine di valutare, innanzitutto, la propria posizione rispetto a tre elementi:

  1. requisito di riservatezza, integrità e disponibilità (CIA);
  2. agire “in maniera ragionevole” oppure adottare misure “appropriate” o “necessarie”;
  3. adattare le misure di sicurezza in base alla sensibilità delle informazioni e alla portata della minaccia.

Avendo un quadro chiaro di questi importanti concetti generali, le aziende possono comprendere meglio i livelli di sicurezza che nel complesso sono tenute a garantire.
Tuttavia, vi è un punto fondamentale: le leggi in materia di privacy e sicurezza delle informazioni tendono a non imporre tassativamente misure di sicurezza chiare e delineate, quanto a fornire alle aziende linee di indirizzo verso la responsabilizzazione e, di conseguenza, verso la scelta delle migliori misure di sicurezza contro gli attacchi informatici.
La perfetta sicurezza è lungi dall’essere un requisito, è invece l’obiettivo da raggiungere.

Come gestire la conformità normativa

Per anni, le aziende hanno preferito pagare le sanzioni dovute al mancato rispetto della compliance, anziché darsi da fare per mettersi in regola adottando procedure adeguate e risanando le violazioni. Ciò accadeva perché, quasi sempre, pagare le sanzioni era meno costoso che fare i conti con il compliance management. Tuttavia, l’introduzione di nuove norme ha inasprito tali sanzioni, ad esempio in caso di violazione dei sistemi di sicurezza le multe possono costare milioni.

Per gestire i rischi di mancata conformità normativa le aziende devono mettere a punto un insieme di processi e strutture organizzative funzionali a prevenire possibili violazioni di norme, regole o standard, da cui potrebbero derivare non solo sanzioni, ma anche perdite economiche, blocchi operativi, danni reputazionali e provvedimenti di interdizione parziale o totale dell’attività.

Avere una buona gestione della compliance significa anche adottare adeguati controlli sulle autorizzazioni e sulle procedure di accesso ai sistemi informatici, conservarne un registro con marcatura temporale e validità legale, in modo da poter documentare ogni accesso in caso di indagine conseguente ad un data breach.

La funzione compliance presente all’interno dell’aziende deve avere quindi il compito di:

  • prevenire i disallineamenti tra le procedure aziendali e l’insieme delle regole interne ed esterne all’azienda;
  • assistere le strutture aziendali nell’applicazione delle norme, dei regolamenti, delle procedure e dei codici, coordinandone e garantendone l’attuazione;
  • segnalare le più recenti novità normative al fine di aggiornare periodicamente la documentazione in essere presso l’azienda e predisponendo, se necessario, interventi formativi per adeguare le procedure interne alle normative;
  • risolvere situazioni di discordanza tra la disciplina in vigore e le specifiche realtà operative aziendali;
  • prevenire il rischio di sanzioni legali o amministrative, di perdite operative, di provvedimenti di interdizione parziale o totale dell’attività (rischio normativo);
  • prevenire l’impresa dal deterioramento della reputazione aziendale (rischio reputazionale) presso l’opinione pubblica, la comunità finanziaria, la propria clientela e, più in generale, tutti i suoi stakeholder (dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario ecc.).

I controlli di conformità devono avvenire in coordinazione con le altre funzioni (legale, organizzazione, organismo di vigilanza ecc.), per garantire una precisa definizione degli ambiti di azione e di responsabilità ed evitare sovrapposizioni e ridondanza nelle attività di controllo.

Il processo implica la valutazione dell’infrastruttura per individuare i sistemi non conformi a causa di modifiche alle normative, alle policy o agli standard, le configurazioni errate, o per qualsiasi altra ragione.

Il monitoraggio e la gestione efficiente della conformità dell’infrastruttura aziendale si ottengono con:

  • valutazione: identificazione dei sistemi non conformi, vulnerabili o sprovvisti di patch;
  • organizzazione: dare priorità alle attività di correzione a seconda dell’impegno richiesto, dell’impatto e della gravità del problema;
  • correzione: applicazione rapida e semplice delle patch e riconfigurazione dei sistemi sui quali è necessario intervenire;
  • report: verifica dell’efficacia delle modifiche richieste e documentazione dei risultati ottenuti.

Procedure e strumenti per la conformità normativa

Il migliore strumento per garantire che la gestione informatizzata dei dati sia sempre conforme alle norme ed agli standard aziendali è la programmazione di Cybersecurity Audit e Vulnerability Assessment periodici, che consentono di identificare e correggere le nuove vulnerabilità e non conformità, che possono emergere in seguito ad aggiornamenti normativi, all’adozione di nuovi applicativi oppure alla naturale evoluzione di software, sistemi e loro configurazioni.

A sostegno degli audit e assessment periodici, ci sono però alcune attività che possono consentirti di monitorare quotidianamente alcuni parametri di conformità dei sistemi informatici aziendali:

  1. Scansionare regolarmente i sistemi facilita l’identificazione tempestiva di situazioni tipiche di non conformità e vulnerabilità note.
  2. L’installazione regolare e tempestiva degli aggiornamenti disponibili per sistemi operativi e software, ne tutela sicurezza, affidabilità, prestazioni e conformità. Deve pertanto essere programmata una strategia di efficace di patch managment, che garantisca un controllo periodico, almeno mensile, degli aggiornamenti disponibili. Le patch relative ai bug e ai difetti critici devono essere applicate il prima possibile. Assicurati di testare i sistemi a cui sono state applicate le patch prima di rimetterli in produzione.
  3. Automatizzare le attività di monitoraggio e di reporting dei sistemi, per ottimizzare il tempo dei tecnici IT e consentire loro di dedicarsi ad attività più strategiche.
  4. Centralizzare gli strumenti di gestione, integrandoli attraverso le API disponibili, consente di ridurre il numero di strumenti da gestire e le interfacce da utilizzare, consentendo di migliorare le potenzialità di monitoraggio delle non conformità negli gli ambienti distribuiti e di grandi dimensioni.

Conclusioni

Definire una strategia di automazione è un passo importante per incrementare la capacità di tenere sotto controllo la conformità dei sistemi senza incidere su tempi e costi, soprattutto in realtà con sistemi semplici, ma non per questo meno esposti al rischio di violazione e di non conformità.

La scelta delle tecnologie di automazione più adatte è fondamentale per la rapida implementazione nel datacenter e nei sistemi software di rete degli ambienti ibridi.

Intrusa SIEM Cloud rappresenta uno strumento indispensabile per Audit&Compliance grazie alla gestione del registro degli accessi in conformità a normative e standard in materia di privacy e sicurezza delle informazioni.