La crescente complessità e frequenza degli attacchi informatici pone un dilemma critico per i responsabili della sicurezza informatica aziendale: come garantire la protezione delle informazioni e la resilienza operativa in un panorama sempre più regolamentato?
Ogni organizzazione deve affrontare la sfida di migliorare la propria cyber resilience nel rispetto di normative stringenti come NIS2, DORA, GDPR e il Cybersecurity Act europeo, nonché degli standard internazionali di sicurezza come la serie ISO 27000.
In questo contesto, proponiamo un percorso in sette passaggi per fornire alle aziende un approccio strutturato e pratico alla sicurezza informatica.
Indice degli argomenti
Adozione delle normative e standard di sicurezza
Questa guida step by step non solo facilita il rispetto dei requisiti di compliance, ma aiuta anche le organizzazioni a costruire difese robuste, garantendo continuità operativa e ispirando fiducia a clienti e partner.
NIS e NIS2
L’adozione delle normative NIS (Network and Information Systems EU 2024/2690), entrata in vigore nel 2016, e NIS2, entrata in vigore il 16 ottobre 2024, è essenziale per le aziende che operano in settori critici.
Queste normative richiedono l’implementazione di misure di sicurezza per proteggere i sistemi di rete e informazione, migliorando così la resilienza dell’intera infrastruttura.
DORA
Il Digital Operational Resilience Act (DORA 2022/2554/UE) è stato adottato nel 2022, con applicazione a partire dal 17 gennaio 2025.
Impone requisiti specifici per le istituzioni finanziarie, ma le sue linee guida possono essere applicate a molte aziende, enfatizzando l’importanza della gestione dei rischi operativi e della capacità di ripristino in caso di incidenti.
GDPR
Il Regolamento generale sulla protezione dei dati (GDPR UE 2016/67) è entrato in vigore il 25 maggio 2018. Non solo tutela i dati personali, ma richiede anche misure di sicurezza adeguate.
La compliance con il GDPR non solo evita sanzioni, ma migliora la fiducia dei clienti, fondamentale per la reputazione aziendale.
Altre normative
In aggiunta, il Regolamento ePrivacy, sebbene non ancora attivo, avrà implicazioni significative sulla gestione dei dati personali, completando il quadro normativo del GDPR.
Implementazione di standard di data governance e sicurezza
L’adozione di standard come ISO 27001, pubblicato nel 2013, offre un framework riconosciuto per la gestione della sicurezza delle informazioni.
ISO 27001 fornisce linee guida per l’identificazione e la gestione dei rischi, la protezione dei dati e la risposta agli incidenti.
Questo standard aiuta a stabilire una cultura della sicurezza all’interno dell’azienda, coinvolgendo tutti i livelli organizzativi.
Inoltre, l’ISO/IEC 27017, pubblicata nel 2015, offre linee guida specifiche per la sicurezza delle informazioni nel cloud, mentre l’ISO/IEC 27018, anch’essa pubblicata nel 2014, si concentra sulla protezione dei dati personali nel cloud, entrambi cruciali per le aziende che utilizzano servizi cloud.
Sviluppo di un piano di continuità operativa e disaster recovery
Un piano di business continuity e disaster recovery è fondamentale per garantire che l’azienda possa continuare a operare anche in caso di attacco informatico.
L’ISO 22301, pubblicato nel 2012, fornisce uno standard internazionale per la gestione della continuità operativa, offrendo una base per pianificare e rispondere a eventi che possono interrompere le operazioni.
Le aziende devono identificare le funzioni critiche e le risorse necessarie per il ripristino rapido e efficace, riducendo al minimo l’impatto sui servizi.
Formazione e sensibilizzazione del personale
Un elemento chiave della sicurezza informatica è il coinvolgimento delle persone. È cruciale implementare programmi di formazione mirati per tutti i dipendenti, dai dirigenti ai collaboratori occasionali.
Secondo uno studio di Cybersecurity & Infrastructure Security Agency (CISA), il 90% degli attacchi informatici sfrutta errori umani. Investire nella formazione può ridurre significativamente i rischi.
È necessario creare una cultura della sicurezza, in cui ogni dipendente si senta responsabile per la protezione dei dati.
Collaborazione con partner e fornitori
Infine, è imperativo che le aziende collaborino con partner e fornitori per garantire che anche le loro pratiche di sicurezza siano allineate con le proprie.
Le vulnerabilità nella catena di fornitura possono costituire un punto di accesso per gli attaccanti. Stabilire requisiti di sicurezza chiari e condurre audit regolari può contribuire a mitigare questi rischi.
Adozione del NIST Cybersecurity Framework
L’adozione dell’americano NIST Cybersecurity Framework, pubblicato nel 2014, può ulteriormente rafforzare la postura di sicurezza dell’azienda.
Questo framework offre linee guida pratiche per migliorare la gestione del rischio informatico, fornendo una struttura flessibile che può essere adattata alle specifiche esigenze aziendali.
Compliance con Basilea III per le istituzioni finanziarie
Per le istituzioni finanziarie, la compliance con Basilea III, entrato in vigore nel 2013, è cruciale.
Questo accordo internazionale non solo stabilisce requisiti di capitale, ma implica anche la gestione dei rischi operativi e la protezione delle informazioni sensibili, rendendo la sicurezza un aspetto centrale nella governance aziendale.
Conclusione
Migliorare la sicurezza delle informazioni richiede un approccio olistico e step by step, incentrato su persone, processi, prodotti e partner.
La combinazione di normative come NIS, DORA, GDPR e il supporto di standard come ISO 27001, ISO 22301 e NIST, offre una solida base per costruire una vera cyber resilience.
Solo attraverso la formazione continua e la collaborazione strategica con tutti gli stakeholder si può garantire una protezione efficace.
Il tempo e l’impegno necessari per implementare questi passaggi sono un investimento fondamentale per la sicurezza e la continuità operativa dell’azienda nel lungo termine.
