Redazione RHC : 1 Agosto 2023 08:35
A cura di: David Fairman, CIO & CSO APAC, Netskope
Una delle sfide comuni in organizzazioni multinazionali che operano in numerosi Paesi, come ad esempio le società internazionali di servizi finanziari, è garantire la conformità alle normative sulla sicurezza delle informazioni e sulla sicurezza informatica di ciascuna giurisdizione.
Nella pratica, questo lavoro comporta la gestione delle relazioni con numerose autorità di regolamentazione, ciascuna delle quali ha le proprie aspettative di standard per le migliori pratiche di sicurezza informatica.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Negli ultimi anni, la cybersecurity è diventata esponenzialmente più importante sia per le aziende che per i consumatori, e di conseguenza le normative sulla privacy e sulla sicurezza dei dati si sono moltiplicate, così come i quadri normativi per aiutare le aziende a raggiungere la conformità.
Oggi, una tipica società globale di servizi finanziari deve affrontare regolamentazioni generali sulla privacy dei dati, tra cui il GDPR (UE), il CCPA (USA) e il PIPL (Cina), oltre ad altre ancora (circa 194 paesi hanno adottato legislazioni per garantire la protezione dei dati e della privacy).
Inoltre, le aziende devono anche rispettare vari requisiti specifici del settore, come l’assessment FFIEC (USA), i requisiti TRM di MAS (Singapore), i mandati CPS 234 (Australia) e altri ancora. Allo stesso modo, le società di servizi finanziari sono spesso considerate parte delle “infrastrutture critiche” delle nazioni, con le proprie normative a cui conformarsi, inclusa l’ACT SOCI (Australia) e la Direttiva NIS (Regno Unito).
Conformarsi alle leggi e agli standard sulla privacy e sulla sicurezza informatica è un’impresa complessa, specialmente considerando che continuano a emergere regole, regolamenti e best practices significative. Poiché le imprese spesso si affidano ai loro partner per la sicurezza e il rischio per aiutarli a implementare gli standard e garantire la conformità, questo è un onere non solo per gli enti regolamentati, ma anche per le organizzazioni che li supportano.
Naturalmente, pochi negherebbero che la regolamentazione sia una cosa negativa. Alza il livello minimo comune e spinge le organizzazioni ad agire, tuttavia, la straordinaria complessità dell’ambiente regolatorio globale rende la conformità un affare costoso e di enorme consumo di tempo (si stima che le aziende spendano fino al 40% del loro budget per la cybersecurity per presentare relazioni di conformità regolamentare).
Per quanto riguarda gli standard, la proliferazione di quadri normativi come NIST CSF, ISO 27001 e ISO 27002 e NERC CIP può portare le organizzazioni a chiedersi su quale standard uniformarsi e, una volta scelto, come dimostrare la conformità con altri standard. Intorno a questo argomento, si è sviluppata un’intera industria per aiutare le imprese a mappare i controlli di sicurezza tra i diversi quadri normativi disponibili.
Le aziende che devono soddisfare i requisiti di sicurezza in giurisdizioni diverse spesso si trovano a fronteggiare il rischio di azioni regolamentari per un errore di conformità involontaria, indipendentemente dalle risorse che impiegano per affrontare la sfida. Non solo, tutto il tempo che i professionisti della sicurezza trascorrono ad analizzare le sfumature delle norme di sicurezza informatica di diversi organi regolatori, è tempo perso che potrebbero invece dedicare a combattere i rischi effettivi che l’azienda affronta. Dopotutto, essere conformi ed essere sicuri sono due cose molto diverse.
È giunto il momento di raggiungere un grado molto più elevato di armonizzazione regolamentare a livello globale. In teoria, per raggiungere l’armonizzazione occorrerebbe rendere identici i requisiti regolamentari o le politiche governative delle diverse giurisdizioni. Tuttavia, date l’enorme complessità della questione, le differenze di capacità e maturità tra le giurisdizioni e la necessità di una cooperazione diffusa tra gli Stati nazionali, è improbabile che sia possibile raggiungere questo livello di armonizzazione. Ma ciò non significa che non si possano compiere progressi. Ecco solo alcuni potenziali percorsi che l’armonizzazione potrebbe intraprendere:
L’armonizzazione regolamentare su larga scala può funzionare ed effettivamente funziona. Un buon esempio di ciò è l’Unione Europea, dove standard regolamentari comuni sono la norma. Infatti, la legislazione dell’UE è progettata per portare ordine e semplicità a una discrepanza ereditata di varie leggi nazionali. Se ne trova una conferma anche nel Digital Operational Resilience Act (DORA).
L’armonizzazione degli standard è un obiettivo degno di essere perseguito. Semplificando la complessità della gestione della conformità, possiamo consentire ai team di rischio e sicurezza di concentrarsi sulla gestione del rischio operativo, anziché sul rischio di conformità. In questo modo, saranno in grado di contrastare meglio le minacce e mantenere le operazioni.
È un compito grande e complesso, e tutte le parti interessate, compresi gli organismi di collaborazione governativa (ad esempio, il G20, ecc.), gli organismi internazionali (ad esempio, l’ONU, il World Economic Forum) e i leader dell’industria, come i CEO aziendali e i responsabili e professionisti della sicurezza e del rischio, devono agire per ottenere una maggiore trazione su questo argomento e lavorare insieme per progredire in modo collaborativo.
RedazioneIl ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...
L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...
Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...
