Redazione RHC : 1 Agosto 2023 08:35
A cura di: David Fairman, CIO & CSO APAC, Netskope
Una delle sfide comuni in organizzazioni multinazionali che operano in numerosi Paesi, come ad esempio le società internazionali di servizi finanziari, è garantire la conformità alle normative sulla sicurezza delle informazioni e sulla sicurezza informatica di ciascuna giurisdizione.
Nella pratica, questo lavoro comporta la gestione delle relazioni con numerose autorità di regolamentazione, ciascuna delle quali ha le proprie aspettative di standard per le migliori pratiche di sicurezza informatica.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Negli ultimi anni, la cybersecurity è diventata esponenzialmente più importante sia per le aziende che per i consumatori, e di conseguenza le normative sulla privacy e sulla sicurezza dei dati si sono moltiplicate, così come i quadri normativi per aiutare le aziende a raggiungere la conformità.
Oggi, una tipica società globale di servizi finanziari deve affrontare regolamentazioni generali sulla privacy dei dati, tra cui il GDPR (UE), il CCPA (USA) e il PIPL (Cina), oltre ad altre ancora (circa 194 paesi hanno adottato legislazioni per garantire la protezione dei dati e della privacy).
Inoltre, le aziende devono anche rispettare vari requisiti specifici del settore, come l’assessment FFIEC (USA), i requisiti TRM di MAS (Singapore), i mandati CPS 234 (Australia) e altri ancora. Allo stesso modo, le società di servizi finanziari sono spesso considerate parte delle “infrastrutture critiche” delle nazioni, con le proprie normative a cui conformarsi, inclusa l’ACT SOCI (Australia) e la Direttiva NIS (Regno Unito).
Conformarsi alle leggi e agli standard sulla privacy e sulla sicurezza informatica è un’impresa complessa, specialmente considerando che continuano a emergere regole, regolamenti e best practices significative. Poiché le imprese spesso si affidano ai loro partner per la sicurezza e il rischio per aiutarli a implementare gli standard e garantire la conformità, questo è un onere non solo per gli enti regolamentati, ma anche per le organizzazioni che li supportano.
Naturalmente, pochi negherebbero che la regolamentazione sia una cosa negativa. Alza il livello minimo comune e spinge le organizzazioni ad agire, tuttavia, la straordinaria complessità dell’ambiente regolatorio globale rende la conformità un affare costoso e di enorme consumo di tempo (si stima che le aziende spendano fino al 40% del loro budget per la cybersecurity per presentare relazioni di conformità regolamentare).
Per quanto riguarda gli standard, la proliferazione di quadri normativi come NIST CSF, ISO 27001 e ISO 27002 e NERC CIP può portare le organizzazioni a chiedersi su quale standard uniformarsi e, una volta scelto, come dimostrare la conformità con altri standard. Intorno a questo argomento, si è sviluppata un’intera industria per aiutare le imprese a mappare i controlli di sicurezza tra i diversi quadri normativi disponibili.
Le aziende che devono soddisfare i requisiti di sicurezza in giurisdizioni diverse spesso si trovano a fronteggiare il rischio di azioni regolamentari per un errore di conformità involontaria, indipendentemente dalle risorse che impiegano per affrontare la sfida. Non solo, tutto il tempo che i professionisti della sicurezza trascorrono ad analizzare le sfumature delle norme di sicurezza informatica di diversi organi regolatori, è tempo perso che potrebbero invece dedicare a combattere i rischi effettivi che l’azienda affronta. Dopotutto, essere conformi ed essere sicuri sono due cose molto diverse.
È giunto il momento di raggiungere un grado molto più elevato di armonizzazione regolamentare a livello globale. In teoria, per raggiungere l’armonizzazione occorrerebbe rendere identici i requisiti regolamentari o le politiche governative delle diverse giurisdizioni. Tuttavia, date l’enorme complessità della questione, le differenze di capacità e maturità tra le giurisdizioni e la necessità di una cooperazione diffusa tra gli Stati nazionali, è improbabile che sia possibile raggiungere questo livello di armonizzazione. Ma ciò non significa che non si possano compiere progressi. Ecco solo alcuni potenziali percorsi che l’armonizzazione potrebbe intraprendere:
L’armonizzazione regolamentare su larga scala può funzionare ed effettivamente funziona. Un buon esempio di ciò è l’Unione Europea, dove standard regolamentari comuni sono la norma. Infatti, la legislazione dell’UE è progettata per portare ordine e semplicità a una discrepanza ereditata di varie leggi nazionali. Se ne trova una conferma anche nel Digital Operational Resilience Act (DORA).
L’armonizzazione degli standard è un obiettivo degno di essere perseguito. Semplificando la complessità della gestione della conformità, possiamo consentire ai team di rischio e sicurezza di concentrarsi sulla gestione del rischio operativo, anziché sul rischio di conformità. In questo modo, saranno in grado di contrastare meglio le minacce e mantenere le operazioni.
È un compito grande e complesso, e tutte le parti interessate, compresi gli organismi di collaborazione governativa (ad esempio, il G20, ecc.), gli organismi internazionali (ad esempio, l’ONU, il World Economic Forum) e i leader dell’industria, come i CEO aziendali e i responsabili e professionisti della sicurezza e del rischio, devono agire per ottenere una maggiore trazione su questo argomento e lavorare insieme per progredire in modo collaborativo.
RedazioneIl CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...
Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...
Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
