Negli ultimi anni si è assistito a un crescente spostamento verso normative volte a garantire sicurezza e responsabilità mentre le organizzazioni continuano a perseguire una rapida innovazione tecnologica. L’UE ha guidato questo sforzo con il GDPR e, più recentemente, con la direttiva NIS2.
NIS2 è il più completo nell’UE, se non nel mondo sicurezza informatica istruzioni fino ad oggi. Si tratta di un’evoluzione di un regolamento originariamente introdotto nel 2016 per applicare requisiti più rigorosi per la gestione del rischio e la segnalazione degli incidenti di sicurezza informatica a una gamma più ampia di settori, nonché sanzioni molto più severe per la non conformità. NIS2 deve essere recepito nella legislazione nazionale entro il 17 ottobre 2024 e le organizzazioni hanno meno di un anno per prepararsi. Ma poiché i tipici processi di conformità richiedono circa 12 mesi e molti sono ancora alle prese con requisiti così rigorosi, non c’è tempo da perdere.
Una sfida formidabile
Gli attacchi informatici stanno diventando sempre più comuni. Man mano che la tecnologia utilizzata per promuovere l’innovazione diventa più intelligente e potente, lo stesso vale per i metodi adottati dagli autori delle minacce.
NIS2 mira a garantire che le organizzazioni siano meglio protette contro la crescente sofisticatezza e regolarità degli attacchi informatici. Tuttavia, i requisiti rigorosi sono scoraggianti, soprattutto per le industrie e le organizzazioni a cui in precedenza non era stato richiesto di conformarsi a normative così rigorose.
Ad esempio, NIS2 prevede scadenze rigorose per la segnalazione di incidenti di sicurezza informatica. Le organizzazioni sono tenute a fornire un allarme tempestivo in caso di incidente di sicurezza informatica entro 24 ore e, più precisamente, entro 72 ore. Ciò dovrebbe includere una valutazione iniziale dell’incidente, rilevandone la gravità, l’impatto e gli indicatori di compromissione. Dopo un mese dovrebbe essere presentata una relazione finale che dovrebbe garantire che si traggano insegnamenti dagli incidenti precedenti.
Questi requisiti sottolineano che non è più sufficiente per un’organizzazione dimostrare di poter essere controllata quando richiesto, ma che è possibile indagare sugli incidenti di sicurezza e rispondere in modo rapido ed efficace. Nello stato attuale della sicurezza informatica, queste scadenze sono quasi impossibili da rispettare se i team di sicurezza non dispongono degli strumenti giusti.
RVP Vendite sicurezza EMEA presso Dynatrace.
La gente non ce la farà da sola
Troppo spesso, quando le organizzazioni si trovano ad affrontare nuovi requisiti di sicurezza e conformità, la loro prima reazione è quella di coinvolgere più persone nel problema. Sebbene sia importante avere le giuste competenze per acquisire e mantenere le giuste competenze, questa non è una soluzione sostenibile o a lungo termine perché semplicemente non ci sono abbastanza professionisti della sicurezza. NIS2 aggraverà questa carenza di competenze a causa del gran numero di organizzazioni interessate. Coloro che possono permettersi di assumere grandi team di sicurezza svilupperanno tutto il talento per gestire le richieste prima che gli altri ne abbiano la possibilità.
la natura complessa di cloud computing Gli ambienti e le pratiche di distribuzione native del cloud aggiungono un’altra sfida alla conformità NIS2 poiché ha cambiato radicalmente il modo in cui i team di sicurezza affrontano la sicurezza informatica. Lo sviluppo del software è ora continuo, con più versioni e cicli di test più brevi per i team di sicurezza. Di conseguenza, è più probabile che i team trascurino le vulnerabilità. Dallo studio è emerso che solo il 50% dei CISO è completamente sicuro che il proprio software sia stato completamente testato per individuare eventuali vulnerabilità prima di entrare in produzione.
Soluzione intelligente
L’ottimizzazione e l’automazione della sicurezza sono fondamentali per soddisfare i requisiti NIS2 e fornire potenti funzionalità di gestione delle vulnerabilità e degli incidenti. analisi e processi di reporting. È umanamente impossibile fornire il livello di dettaglio e accuratezza degli incidenti di sicurezza informatica richiesti da NIS2 entro i tempi specificati attraverso approcci manuali. Le organizzazioni necessitano di dati in tempo reale sul loro livello di sicurezza e di visibilità end-to-end nei loro ambienti ibridi e multi-cloud.
Ciò può essere ottenuto solo allineando la sicurezza con i dati di osservabilità e automatizzando l’analisi delle vulnerabilità in fase di esecuzione per ottenere informazioni dettagliate sulla gravità e sull’impatto degli incidenti. Grazie a queste informazioni, i team possono valutare istantaneamente l’urgenza di qualsiasi vulnerabilità e identificare quali sistemi sono interessati durante un incidente, il che è fondamentale per la segnalazione di avvisi tempestivi. Possono anche ottenere informazioni su come gestire e risolvere i problemi, aiutandoli ad agire rapidamente. Tuttavia, per raccogliere queste informazioni nel breve tempo necessario per conformarsi a NIS2, i team di sicurezza devono automatizzare il processo di estrazione di queste informazioni e incorporarle in report e notifiche di incidenti.
Uscire dalla conformità
Le organizzazioni dovrebbero anche considerare come estendere queste funzionalità oltre la conformità NIS2. Ciò significa spostarsi a sinistra per garantire che la sicurezza sia una componente fondamentale del ciclo di vita dello sviluppo del software. Molte organizzazioni affermeranno che stanno già spostandosi a sinistra, ma la maggior parte lo fa manualmente e senza visibilità end-to-end, il che ne limita l’impatto.
Ad esempio, i team di sicurezza e sviluppo dovrebbero lavorare insieme per garantire ciò Software non supera le prime fasi del processo finché entrambe le squadre non sono sicure che sia sicuro. I cancelli automatizzati di sicurezza e di qualità sono un ottimo modo per eliminare il lavoro manuale coinvolto in questo processo. Combinando queste funzionalità con dati di osservabilità, è possibile rilevare automaticamente vulnerabilità o bug, in modo che gli sviluppatori possano risolverli prima di spostare il codice alla fase successiva.
È tempo di agire!
La scadenza NIS2 si avvicina rapidamente e, con richieste senza precedenti, le organizzazioni non possono permettersi di essere lente nella risposta. Le autorità di regolamentazione continueranno a rafforzare la sicurezza informatica, quindi ora è il momento per le organizzazioni di agire dandosi la visibilità di cui hanno bisogno per stare al passo con i requisiti di conformità.
Abbiamo elencato i migliori software di gestione delle patch.
