Negli ultimi anni si è assistito a una crescente tendenza alla regolamentazione per garantire sicurezza e responsabilità, mentre le organizzazioni continuano a perseguire una rapida innovazione tecnologica. L’UE ha aperto la strada a questi sforzi con il GDPR e, più recentemente, con la direttiva NIS2.
NIS2 è la direttiva sulla sicurezza informatica più completa dell’UE, se non del mondo, ad oggi. Si tratta di un’evoluzione di un regolamento originariamente introdotto nel 2016 per imporre requisiti più severi per la gestione del rischio e la segnalazione di incidenti di cybersicurezza per una gamma più ampia di settori, con sanzioni molto più severe in caso di non conformità. Il recepimento della NIS2 nella legislazione nazionale è previsto per il 17 ottobre 2024, quindi le organizzazioni hanno poco più di un anno per prepararsi. Ma dato che i processi di conformità tipici richiedono circa 12 mesi e che molti sono ancora alle prese con requisiti così rigorosi, non c’è tempo da perdere.
Una sfida impegnativa
Gli attacchi informatici sono sempre più diffusi. Man mano che la tecnologia utilizzata per guidare l’innovazione diventa più intelligente e potente, aumentano anche i metodi adottati dagli attori delle minacce.
La NIS2 mira a garantire una migliore protezione delle organizzazioni contro la crescente sofisticazione e regolarità degli attacchi informatici. Tuttavia, i requisiti rigorosi sono scoraggianti, soprattutto per i settori e le organizzazioni che in precedenza non erano tenuti a rispettare normative così severe.
Ad esempio, il NIS2 prevede scadenze molto strette per la segnalazione degli incidenti di sicurezza informatica. Le organizzazioni sono obbligate a dare un primo avviso di incidente di sicurezza informatica entro 24 ore e una notifica più dettagliata entro 72 ore. Questa deve includere una valutazione iniziale dell’incidente, indicandone la gravità, l’impatto e gli indicatori di compromissione. Dopo un mese, deve essere fornito un rapporto finale, che deve garantire che si possano trarre insegnamenti da incidenti precedenti.
Queste condizioni sottolineano che non è più sufficiente che un’organizzazione dimostri di poter essere sottoposta a un audit in caso di richiesta, ma che gli incidenti di sicurezza possono essere indagati e affrontati in modo rapido ed efficace. Allo stato attuale della cybersecurity, queste scadenze sono quasi impossibili da rispettare se i team di sicurezza non dispongono degli strumenti giusti.
Le persone da sole non bastano
Troppo spesso, quando le organizzazioni si trovano di fronte a nuovi requisiti di sicurezza e conformità, la loro prima reazione è quella di aumentare il numero di persone che si occupano del problema. Sebbene sia importante disporre delle giuste competenze per raggiungere e mantenere la conformità, questa non è una soluzione sostenibile o a lungo termine, perché semplicemente non ci sono abbastanza specialisti della sicurezza. NIS2 aggraverà ulteriormente questa carenza di competenze a causa dell’ampio numero di organizzazioni interessate. Quelle che possono permettersi di assumere grandi team di sicurezza si accaparreranno tutti i talenti per far fronte ai requisiti, prima che gli altri ne abbiano la possibilità.
La natura complessa degli ambienti multicloud e delle pratiche di delivery native del cloud aggiunge un’altra sfida alla conformità NIS2, poiché ha cambiato radicalmente il modo in cui i team di sicurezza approcciano la cybersecurity. Lo sviluppo del software è ora continuo, con un numero maggiore di release e cicli di test più brevi per i team di sicurezza. Di conseguenza, è più probabile che ai team sfuggano delle vulnerabilità. Una ricerca Dyntrace ha rilevato che solo il 50% dei CISO è pienamente sicuro che il proprio software sia stato completamente testato per le vulnerabilità prima di essere messo in produzione.
Una soluzione intelligente
Per soddisfare i requisiti di NIS2 e abilitare solide capacità di gestione delle vulnerabilità e degli incidenti, è fondamentale ottimizzare e automatizzare i processi di analisi e reporting della sicurezza. È umanamente impossibile fornire il livello di dettaglio e accuratezza sugli incidenti di sicurezza informatica che NIS2 richiede nei tempi specificati attraverso approcci manuali. Le organizzazioni necessitano di dati in tempo reale sul proprio livello di sicurezza e di visibilità end-to-end nel loro ambiente ibrido e multicloud.
Questo obiettivo può essere raggiunto solo facendo convergere la sicurezza con i dati di osservabilità e automatizzando l’analisi delle vulnerabilità a runtime per ottenere insights sulla gravità e sull’impatto degli incidenti. Grazie a queste informazioni, i team possono valutare immediatamente l’urgenza di qualsiasi vulnerabilità e identificare quali sistemi sono stati colpiti durante un incidente – essenziale per i rapporti di allerta. Possono anche accedere a insights su come classificare e risolvere i problemi, aiutandoli ad agire rapidamente. Tuttavia, per raccogliere queste informazioni nel breve lasso di tempo necessario per conformarsi alla normativa NIS2, i team di sicurezza devono automatizzare il processo di estrazione di queste informazioni e di compilazione di report e notifiche di incidenti.
Andare oltre la conformità
Le organizzazioni dovrebbero anche considerare come estendere queste capacità per andare oltre la conformità NIS2. Piuttosto che concentrarsi solo sulla rilevazione e segnalazione dei problemi nella produzione, dovrebbero mirare in primo luogo a impedire che si verifichino, attraverso un cambio di mentalità verso la sicurezza. Questo significa adottare un approccio shif-left per garantire che la sicurezza sia una componente critica nel ciclo di vita dello sviluppo del software. Molte organizzazioni sostengono di aver già effettuato lo shift-left, ma la maggior parte lo fa manualmente e senza visibilità end-to-end, il che ne limita l’impatto.
Ad esempio, i team di sicurezza e sviluppo devono lavorare insieme per garantire che il software non venga accettato fin dalle prime fasi della pipeline a meno che entrambi i team non siano più che certi che sia sicuro. I gate automatizzati di qualità e sicurezza sono un ottimo modo per rimuovere la fatica manuale che contraddistingue questo processo. Combinando queste funzionalità con i dati di osservabilità, le vulnerabilità o gli errori possono essere rilevati automaticamente, in modo che gli sviluppatori possano risolverli prima che il codice passi alla fase successiva di delivery.
È tempo di agire
La scadenza del NIS2 si avvicina rapidamente e, con condizioni senza precedenti, le organizzazioni non possono permettersi di essere lente nel rispondere. Le autorità di regolamentazione continueranno a diventare sempre più severe in materia di cybersecurity, quindi è giunto il momento per le organizzazioni di agire assicurandosi di avere la visibilità necessaria per essere al passo con i requisiti di conformità.
A cura di Ben Todd, RVP Security Solutions, EMEA di Dynatrace