Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 1 Agosto 2023 08:35
A cura di: David Fairman, CIO & CSO APAC, Netskope
Una delle sfide comuni in organizzazioni multinazionali che operano in numerosi Paesi, come ad esempio le società internazionali di servizi finanziari, è garantire la conformità alle normative sulla sicurezza delle informazioni e sulla sicurezza informatica di ciascuna giurisdizione.
Nella pratica, questo lavoro comporta la gestione delle relazioni con numerose autorità di regolamentazione, ciascuna delle quali ha le proprie aspettative di standard per le migliori pratiche di sicurezza informatica.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Negli ultimi anni, la cybersecurity è diventata esponenzialmente più importante sia per le aziende che per i consumatori, e di conseguenza le normative sulla privacy e sulla sicurezza dei dati si sono moltiplicate, così come i quadri normativi per aiutare le aziende a raggiungere la conformità.
Oggi, una tipica società globale di servizi finanziari deve affrontare regolamentazioni generali sulla privacy dei dati, tra cui il GDPR (UE), il CCPA (USA) e il PIPL (Cina), oltre ad altre ancora (circa 194 paesi hanno adottato legislazioni per garantire la protezione dei dati e della privacy).
Inoltre, le aziende devono anche rispettare vari requisiti specifici del settore, come l’assessment FFIEC (USA), i requisiti TRM di MAS (Singapore), i mandati CPS 234 (Australia) e altri ancora. Allo stesso modo, le società di servizi finanziari sono spesso considerate parte delle “infrastrutture critiche” delle nazioni, con le proprie normative a cui conformarsi, inclusa l’ACT SOCI (Australia) e la Direttiva NIS (Regno Unito).
Conformarsi alle leggi e agli standard sulla privacy e sulla sicurezza informatica è un’impresa complessa, specialmente considerando che continuano a emergere regole, regolamenti e best practices significative. Poiché le imprese spesso si affidano ai loro partner per la sicurezza e il rischio per aiutarli a implementare gli standard e garantire la conformità, questo è un onere non solo per gli enti regolamentati, ma anche per le organizzazioni che li supportano.
Naturalmente, pochi negherebbero che la regolamentazione sia una cosa negativa. Alza il livello minimo comune e spinge le organizzazioni ad agire, tuttavia, la straordinaria complessità dell’ambiente regolatorio globale rende la conformità un affare costoso e di enorme consumo di tempo (si stima che le aziende spendano fino al 40% del loro budget per la cybersecurity per presentare relazioni di conformità regolamentare).
Per quanto riguarda gli standard, la proliferazione di quadri normativi come NIST CSF, ISO 27001 e ISO 27002 e NERC CIP può portare le organizzazioni a chiedersi su quale standard uniformarsi e, una volta scelto, come dimostrare la conformità con altri standard. Intorno a questo argomento, si è sviluppata un’intera industria per aiutare le imprese a mappare i controlli di sicurezza tra i diversi quadri normativi disponibili.
Le aziende che devono soddisfare i requisiti di sicurezza in giurisdizioni diverse spesso si trovano a fronteggiare il rischio di azioni regolamentari per un errore di conformità involontaria, indipendentemente dalle risorse che impiegano per affrontare la sfida. Non solo, tutto il tempo che i professionisti della sicurezza trascorrono ad analizzare le sfumature delle norme di sicurezza informatica di diversi organi regolatori, è tempo perso che potrebbero invece dedicare a combattere i rischi effettivi che l’azienda affronta. Dopotutto, essere conformi ed essere sicuri sono due cose molto diverse.
È giunto il momento di raggiungere un grado molto più elevato di armonizzazione regolamentare a livello globale. In teoria, per raggiungere l’armonizzazione occorrerebbe rendere identici i requisiti regolamentari o le politiche governative delle diverse giurisdizioni. Tuttavia, date l’enorme complessità della questione, le differenze di capacità e maturità tra le giurisdizioni e la necessità di una cooperazione diffusa tra gli Stati nazionali, è improbabile che sia possibile raggiungere questo livello di armonizzazione. Ma ciò non significa che non si possano compiere progressi. Ecco solo alcuni potenziali percorsi che l’armonizzazione potrebbe intraprendere:
L’armonizzazione regolamentare su larga scala può funzionare ed effettivamente funziona. Un buon esempio di ciò è l’Unione Europea, dove standard regolamentari comuni sono la norma. Infatti, la legislazione dell’UE è progettata per portare ordine e semplicità a una discrepanza ereditata di varie leggi nazionali. Se ne trova una conferma anche nel Digital Operational Resilience Act (DORA).
L’armonizzazione degli standard è un obiettivo degno di essere perseguito. Semplificando la complessità della gestione della conformità, possiamo consentire ai team di rischio e sicurezza di concentrarsi sulla gestione del rischio operativo, anziché sul rischio di conformità. In questo modo, saranno in grado di contrastare meglio le minacce e mantenere le operazioni.
È un compito grande e complesso, e tutte le parti interessate, compresi gli organismi di collaborazione governativa (ad esempio, il G20, ecc.), gli organismi internazionali (ad esempio, l’ONU, il World Economic Forum) e i leader dell’industria, come i CEO aziendali e i responsabili e professionisti della sicurezza e del rischio, devono agire per ottenere una maggiore trazione su questo argomento e lavorare insieme per progredire in modo collaborativo.
RedazioneX, la piattaforma di social media precedentemente nota come Twitter, nella giornata di oggi è rimasta offline per diverso tempo. Secondo Downdetector.com, X ha riscontrato per la prima volta...
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...
Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...
Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...
Negli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
