L’armonizzazione delle normative sulla sicurezza informatica

Redazione RHC : 1 Agosto 2023 08:35

A cura di: David Fairman, CIO & CSO APAC, Netskope

Una delle sfide comuni in organizzazioni multinazionali che operano in numerosi Paesi, come ad esempio le società internazionali di servizi finanziari, è garantire la conformità alle normative sulla sicurezza delle informazioni e sulla sicurezza informatica di ciascuna giurisdizione.

Nella pratica, questo lavoro comporta la gestione delle relazioni con numerose autorità di regolamentazione, ciascuna delle quali ha le proprie aspettative di standard per le migliori pratiche di sicurezza informatica.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Negli ultimi anni, la cybersecurity è diventata esponenzialmente più importante sia per le aziende che per i consumatori, e di conseguenza le normative sulla privacy e sulla sicurezza dei dati si sono moltiplicate, così come i quadri normativi per aiutare le aziende a raggiungere la conformità.

Oggi, una tipica società globale di servizi finanziari deve affrontare regolamentazioni generali sulla privacy dei dati, tra cui il GDPR (UE), il CCPA (USA) e il PIPL (Cina), oltre ad altre ancora (circa 194 paesi hanno adottato legislazioni per garantire la protezione dei dati e della privacy).

Inoltre, le aziende devono anche rispettare vari requisiti specifici del settore, come l’assessment FFIEC (USA), i requisiti TRM di MAS (Singapore), i mandati CPS 234 (Australia) e altri ancora. Allo stesso modo, le società di servizi finanziari sono spesso considerate parte delle “infrastrutture critiche” delle nazioni, con le proprie normative a cui conformarsi, inclusa l’ACT SOCI (Australia) e la Direttiva NIS (Regno Unito).

Il complesso scenario delle regolamentazioni sulla sicurezza informatica

Conformarsi alle leggi e agli standard sulla privacy e sulla sicurezza informatica è un’impresa complessa, specialmente considerando che continuano a emergere regole, regolamenti e best practices significative. Poiché le imprese spesso si affidano ai loro partner per la sicurezza e il rischio per aiutarli a implementare gli standard e garantire la conformità, questo è un onere non solo per gli enti regolamentati, ma anche per le organizzazioni che li supportano.

Naturalmente, pochi negherebbero che la regolamentazione sia una cosa negativa. Alza il livello minimo comune e spinge le organizzazioni ad agire, tuttavia, la straordinaria complessità dell’ambiente regolatorio globale rende la conformità un affare costoso e di enorme consumo di tempo (si stima che le aziende spendano fino al 40% del loro budget per la cybersecurity per presentare relazioni di conformità regolamentare).

Per quanto riguarda gli standard, la proliferazione di quadri normativi come NIST CSF, ISO 27001 e ISO 27002 e NERC CIP può portare le organizzazioni a chiedersi su quale standard uniformarsi e, una volta scelto, come dimostrare la conformità con altri standard. Intorno a questo argomento, si è sviluppata un’intera industria per aiutare le imprese a mappare i controlli di sicurezza tra i diversi quadri normativi disponibili.

Le aziende che devono soddisfare i requisiti di sicurezza in giurisdizioni diverse spesso si trovano a fronteggiare il rischio di azioni regolamentari per un errore di conformità involontaria, indipendentemente dalle risorse che impiegano per affrontare la sfida. Non solo, tutto il tempo che i professionisti della sicurezza trascorrono ad analizzare le sfumature delle norme di sicurezza informatica di diversi organi regolatori, è tempo perso che potrebbero invece dedicare a combattere i rischi effettivi che l’azienda affronta. Dopotutto, essere conformi ed essere sicuri sono due cose molto diverse.

Verso l’armonizzazione regolamentare

È giunto il momento di raggiungere un grado molto più elevato di armonizzazione regolamentare a livello globale. In teoria, per raggiungere l’armonizzazione occorrerebbe rendere identici i requisiti regolamentari o le politiche governative delle diverse giurisdizioni. Tuttavia, date l’enorme complessità della questione, le differenze di capacità e maturità tra le giurisdizioni e la necessità di una cooperazione diffusa tra gli Stati nazionali, è improbabile che sia possibile raggiungere questo livello di armonizzazione. Ma ciò non significa che non si possano compiere progressi. Ecco solo alcuni potenziali percorsi che l’armonizzazione potrebbe intraprendere:

• Un approccio basato su principi. Come primo passo, governi ed enti regolatori potrebbero concordare un insieme di principi fondamentali che sia alla base della regolamentazione, come la sacralità e l’integrità dei dati personali e i diritti dei cittadini al consenso e alla trasparenza dei dati.
• Equivalenza regolamentare. Invece di leggi comuni, diverse giurisdizioni potrebbero accettare il rispetto comprovato di una serie di leggi come equivalente al rispetto di un’altra serie di leggi.
• Importazione di norme di alto livello. I legislatori dovrebbero introdurre nuove leggi e obblighi solo dopo aver valutato se esistono leggi esistenti di un’altra giurisdizione che possono essere importate.

L’armonizzazione regolamentare su larga scala può funzionare ed effettivamente funziona. Un buon esempio di ciò è l’Unione Europea, dove standard regolamentari comuni sono la norma. Infatti, la legislazione dell’UE è progettata per portare ordine e semplicità a una discrepanza ereditata di varie leggi nazionali. Se ne trova una conferma anche nel Digital Operational Resilience Act (DORA).

L’armonizzazione degli standard è un obiettivo degno di essere perseguito. Semplificando la complessità della gestione della conformità, possiamo consentire ai team di rischio e sicurezza di concentrarsi sulla gestione del rischio operativo, anziché sul rischio di conformità. In questo modo, saranno in grado di contrastare meglio le minacce e mantenere le operazioni.

È un compito grande e complesso, e tutte le parti interessate, compresi gli organismi di collaborazione governativa (ad esempio, il G20, ecc.), gli organismi internazionali (ad esempio, l’ONU, il World Economic Forum) e i leader dell’industria, come i CEO aziendali e i responsabili e professionisti della sicurezza e del rischio, devono agire per ottenere una maggiore trazione su questo argomento e lavorare insieme per progredire in modo collaborativo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.