Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’armonizzazione delle normative sulla sicurezza informatica

Redazione RHC : 1 Agosto 2023 08:35

A cura di: David Fairman, CIO & CSO APAC, Netskope

Una delle sfide comuni in organizzazioni multinazionali che operano in numerosi Paesi, come ad esempio le società internazionali di servizi finanziari, è garantire la conformità alle normative sulla sicurezza delle informazioni e sulla sicurezza informatica di ciascuna giurisdizione.

Nella pratica, questo lavoro comporta la gestione delle relazioni con numerose autorità di regolamentazione, ciascuna delle quali ha le proprie aspettative di standard per le migliori pratiche di sicurezza informatica.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Negli ultimi anni, la cybersecurity è diventata esponenzialmente più importante sia per le aziende che per i consumatori, e di conseguenza le normative sulla privacy e sulla sicurezza dei dati si sono moltiplicate, così come i quadri normativi per aiutare le aziende a raggiungere la conformità.

David Fairman, CIO & CSO APAC, Netskope

Oggi, una tipica società globale di servizi finanziari deve affrontare regolamentazioni generali sulla privacy dei dati, tra cui il GDPR (UE), il CCPA (USA) e il PIPL (Cina), oltre ad altre ancora (circa 194 paesi hanno adottato legislazioni per garantire la protezione dei dati e della privacy).

Inoltre, le aziende devono anche rispettare vari requisiti specifici del settore, come l’assessment FFIEC (USA), i requisiti TRM di MAS (Singapore), i mandati CPS 234 (Australia) e altri ancora. Allo stesso modo, le società di servizi finanziari sono spesso considerate parte delle “infrastrutture critiche” delle nazioni, con le proprie normative a cui conformarsi, inclusa l’ACT SOCI (Australia) e la Direttiva NIS (Regno Unito).

Il complesso scenario delle regolamentazioni sulla sicurezza informatica

Conformarsi alle leggi e agli standard sulla privacy e sulla sicurezza informatica è un’impresa complessa, specialmente considerando che continuano a emergere regole, regolamenti e best practices significative. Poiché le imprese spesso si affidano ai loro partner per la sicurezza e il rischio per aiutarli a implementare gli standard e garantire la conformità, questo è un onere non solo per gli enti regolamentati, ma anche per le organizzazioni che li supportano.

Naturalmente, pochi negherebbero che la regolamentazione sia una cosa negativa. Alza il livello minimo comune e spinge le organizzazioni ad agire, tuttavia, la straordinaria complessità dell’ambiente regolatorio globale rende la conformità un affare costoso e di enorme consumo di tempo (si stima che le aziende spendano fino al 40% del loro budget per la cybersecurity per presentare relazioni di conformità regolamentare).

Per quanto riguarda gli standard, la proliferazione di quadri normativi come NIST CSF, ISO 27001 e ISO 27002 e NERC CIP può portare le organizzazioni a chiedersi su quale standard uniformarsi e, una volta scelto, come dimostrare la conformità con altri standard. Intorno a questo argomento, si è sviluppata un’intera industria per aiutare le imprese a mappare i controlli di sicurezza tra i diversi quadri normativi disponibili.

Le aziende che devono soddisfare i requisiti di sicurezza in giurisdizioni diverse spesso si trovano a fronteggiare il rischio di azioni regolamentari per un errore di conformità involontaria, indipendentemente dalle risorse che impiegano per affrontare la sfida. Non solo, tutto il tempo che i professionisti della sicurezza trascorrono ad analizzare le sfumature delle norme di sicurezza informatica di diversi organi regolatori, è tempo perso che potrebbero invece dedicare a combattere i rischi effettivi che l’azienda affronta. Dopotutto, essere conformi ed essere sicuri sono due cose molto diverse.

Verso l’armonizzazione regolamentare

È giunto il momento di raggiungere un grado molto più elevato di armonizzazione regolamentare a livello globale. In teoria, per raggiungere l’armonizzazione occorrerebbe rendere identici i requisiti regolamentari o le politiche governative delle diverse giurisdizioni. Tuttavia, date l’enorme complessità della questione, le differenze di capacità e maturità tra le giurisdizioni e la necessità di una cooperazione diffusa tra gli Stati nazionali, è improbabile che sia possibile raggiungere questo livello di armonizzazione. Ma ciò non significa che non si possano compiere progressi. Ecco solo alcuni potenziali percorsi che l’armonizzazione potrebbe intraprendere:

  • Un approccio basato su principi. Come primo passo, governi ed enti regolatori potrebbero concordare un insieme di principi fondamentali che sia alla base della regolamentazione, come la sacralità e l’integrità dei dati personali e i diritti dei cittadini al consenso e alla trasparenza dei dati.
  • Equivalenza regolamentare. Invece di leggi comuni, diverse giurisdizioni potrebbero accettare il rispetto comprovato di una serie di leggi come equivalente al rispetto di un’altra serie di leggi.
  • Importazione di norme di alto livello. I legislatori dovrebbero introdurre nuove leggi e obblighi solo dopo aver valutato se esistono leggi esistenti di un’altra giurisdizione che possono essere importate.

L’armonizzazione regolamentare su larga scala può funzionare ed effettivamente funziona. Un buon esempio di ciò è l’Unione Europea, dove standard regolamentari comuni sono la norma. Infatti, la legislazione dell’UE è progettata per portare ordine e semplicità a una discrepanza ereditata di varie leggi nazionali. Se ne trova una conferma anche nel Digital Operational Resilience Act (DORA).

L’armonizzazione degli standard è un obiettivo degno di essere perseguito. Semplificando la complessità della gestione della conformità, possiamo consentire ai team di rischio e sicurezza di concentrarsi sulla gestione del rischio operativo, anziché sul rischio di conformità. In questo modo, saranno in grado di contrastare meglio le minacce e mantenere le operazioni.

È un compito grande e complesso, e tutte le parti interessate, compresi gli organismi di collaborazione governativa (ad esempio, il G20, ecc.), gli organismi internazionali (ad esempio, l’ONU, il World Economic Forum) e i leader dell’industria, come i CEO aziendali e i responsabili e professionisti della sicurezza e del rischio, devono agire per ottenere una maggiore trazione su questo argomento e lavorare insieme per progredire in modo collaborativo.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Arriva 123 Stealer! 120 dollari al mese in abbonamento, per rubare qualsiasi dato riservato

Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...