Gestione delle vulnerabilità, cosa cambia nel panorama normativo?

WithSecure_OurPeople_London_office4

Il panorama della sicurezza informatica è in continua evoluzione, non solo per la nota e continua battaglia tra attaccanti e difensori, che negli ultimi anni ha conosciuto un'accelerazione considerevole, ma anche a causa di un panorama normativo particolarmente vivace. Stati e istituzioni sono infatti costantemente alla ricerca di un equilibrio normativo che possa tutelare il mondo digitale. In Europa, questo si manifesta principalmente attraverso due punti focali: la tutela dei cittadini, come evidenziato da regolamenti più datati quali il GDPR, e la conservazione di un livello di flessibilità che consenta l'innovazione.

Nel 2024, in particolare, entrano in vigore due novità normative di rilievo: la la direttiva NIS2 e il Regolamento DORA, entrambi di interesse anche nel campo della gestione delle vulnerabilità. Ecco un breve riassunto delle loro caratteristiche più rilevanti.

Normativa NIS2: a chi è rivolta e requisiti

La direttiva NIS2 (Network and Information Systems) è una normativa europea che mira a rafforzare la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali. Essa si applica a una vasta gamma di soggetti, tra cui gli operatori di servizi essenziali (OSE), i fornitori di servizi digitali (FSD), le autorità pubbliche e le imprese di ogni dimensione. Tra i requisiti previsti dalla direttiva, troviamo l'adozione di misure appropriate per prevenire, rilevare e gestire le vulnerabilità dei sistemi informativi. In particolare, le entità coinvolte devono:

-              effettuare una valutazione periodica del livello di rischio e delle misure di sicurezza adottate;

-              segnalare tempestivamente alle autorità competenti gli incidenti informatici che abbiano un impatto significativo sulla continuità dei servizi erogati;

-              cooperare con le autorità e gli altri soggetti coinvolti nella gestione delle crisi informatiche;

-              partecipare a iniziative di condivisione delle informazioni e delle buone pratiche in materia di sicurezza informatica;

-              sottoporsi a verifiche e audit da parte delle autorità competenti o di organismi indipendenti.

Per quanto concerne la gestione delle vulnerabilità, la direttiva NIS2 impone ai soggetti obbligati di implementare processi e procedure specifiche. Questi processi includono, ad esempio, la raccolta e l'analisi delle informazioni relative alle vulnerabilità note o potenziali dei sistemi informativi, nonché la valutazione dell'impatto e della probabilità di sfruttamento delle vulnerabilità stesse.

In aggiunta, è necessaria la definizione e l'attuazione di piani di mitigazione o rimedio per le vulnerabilità, unitamente al monitoraggio e al controllo dell'efficacia delle misure adottate.

In sintesi, la direttiva richiede alle entità coinvolte di assumersi la responsabilità della sicurezza dei propri sistemi informativi e di collaborare con le autorità e gli altri attori coinvolti, al fine di garantire un elevato livello di protezione dei servizi essenziali per i cittadini e per le imprese.

Regolamento DORA: a chi è rivolto e requisiti

Il regolamento DORA (Digital Operational Resilience Act) è una proposta legislativa dell'Unione Europea che mira a rafforzare la resilienza operativa delle entità finanziarie nel settore digitale. Il regolamento si applica a tutte le entità finanziarie che operano nell'UE, comprese le banche, le assicurazioni, le società di investimento, le piattaforme di trading e i fornitori di servizi critici.

Citiamo, di seguito, alcuni degli accorgimenti previsti dal regolamento:

-              effettuare test di penetrazione periodici e indipendenti sui propri sistemi IT e su quelli forniti da terze parti;

-              implementare processi di patching e aggiornamento dei software e dei dispositivi IT la correzione tempestiva delle vulnerabilità;

-              stabilire procedure di gestione degli incidenti informatici per rispondere efficacemente agli attacchi e limitarne gli impatti;

-              notificare alle autorità competenti gli incidenti informatici gravi o potenzialmente gravi entro 72 ore dalla loro scoperta;

-              condividere le informazioni sulle minacce e le vulnerabilità informatiche con le altre entità finanziarie e con le autorità attraverso una piattaforma comune.

Il regolamento DORA ha lo scopo di creare un quadro armonizzato e coerente per la gestione delle vulnerabilità informatiche nel settore finanziario, al fine di aumentare la fiducia dei consumatori e degli investitori, prevenire i rischi sistemici e promuovere l'innovazione digitale.

Gestione delle vulnerabilità: strumenti e strategie

Oltre a specifiche peculiarità legate ai diversi target, è possibile riconoscere numerose linee guida comuni nelle due novità normative, soprattutto per quanto concerne la prevenzione e la tempestività degli interventi. In questo contesto, strumenti come penetration testing e vulnerability assessment rivestono indubbiamente un ruolo centrale nella difesa aziendale. La crescente complessità del contesto impone l'adozione di strumenti dedicati alla gestione centralizzata delle vulnerabilità, fornendo agli operatori una visibilità quanto più ampia possibile sull'infrastruttura IT aziendale.

Un'attenzione particolare deve essere rivolta alla gestione delle vulnerabilità degli endpoint, che rappresentano oggi un punto critico in ogni infrastruttura a causa della loro volatilità in un ambiente lavorativo moderno, dinamico e diffuso.

Dal punto di vista strategico, oltre alle best practice suggerite dalle normative, è essenziale la capacità di agire proattivamente, ad esempio esplorando la rete, sia Internet che il Deep Web, alla ricerca di minacce e violazioni che possano coinvolgere l'azienda.

Gestione delle competenze: difendersi in un panorama complesso

È importante ricordare che una gestione efficace delle vulnerabilità in ambito IT richiede non solo strumenti avanzati, ma anche competenze specializzate, sempre più difficili da trovare in un mercato del lavoro dove la domanda di esperti in cybersecurity supera largamente l'offerta. La carenza di personale qualificato può limitare significativamente la capacità di rilevare, gestire e rispondere efficacemente alle minacce informatiche e alle richieste normative. Questa problematica non è sempre risolvibile con investimenti nella formazione e nello sviluppo delle competenze interne, ma può richiedere l'adozione di strategie innovative, come l'outsourcing di certi servizi di sicurezza o l'uso di strumenti che centralizzino e razionalizzino le operazioni di gestione delle vulnerabilità. Inoltre, l'approccio alla cybersecurity deve evolvere verso modelli più flessibili e adattivi, in grado di valorizzare al meglio le competenze disponibili e integrare le conoscenze in modo più efficace all'interno delle strategie di sicurezza aziendale.

WithSecure™ Elements Vulnerability Management: la risposta alle nuove esigenze normative

Per rispondere a queste esigenze, WithSecure™ Elements Vulnerability Management si pone come lo strumento ideale. Basato sul cloud, copre aspetti cruciali quali la scansione della rete, degli asset e del deep web, offrendo alle aziende una visibilità completa sulla propria superficie di attacco. Può inoltre segnalare automaticamente attività malevole quali violazioni del marchio, truffe di terze parti e siti di phishing, aiutando le aziende ad anticipare le minacce emergenti.

L'integrazione con la piattaforma di sicurezza informatica Elements, che combina la gestione delle vulnerabilità, la gestione automatizzata delle patch, l'intelligenza dinamica sulle minacce e l'analisi comportamentale continua, offre un'ulteriore opportunità per migliorare la visibilità sull'intera infrastruttura IT. Questo approccio integrato consente di affrontare le sfide di un contesto normativo in continua evoluzione, assicurando al contempo una protezione efficace contro ransomware e attacchi avanzati.

Risorse correlate

WithSecure™ Elements Vulnerability Management

Scanner di vulnerabilità semplice da installare per tutta la tua rete e i suoi asset. Scopri di più su WithSecure™ Elements Vulnerability Management e come può aiutarti.

Scopri di più

Vuoi saperne di più?

I nostri esperti sono a tua disposizione per soddisfare le tue curiosità sul mondo WithSecure. Compila il modulo e ti contatteremo al più presto.