cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 

Come se questo non bastasse, sono anche incaricati di accelerare la digitalizzazione del business mentre affrontano i rischi aggiuntivi legati al new normal e allo smart working causato dall’attuale pandemia.

 

La perfetta tempesta di nuovi attacchi e minacce informatiche

Se aggiungiamo a questa agenda già piena, l'uso pervasivo di dispositivi mobili (BYOD), IoT, AI, Analytics, ecc., una perfetta tempesta IT sembra profilarsi all'orizzonte. Una tempesta che probabilmente tormenta i sogni della maggior parte dei CIO o CISO popolati da una serie di conseguenze derivate dalle violazioni delle misure di sicurezza. Ossia una combinazione di furti di dati sensibili, copertura mediatica internazionale e perdita di fiducia del pubblico, che si conclude con una pesante multa per il mancato rispetto degli standard normativi IT.

Quel sogno, o incubo, probabilmente ora sembra molto reale per alcune organizzazioni, come spesso riportato dai media. La realtà è che in ambienti in rapida evoluzione, complessi e iperconnessi, ogni organizzazione può essere vittima di attacchi informatici o interruzioni IT e ritrovarsi domani sui titoli dei giornali per negligenza IT con conseguenze disastrose.

 

La crescente necessità di proteggere le proprie risorse IT

Con una posta in gioco così alta, la sicurezza informatica è diventata una priorità assoluta in tutte le organizzazioni fino alla C-suite. Questo trend è probabilmente destinato a rimanere per un po' di tempo e per ragioni molto valide. La principale è che quasi ogni azienda si basa su una combinazione di risorse digitali alimentate da dati. Quindi, questi dati devono essere adeguatamente gestiti, archiviati e protetti, e il mancato rispetto di questa regola garantisce multe normative, una copertura mediatica negativa e perdita di entrate.

Ma garantire la sicurezza e l'integrità dei dati, che è ovviamente fondamentale, è solo una parte dell'equazione. Le organizzazioni hanno bisogno di proteggere le loro risorse IT dai criminali informatici. Infatti, le minacce informatiche possono colpire la produzione e le capacità di servizio con conseguenti interruzioni operative sostanziali e potenziale perdita di valore di mercato e opportunità. Inoltre, spesso si rischia di imbattersi in conseguenze ancora più gravi quando gli obiettivi sono ospedali o strutture sanitarie, come illustrato dalle recenti truffe ransomware.

 

Come può la Compliance IT aiutare la Sicurezza Informatica?

In un contesto così impegnativo, come possono i professionisti IT garantire la protezione dei dati e delle loro risorse IT in modo efficace? Il primo passo sta nell'aderire ai vari regolamenti e standard industriali in vigore.

Progettati per garantire la sicurezza dei dati dei clienti, la protezione degli investitori o la prevenzione delle frodi, i requisiti normativi come SOX per il reporting finanziario, o HIPAA per il settore sanitario, sono linee guida obbligatorie che le organizzazioni devono seguire per evitare multe normative e danni alla reputazione.

Oltre a queste legislazioni, le associazioni industriali hanno ulteriormente sviluppato i propri standard di sicurezza informatica. Esempi tipici includono PCI DSS per il processo e l'archiviazione delle informazioni delle carte di credito, NIST e il loro quadro di Cybersecurity, e gli standard internazionali 27001 sulla sicurezza delle informazioni di ISO.

Ma questi requisiti normativi e gli standard di settore venivano per lo più percepiti come un ostacolo al business. Tuttavia, la recente proliferazione degli attacchi informatici, sia in numero che in scala, insieme ai costi crescenti dell’IT hanno cambiato la posta in gioco. Questo ha portato le organizzazioni a rendersi rapidamente conto che l'adozione delle legislazioni e degli standard, permette di avere un’enorme opportunità per lo sviluppo delle infrastrutture e applicazioni IT.

In effetti, la conformità ai regolamenti e agli standard fornisce alle aziende un quadro praticabile per rafforzare la sicurezza e la resilienza informatica applicando linee guida IT obbligatorie e basate sul loro paesaggio IT.

 

Gestire la complessità degli standard normativi IT

Tuttavia, le organizzazioni, specialmente se operano in un ambiente distribuito e a livello multi giurisdizionale, lottano in questa fase per:

  • Identificare la completezza dei regolamenti e delle norme applicabili
  • Gestire le legislazioni conflittuali tra le varie giurisdizioni
  • Estrarre e decifrare le varie direttive in un formato comprensibile e praticabile
  • Collaborare agli sforzi di conformità per evitare la duplicazione dei compiti, l'aumento dei costi e l'affaticamento

È qui che l'uso di un aggregatore di contenuti normativi IT come UCF diventa molto utile. Accelera l'importazione e il processo degli standard normativi applicabili consegnandoli in un formato standardizzato con tutte le direttive di controllo IT necessarie. I dipartimenti IT possono quindi identificare facilmente le opportunità di collaborazione e tenere sotto controllo i costi di conformità.

Una volta che sono stati identificati e recuperati, i requisiti normativi IT e gli standard di settore devono essere distribuiti tra le risorse IT dell'azienda per misurare la sicurezza dell'infrastruttura e lo stato di conformità e consentire le conseguenti attività di mitigazione necessarie.

 

Avere piena visibilità sulle risorse IT

Le risorse IT sono spesso sparse in tutta l'organizzazione e gestite in modo isolato utilizzando diverse soluzioni puntuali, rendendo la sorveglianza dell'ecosistema IT macchinosa. Questo ostacola il processo di mitigazione del rischio e la capacità dell'organizzazione di fermare rapidamente gli incidenti informatici quando si verificano.

Questo è il motivo per cui la gestione efficiente dei rischi IT richiede una visibilità completa delle risorse IT dell'azienda su più dimensioni, spesso risultante da uno sforzo congiunto tra discipline come l'architettura IT, la sicurezza informatica e la Compliance IT.

La conseguenza di questa azione combinata è una mappatura completa dell'inventario IT, comprese le applicazioni, la tecnologia e i dati utilizzati e tutti i loro flussi correlati per identificare rapidamente le aree di preoccupazione e visualizzare i potenziali effetti di propagazione.

Questa tecnica non solo avvantaggia il processo di scoperta dei rischi per la sicurezza informatica esponendo la segmentazione dei server o SOD attraverso la rete o l’intero ciclo di vita della gestione dei dati. Aiuta anche a soddisfare i vari standard di reporting di conformità eliminando la complessità dell'IT in caso di esami.

Le organizzazioni già dotate di questa visione completa beneficiano di un buon vantaggio nella protezione dei loro asset IT. Possono analizzare rapidamente e dare priorità ai loro sforzi in base alle loro competenze e alla criticità degli asset IT per il business, e anche assegnare le responsabilità per garantire la corretta attribuzione dei compiti.

 

Combinare gli standard normativi con le risorse IT

Per gestire e monitorare efficacemente la sicurezza informatica in un'organizzazione, è fondamentale assegnare i requisiti e gli standard IT provenienti dall'UCF agli asset IT mappati a livello centrale. Il raggiungimento di questo passo è un elemento fondamentale e cruciale per il sostegno dell'intero processo di valutazione e mitigazione che ne segue.

Infatti, i controlli IT messi in atto devono essere regolarmente testati attraverso un monitoraggio continuo per garantire la loro robustezza nel proteggere l'organizzazione da minacce e carenze. I problemi devono essere identificati per un rapido rimedio con una tracciabilità completa dal controllo attraverso gli standard normativi fino alle risorse IT colpite.

Tuttavia, la Compliance IT non deve essere trattata come un esercizio isolato. Invece, dovrebbe essere considerata come una componente integrale nella strategia globale ERM dell'organizzazione, permettendo ai professionisti IT di incapsulare la loro prospettiva nella visione globale dei rischi del business. Questo in cambio aiuta il management a prendere decisioni più informate basate sulla piena trasparenza dello stato attuale della sicurezza e della Compliance IT, oltre a fornire allo stesso tempo alle autorità di regolamentazione una documentazione completa e la tracciabilità del controllo in caso di un esame normativo.

Adottando la Compliance IT, le organizzazioni sono dotate di armi maggiori per garantire la sicurezza e la legalità delle loro risorse IT e salvaguardare la loro sostenibilità e reputazione. La Compliance IT fornisce alle organizzazioni un approccio solido per gestire meglio il loro paesaggio IT ed evitare di essere il prossimo caso nei titoli di domani per negligenza IT.

Proteggi le risorse digitali della tua azienda con una strategia di conformità IT ebook.png

Contributors