NIS2 & DORA: postura e mitigazioni

NIS2 & DORA: postura e mitigazioni

A cura di Mark Alan Barlow

DORA e NIS2 danno importanza alla Postura di Sicurezza delle aziende. La postura di sicurezza di un’organizzazione è la sua prontezza e capacità di identificare, rispondere e recuperare dalle minacce e dai rischi alla sicurezza.

Una buona strategia per un’azienda sarebbe quella di studiare i Regolamenti NIS2 e DORA e cercare di definire le varie aree e di mappare i requisiti con le varie mitigazioni attualmente in vigore, per poi creare un piano per affrontare le lacune.

Le aree che compongono il NIS2 sono varie, e di seguito sono elencati 10 di questi, riportati nell’articolo 21 del regolamento, che possono essere analizzate per capire la Postura di autovalutazione in termini di conformità e chiudere le gaps:

(a) politiche di analisi del rischio e sicurezza dei sistemi informativi

La direttiva NIS2 si basa sulle fondamenta della precedente direttiva NIS e introduce diverse modifiche e miglioramenti chiave in termini di ambito, struttura e rendicontazione. Ottenere certificazioni e verifiche esterne è un modo per rimanere al passo con le migliori pratiche.

Ecco alcuni suggerimenti:

  • Ricercare e mantenere la prestigiosa certificazione ISO/IEC 27001:2022; con questo standard un’azienda si presenta ai propri clienti, fornitori e collaboratori il proprio ISMS (information security management system).
  • Stabilire una serie di Regolamenti interni che comprendano la Governance degli accessi, la Politica di backup, la Gestione degli incidenti, etc.
  • Ottenere ulteriori certificazioni, quali la Certificazione UNI EN ISO 9001:2015 relativa alla Qualità, la certificazione ISAE3402, etc.
  • Stabilire una Roadmap per l’implementazione delle misure di Cyber Security che viene riportata mensilmente alla Direzione.
  • Istituire un Comitato Rischi per valutare i rischi, le mitigazioni e i controlli di 2° livello con una struttura organizzativa e i ruoli per gestire i rischi.

(b) gestione degli incidenti

La Direttiva introduce obblighi di comunicazione più stringenti per le entità, imponendo loro di segnalare tempestivamente alle autorità competenti gli incidenti informatici significativi.

Occorrerebbe quindi:

  • Sviluppare un regolamento interno specifico sulla gestione degli incidenti e un regolamento interno sul Disaster Recovery e sul BCP.
  • Adottare un antivirus con EDR e integrare un SOC esterno con un SIEM.
  • Progettare e implementare procedure per la comunicazione e il reporting a tutti gli stakeholder, tra cui Direzione, Clienti, Provider, etc.
  • Valutare l’implementazione di uno specifico strumento di incident management per una gestione ancora più efficace ed efficiente.
  • Testare la risposta agli incidenti e tracciare le tempistiche in base alle nuove regole.

(c) continuità aziendale, gestione dei backup, disaster recovery e gestione delle crisi

L’attenzione della direttiva alla pianificazione della continuità assicura che le entità siano ben preparate a mantenere la continuità dei servizi critici.

Qui occorre:

  • Sviluppare una procedura di sistema “Politica di backup” che regoli l’intero processo nel dettaglio.
  • Creare una politica di Disaster Recovery / BCP.
  • Implementare e mantenere un sistema di backup aggiornato e state-of-the-art (i.e. Snapshot Technology).
  • Sviluppare un Piano di Continuità Operativa (BCP) che identifichi i potenziali pericoli che minacciano l’organizzazione e fornisca una struttura che consenta una maggiore reattività.
  • Mantenere un Piano di emergenza (CP), il quale si basa sul presupposto che il rischio non può essere totalmente eliminato.
  • Promuovere un Disaster Recovery Plan (DRP), che è un sottoinsieme del Contingency Plan e mira a stabilire le modalità di ripristino dei servizi ICT.
  • Analizzare le strategie del data center e l’analisi dei livelli Tier.
  • Eseguire test multipli su tutti i componenti per garantire la resilienza end-to-end complessiva.

(d) sicurezza della catena di fornitura: relazioni tra fornitori diretti o provider

La direttiva sottolinea l’importanza di valutare e garantire la sicurezza delle catene di fornitura. Le entità sono tenute a valutare le pratiche di sicurezza dei loro fornitori e appaltatori terzi, a stabilire obblighi contrattuali e ad attuare misure per mitigare i potenziali rischi provenienti dalla catena di fornitura.

Qui bisogna:

  • Adottare una strategia di gestione della catena di fornitura per fornire una governance adeguata sia a monte che a valle.
  • Sviluppare un quadro TPRM, valutando le pratiche di sicurezza dei fornitori terzi.
  • Collaborare pienamente con i clienti nelle loro richieste di audit.
  • Sforzarsi di realizzare processi centralizzati e controllati in questi termini, al fine di avere informazioni critiche prontamente disponibili.

(e) sicurezza in rete, compresa la gestione e la divulgazione delle vulnerabilità (f) politiche e procedure relative all’uso della crittografia

La direttiva riconosce la criticità dell’infrastruttura internet di base nel mantenere la stabilità e la sicurezza dei servizi digitali e salvaguardare l’integrità e la disponibilità dei servizi online, nonchè gestire attivamente le vulnerabilità delle proprie reti e sistemi.

Occorrerà quindi:

  • Implementare e mantenere i controlli per garantire la sicurezza delle informazioni che transitano sulle reti e per proteggere i servizi da accessi non autorizzati.
  • Definire le responsabilità appropriate all’interno dell’organizzazione, stabilire controlli per salvaguardare la riservatezza e l’integrità dei dati in transito su tutte le reti.
  • Assicurare una crittografia all’avanguardia dei dati in transito e a riposo in tutta l’organizzazione e tra i sistemi ICT.
  • Concentrarsi sulla sicurezza offensiva, conducendo ogni anno molteplici CTI, VA, VS, e PT.
  • Utilizzare diversi Red Team e Blue Team.

(g) politiche e procedure per valutare le misure di gestione del rischio di sicurezza informatica

L’implementazione dei requisiti consente alle organizzazioni di identificare, valutare e gestire in modo proattivo i rischi informatici. In tal caso serve:

  • Adottare una metodologia di valutazione del rischio, come FMEA (Failure Mode and Effects Analysis), quale metodo proattivo per scoprire potenziali guasti nei processi aziendali al fine di prevenirli o mitigarne gli effetti, scoprendo dove questi potrebbero verificarsi e determinandone l’impatto.
  • Estendere la metodologia per includere un’implementazione della valutazione del rischio di processo.
  • Estendere la metodologia per includere una capacità e un processo di valutazione del rischio del progetto.
  • Estendere la metodologia per includere le analisi di scenario.

(h) pratiche di base di igiene informatica e formazione sulla sicurezza informatica

Garantire buone pratiche di igiene informatica è un aspetto fondamentale. Promuovendo buone pratiche di igiene informatica e Cyber Awareness, bisognerà:

  • Organizzare una formazione strutturata nelle aree di CyberSecurity, Data Privacy, Risk Management, Compliance, ecc., per tutto il personale.
  • Concentrarsi su attività di formazione sul posto di lavoro, tutoraggio e collaborazioni nei campi della privacy dei dati e della sicurezza informatica per rafforzare la conoscenza.
  • Diventare un leader di pensiero e partecipare a iniziative di CyberSecurity, come corsi, webinar, podcast, interviste, pubblicazioni e forum, ecc. anche attraverso collaborazioni con associazioni di categoria, come APSP, Assilea, etc.
  • Mantenere un processo di ricerca e raccolta di eventi ICT e informatici, in termini di notizie, avvisi ed eventi, per rimanere sensibili alla mitigazione degli eventi esterni.

(i) human resources security, access control policies and asset management

(j) the use of multi-factor authentication and secured emergency communication

Il controllo degli accessi è un processo di sicurezza dei dati che consente alle organizzazioni di gestire chi è autorizzato ad accedere ai dati e alle risorse aziendali, utilizzando policy che verificano che gli utenti siano chi dichiarano di essere e garantiscono che vengano concessi agli utenti livelli di accesso al controllo appropriati.

Per implementare pratiche di gestione delle risorse per identificare e proteggere sistemi informativi e risorse critiche si potrà:

  • Sviluppare regolamenti interni per l’accesso logico e fisico.
  • Vietare l’accesso ai servizi internet in specifiche aree e regioni.
  • Implementare una soluzione PAM (Privileged Access Management).
  • Implementare una soluzione WAF (Web Application Firewall solution).
  • Attivare una soluzione DLP (Prevenzione della Perdita dei Dati) per monitorare gli accessi, i comportamenti e proteggere gli asset.
  • Implementare misure di anonimizzazione dei dati, come DDM (Dynamic Data Masking), politiche di conservazione dei dati e misure del diritto all’oblio.
  • Implementare l’autenticazione MFA (Multi-Factor Authentication) per l’accesso remoto, l’accesso ai sistemi e alle applicazioni.

Con l’avvicinarsi della scadenza del 2025, le aziende devono agire rapidamente per adattarsi al nuovo panorama normativo di NIS2 e DORA, analizzando i requisiti e assegnando valutazioni di Security Posture per comprendere le mitigazioni attualmente in atto e quelle da implementare. L’era della resilienza operativa digitale è alle porte e chi non si prepara rischia di rimanere indietro.

Leggi il Magazine