Un imprenditore usa il suo laptop con l'icona di un lucchetto e le icone della rete Internet come HUD in primo piano

NIS2, DORA e l'importante ruolo dello storage con crittografia – Consigli dell'esperto

Visto che le organizzazioni si trovano sempre più spesso alle prese con attacchi di sicurezza informatica, è importante che comprendano e rispettino le normative più recenti.

In passato, abbiamo intervistato David Clarke, un esperto navigato in materia di sicurezza informatica, chiedendogli di illustrarci la nuova prospettiva che si va diffondendo nei confronti dello storage crittografico. Questa volta abbiamo chiesto a David di condividere le sue conoscenze relative alle normative NIS2 e DORA (Digital Operational Resilience Act) e alle loro implicazioni.

La vasta esperienza di Clarke si è formata grazie alla gestione della sicurezza delle più grandi reti commerciali private del mondo e alla gestione di uno dei centri operativi sulla sicurezza più grandi d'Europa. Di seguito trovate i punti salienti – insieme al video completo dell'intervista.

Panoramica della Direttiva NIS2

La direttiva NIS2 ha l'obiettivo di rafforzare la resilienza della sicurezza informatica nelle infrastrutture critiche attive in Europa. Clarke spiega che questa direttiva si rivolge a determinati settori che, se compromessi, potrebbero avere un impatto significativo su un'ampia fetta di popolazione. Parliamo di settori quali l'aviazione, il trasporto marittimo, l'agricoltura, le principali catene di vendita al dettaglio e molti altri. La direttiva NIS2 si applica oggi anche ai fornitori di servizi gestiti di IT, visto che una loro compromissione potrebbe danneggiare numerosi clienti.

La direttiva sottolinea l'importanza dei concetti di "cyber resilienza" e gestione dei soggetti terzi. Per soddisfare gli standard di cybersecurity richiesti, le aziende devono essere in grado di dimostrare di poter gestire efficacemente i propri fornitori IT. La mancata conformità può portare a sanzioni fino al 2% dei ricavi globali (o 10 milioni di euro – si applica il valore maggiore). Inoltre, le aziende possono essere sanzionati per non aver fornito adeguate prove di conformità, anche in assenza di una episodio di "data breach".

Panoramica sul regolamento DORA

Il regolamento DORA (Digital Operational Resilience Act) è invece dedicato esclusivamente al settore finanziario. La norma, già in vigore, inizierà a dover essere applicata da gennaio 2025, imponendo rigorose misure di sicurezza informatica finalizzate a garantire la resilienza operativa delle istituzioni finanziarie.

Clarke evidenzia che le sanzioni previste dal DORA arrivano fino all'1% del fatturato globale, con la possibilità di applicare sanzioni su base giornaliera, nel caso in cui il problema non viene prontamente risolto. Il regolamento DORA impone agli istituti finanziari l'esecuzione di test di penetrazione guidati dalle minacce e di fornire garanzie circa l'assenza di punti deboli nei loro sistemi.

Segnalazione degli incidenti e trasferimento internazionale dei dati

Entrambe le normative NIS2 e DORA impongono la segnalazione dettagliata di eventuali incidenti alle autorità competenti. Clarke spiega che il DORA obbliga ad eseguire la segnalazione entro 72 ore e contiene chiare linee guida sulle informazioni da includere, come il numero di clienti interessati e la natura dei rischi.

In tema di trasferimenti internazionali di dati, Clarke evidenzia la necessità di pratiche sicure. Il DORA, ad esempio, impone alle aziende di testare i propri piani di continuità operativa, fornendo prove della loro efficacia. In questo modo si punta a garantire che le aziende, non solo siano in grado di gestire gli incidenti, ma che siano anche in grado di dare prova di questa loro capacità.

Sfruttare la conformità come opportunità di business

Clarke si dice convinto che la conformità alle normative costituisca un'importante opportunità di business. Chi può dimostrare la conformità agli standard di sicurezza informatica e protezione dei dati può vedersi spalancare le porte a contratti governativi e partnership con aziende più grandi. Dovendo mitigare il più possibile i rischi di responsabilità, tali enti sono infatti soliti richiedere alle aziende più piccole di fornire le prove delle misure di cybersecurity da esse adottate.

I vantaggi della crittografia hardware

Per risultare conformi alle normative NIS2 e DORA, i drive USB devono offrire funzioni di sicurezza affidabili. Clarke evidenzia l'importanza della crittografia basata su hardware, che offre diversi vantaggi rispetto alle soluzioni basate su software. La crittografia basata su hardware rappresenta un ecosistema chiuso, capace di garantire una sicurezza affidabile che scherma i tentativi di attacchi esterni.

Al contrario, la crittografia software presente sui dispositivi di storage mobili può essere facilmente rimossa attraverso la riformattazione, compromettendo così la conformità e aumentando il rischio di violazione dei dati. A ciò si aggiunga che i file protetti da password o crittografati da software possono essere violati usando strumenti di cd "password-guessing" facilmente accessibili e largamente disponibili online.

Alla domanda se le organizzazioni dovrebbero considerare la certificazione FIPS del NIST come il "gold standard", la risposta è stata: "Assolutamente". Clarke spiega: "È capitato spesso che qualcuno dicesse di aver raggiunto una sicurezza e una crittografia migliori, ma poi non è stato così e si sono verificate intrusioni."

I drive Kingston IronKey D500S e Keypad 200 offrono la certificazione FIPS 140-3 di livello 3 (in corso di assegnazione) e, con essa, la tranquillità di sapere che i dati sensibili sono adeguatamente protetti da una delle crittografie di livello militare più robuste presenti oggi sul mercato. Per chi necessita di ampie capacità di storage, i drive SSD esterni IronKey Vault Privacy 80 dotati di certificazione FIPS 197 possono raggiungere gli 8 TB, consentendo di eseguire backup "air-gapped" dei dati critici.

Conclusioni

Le minacce alla sicurezza informatica continuano a intensificarsi e a diffondersi, ed è per questo che direttive e regolamenti come NIS2 e DORA giocano un ruolo essenziale nel garantire la resilienza delle infrastrutture critiche e delle istituzioni finanziarie. Le osservazioni di Clarke mettono in evidenza l'importanza della conformità, di un'efficace segnalazione degli incidenti, di solide misure di sicurezza e dell'utilizzo di storage con crittografia hardware. Aderendo a queste normative, le organizzazioni, oltre a poter migliorare la loro strategia di sicurezza, possono anche conseguire un ulteriore beneficio, sfruttando la conformità come vantaggio competitivo.

Guarda il video integrale

#KingstonIronKey

Icona del servizio "Chiedi a un esperto" di Kingston sul chipset di una scheda a circuiti

Chiedete a un esperto

La definizione della soluzione più adeguata richiede un'approfondita conoscenza degli obiettivi di sicurezza dei progetti. Lasciatevi guidare dagli esperti Kingston.

Chiedete a un esperto

Articoli Kingston IronKey

Articoli correlati