La rivista > 18 punti essenziali per anticipare la conformità NIS2 
Pubblicato il 11/03/2024 par Giuliano Ippoliti, direttore della sicurezza informatica di Cloud Temple

Con l'avvicinarsi della fatidica data del 17 ottobre 2024, l'ANSSI continua il suo lavoro di adattamento e implementazione dei requisiti della Direttiva NIS2 nel contesto francese. Senza attendere i dettagli dei nuovi obblighi e dei processi di monitoraggio della conformità che saranno messi in atto dal legislatore, le entità essenziali e importanti dei numerosi settori coperti dalla direttiva europea devono prendere l'iniziativa.  

Gli articoli 20 e 21 della NIS 2 stabiliscono una serie di misure che le aziende e le autorità pubbliche dovranno rispettare. Esse riguardano l'implementazione di un sistema di governance della sicurezza delle informazioni, l'adozione di misure tecniche di protezione e l'istituzione di un sistema di gestione degli incidenti di sicurezza.

Governance della sicurezza

In termini di governancePer padroneggiare la sicurezza delle informazioni, è necessario mettere in atto una serie di progetti essenziali, che hanno un impatto interfunzionale sull'intera organizzazione. 

  1. Definizione di ruoli e responsabilità, in particolare attraverso la nomina di un responsabile della sicurezza, idealmente alle dipendenze della direzione generale. 
  1. Definizione di un insieme di politiche, processi e procedure di sicurezza, il cui fulcro è la Politica di sicurezza dei sistemi informativi (ISSP). 
  1. Mappatura del sistema informativo in termini di attività e servizi e identificazione degli asset di supporto (server, reti, applicazioni, ecc.). 
  1. Mappatura dei fornitori e dei prestatori di servizi, un prerequisito per monitorare il loro livello di sicurezza. 
  1. Implementazione della gestione dei rischi per la sicurezza, attraverso analisi regolari dei rischi, con accettazione dei rischi residui da parte dell'alta direzione. 
  1. Audit periodici per verificare l'efficacia delle misure di sicurezza e la conformità alle normative vigenti 
  1. Tenere conto della sicurezza nella gestione delle risorse umane, con particolare attenzione alla formazione e alla sensibilizzazione dei dipendenti e alla corretta gestione degli arrivi e delle partenze. 

Misure di protezione tecnica

Queste misure organizzative sono essenziali, ma rimangono insufficienti se non sono integrate da solide misure di protezione tecnica. 

  1. Mantenere i sistemi in condizioni di sicurezza, implementando processi di monitoraggio della sicurezza e di gestione delle vulnerabilità. 
  1. Controllo dell'accesso fisico ai locali, con l'impiego di moderni sistemi di controllo degli accessi e di allarme. 
  1. Mettere in sicurezza l'architettura del sistema informativo, con particolare attenzione alle interconnessioni con reti di terzi e alla suddivisione in base alla sensibilità delle diverse zone. 
  1. Proteggere l'accesso e l'amministrazione remota implementando l'autenticazione a più fattori. bastioni gestione 
  1. Implementazione di soluzioni di protezione da codice maligno in diversi livelli: EDR, IDS, IPS, WAF. 
  1. Hardening delle configurazioni, con l'obiettivo di ridurre il più possibile la superficie di attacco, garantendo al contempo la facilità d'uso di sistemi e applicazioni. 
  1. Gestione sicura delle identità e degli accessi, basata sul principio del minor privilegio, che richiede una gestione rigorosa delle autorizzazioni e revisioni periodiche. 
  1. Implementazione di misure per la continuità operativa e il ripristino, basate su backup affidabili, idealmente offline.  

Gestione degli incidenti

Poiché il rischio zero non esiste e gli aggressori sono in costante innovazione, gli incidenti di sicurezza sono destinati a verificarsi. Per questo è fondamentale avere una solida capacità di gestire gli incidenti di sicurezza. 

  1. Rilevamento degli incidenti, essenzialmente attraverso l'implementazione di un SIEM, gestito da un SOC, eventualmente in outsourcing. 
  1. Rispondere agli incidenti, istituendo un CERT interno o collaborando con un partner specializzato. 
  1. Gestione delle crisi informatiche, definendo processi gestionali e operativi e organizzando esercitazioni periodiche. 

Naturalmente, questo lavoro di conformità è facilitato dall'utilizzo di fornitori di servizi affidabili, idealmente qualificato dall'ANSSI

Categorie
Sicurezza informatica e conformità
La rivista
Politica sui cookie

Utilizziamo i cookie per offrirvi la migliore esperienza possibile sul nostro sito, ma non raccogliamo alcun dato personale.

I servizi di misurazione dell'audience, necessari per il funzionamento e il miglioramento del nostro sito, non consentono di identificarvi personalmente. Tuttavia, avete la possibilità di opporvi al loro utilizzo.

Per ulteriori informazioni, consultare il nostro Informativa sulla privacy.

Autorizzare Rifiuto