Automazione Oggi 457

Normativa AUTOMAZIONE OGGI 96 | OTTOBRE 2024 AUTOMAZIONE OGGI 457 4 - Revisione della gestione dell’inventario per confermare il profilo di rischio Uno dei maggiori sforzi per qualsiasi audit di conformità deriva dal fatto che i team non hanno una visione completa delle tecnologie e delle risorse all’interno dell’ambiente azien- dale, a causa delle lacune nella gestione dell’in- ventario. Più l’infrastruttura IT è complessa, più è difficile mappare l’impronta del rischio. Se le aziende non sanno cosa devono proteggere, non sapranno nemmeno come farlo. Com- prendere i punti ciechi nella configurazione di un’infrastruttura di sicurezza sarà una priorità per i responsabili del progetto, prima di iniziare ad affrontare i problemi di conformità; per que- sto motivo, l’esame delle risorse disponibili è un prerequisito del processo. La complessità organizzativa può implicare ulteriori sforzi al processo di conformità, per esempio quando le divisioni aziendali hanno i propri processi di governance IT indipendenti. Ciò si verifica spesso quando le aziende hanno responsabilità diverse per i workload IT e OT, che rientrano entrambi nella governance NIS 2. Il team del progetto NIS 2 deve allineare e conoscere l’intero set di tecnologie per de- terminare il profilo di rischio completo per l’azienda. Il consiglio di Zscaler è di utilizzare un sistema centrale di gestione degli asset in tutte le divisioni aziendali e tecnologiche. Sul mer- cato sono disponibili diverse soluzioni per accelerare il processo attraverso la scansione intelligente e il miglioramento dei dati ba- sato sull’intelligenza artificiale. Poiché molte aziende crescono anche attraverso acquisi- zioni regolari, i nuovi stack tecnologici do- vranno essere aggiunti al processo di auditing e conformità. 5 - Risparmiare tempo trasferendo i risultati di audit esistenti alla Direttiva NIS 2 Molte aziende devono già allineare parti della loro attività ad altre norme e direttive per essere conformi. Quei risultati possono essere riutiliz- zati e dovrebbero essere applicati alle rispettive aree NIS 2. Nel migliore dei casi, potrebbero già direttamente corrispondere ai requisiti richiesti dalla Direttiva anche a livello locale. Se le aziende individuano un divario significa- tivo tra i quadri normativi, il team di progetto dovrà pianificare il percorso più efficace e ra- pido per raggiungere la conformità nei pochi mesi rimanenti a disposizione. Potrebbe essere utile collaborare con partner competenti, per capire quale tecnologia deve essere sviluppata e come i requisiti possono essere soddisfatti, in- terferendo il meno possibile con l’attività quoti- diana e con la minima complessità. 6 - Eliminare la complessità dell’infrastruttura Il processo di riflessione sulla conformità precedente prevedeva l’acquisto di nuove tecnologie per soddisfare i requisiti, ma ciò ha lasciato le aziende con un elevato debito tecnologico. La maggior parte dei gruppi della sicurezza si troverà in difficoltà con la confor- mità alla Direttiva NIS 2. Molte aziende si rivol- gono alle principali piattaforme di sicurezza basate sul cloud per semplificare la comples- sità della loro tecnologia, creando un punto di connessione comune per tutti gli uffici e instil- lando un livello base di igiene della sicurezza che facilita le verifiche. Il consolidamento degli stack tecnologici di- sponibili ridurrà rapidamente la complessità e renderà il processo di conformità un’attività molto più agevole in futuro. Una best prac- tice comprovata è la combinazione delle 3-5 grandi piattaforme più rilevanti, a favore di un ecosistema IT complessivo, che copra l’in- tera difesa della sicurezza informatica: rileva- mento, risposta, deception e gestione degli incidenti per i dispositivi sul posto di lavoro, i workload on premise e in cloud. Per ridurre la complessità è particolarmente importante che tali piattaforme si integrino l’una con l’altra senza problemi, utilizzando API prede- finite. Per le aziende con uffici in più Paesi in Europa e altri continenti, la conformità NIS 2 presenta un ulteriore livello di complessità. Anche se la loro attività è gestita centralmente da un’u- nica sede, ogni filiale deve essere conforme alla NIS 2 e allineata alla sede centrale dal punto di vista della sicurezza. Conclusioni Sebbene il processo di audit possa sembrare lungo e impegnativo, tutte le aziende dovreb- bero investirvi per comprendere meglio il pro- prio profilo di rischio e conoscere l’estensione della propria infrastruttura tecnologica. Molte aziende rimarranno scioccate dal numero di stack tecnologici che gestiscono, e saranno naturalmente preoccupate da quanto sia diventato complesso il loro funzionamento interno. Con l’entrata in vigore della NIS 2, è il momento di impegnarsi seriamente, ed evi- tare che si perdano dei passaggi lungo il per- corso verso la conformità. Gli sforzi non sono vani, perché ottenere visibilità su tutti i flussi di dati potrebbe rivelarsi la base per gli obiet- tivi futuri di un’azienda, che si tratti di OT/IoT, 5G o di qualsiasi altro suggerimento per ren- dere l’infrastruttura sicura e a prova di futuro. Zscaler - www.zscaler.it La Direttiva è stata concepita per consentire alle aziende con un livello insufficiente di igiene informatica di elevare i propri standard di sicurezza Fonte: foto Shutterstock