Smetti di Considerare la Conformità come un Dovere — Costruisci una Cultura della Sicurezza Resiliente
Menziona "conformità alla cybersicurezza" e la maggior parte delle persone nella tua organizzazione probabilmente si annoierà. Tuttavia, la sua reputazione negativa è in parte dovuta a come molte aziende affrontano la conformità. Spesso viene percepita come un fastidioso ostacolo all’innovazione e alla crescita, quindi le aziende fanno il minimo indispensabile per superare i controlli e poi se ne dimenticano fino al prossimo audit.
In realtà, la conformità può ottenere l’effetto opposto: creare una base per una maggiore resilienza e successo aziendale.
Se pensi che la conformità sia un male necessario, significa che non hai ancora trovato il framework giusto. Ecco perché quest’anno dovrebbe essere l’anno in cui la tua organizzazione abbracci un nuovo approccio.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Le minacce sono ovunque
Norme e regolamenti esistono per una ragione. Nel mondo dei rischi informatici, servono a garantire che le organizzazioni conformi abbiano un insieme minimo di politiche e procedure che, in teoria, le isolano da violazioni gravi. Questo è particolarmente importante dato che la cybersicurezza non è ancora pienamente integrata nella cultura aziendale come lo sono le norme sulla sicurezza sul lavoro.
Basta dare uno sguardo al panorama delle minacce per capire perché queste regole esistono. Una vasta economia del cybercrimine che vale trilioni di dollari offre un mercato pronto per la vendita di strumenti di hacking, know-how e dati rubati. Gran parte di queste conoscenze sono confezionate in servizi facili da utilizzare, abbassando ulteriormente la barriera d'ingresso per chi vuole diventare un criminale informatico.
Le aziende SaaS devono essere particolarmente attente. La tua impresa potrebbe essere un bersaglio interessante se gestisce grandi quantità di dati sensibili dei clienti e ha una bassa tolleranza verso i tipi di interruzioni di servizio che può causare un attacco ransomware—cioè, praticamente la maggior parte delle aziende. Gli attacchi sponsorizzati da stati sono più rari ma stanno aumentando sia nella frequenza che nell’aggressività, secondo Microsoft.
Quali sono le minacce informatiche più comuni?
Secondo una ricerca di ISMS.online, che copre Stati Uniti, Regno Unito e Australia, le cinque principali minacce vissute dai rispondenti nel 2024 sono state:
- Le infezioni da malware (35%) sono sempre più diffuse grazie ai tool kit preconfezionati.
- Il social engineering (32%) può includere phishing via email, SMS, social media e voce.
- I deepfake (30%) possono indurre le vittime a trasferire denaro aziendale o aiutare i truffatori a superare i controlli "know-your-customer".
- Il ransomware (29%) sta esplodendo grazie al modello "as-a-service", quindi la protezione dal ransomware è indispensabile.
- Le minacce interne (28%) possono essere dovute sia a negligenza che a intenzioni dolose.
Un'ulteriore menzione poco onorevole va anche alle minacce della supply chain. La maggior parte delle aziende SaaS si trova al centro di una rete complessa di fornitori digitali. Inoltre, interagiranno anche con studi legali, fornitori di servizi paghe e altre aziende di servizi professionali. Qualsiasi di queste relazioni potrebbe essere presa di mira da criminali informatici per individuare vulnerabilità.
Lo scorso anno, la sfida numero uno in termini di sicurezza delle informazioni segnalata dai nostri rispondenti era "gestire il rischio dei fornitori e delle terze parti."
Cosa significa tutto questo per la tua azienda
Gravi violazioni della sicurezza possono, ovviamente, provocare danni finanziari e reputazionali significativi. Ecco perché la maggior parte delle aziende SaaS deve rispettare un mosaico di regolamenti in materia di cybersicurezza, spesso sovrapposti.
Negli Stati Uniti, questi possono includere leggi federali come il Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), normative sulla sicurezza e privacy a livello statale, e leggi settoriali specifiche come l’Health Insurance Portability and Accountability Act (HIPAA).
Nell’UE, tra le nuove regolamentazioni figurano il Digital Operational Resilience Act (DORA), NIS 2 e il Cyber Resilience Act (CRA).
Con così tante regole e spesso sanzioni pesanti per chi non è conforme, il tutto può apparire scoraggiante, soprattutto per i fornitori SaaS più piccoli. Gli intervistati hanno citato la conformità a normative diverse come la seconda maggiore sfida per la sicurezza delle informazioni.
Perché i vecchi metodi non sono i migliori
In questo scenario, si potrebbe essere giustificati nell’adottare un approccio "a spunta" per la conformità. Sulla carta, ha senso. Concentrati sulle regole e spendi solo il tempo, il denaro e le risorse necessari per essere a norma: niente di più.
Tuttavia, questo genera diversi problemi nel lungo periodo. Si tratta di una conformità superficiale che crea un falso senso di sicurezza, restringendo l’attenzione a tal punto che le vere fonti di rischio rimangono non affrontate. E poiché le autorità di regolamentazione reagiscono continuamente all’evoluzione delle minacce e delle tecnologie, adottare un approccio "a spunta" significherà che la tua azienda si muoverà sempre a rimorchio. Ciò potrebbe lasciare la tua azienda esposta a minacce in rapida evoluzione.
Via la mentalità del checkbox, avanti con l’abilitazione del business
Con l'inizio del nuovo anno, è tempo di adottare un nuovo approccio: una mentalità proattiva focalizzata sulla sicurezza continua e sulla gestione del rischio, considerando la conformità come un fattore abilitante per la crescita. Vediamo due approcci di migliori pratiche che potrebbero essere utili.
ISO 27001 è uno standard riconosciuto a livello internazionale pensato per aiutare le organizzazioni a strutturare e semplificare la gestione della sicurezza delle informazioni. Comprende tre elementi:
- Un sistema di gestione della sicurezza delle informazioni (ISMS) aiuta a stabilire un insieme completo di politiche e procedure per la gestione della sicurezza delle informazioni. Questo rappresenta l’elemento fondamentale e la chiave per favorire una cultura di conformità proattiva.
- Un processo di valutazione del rischio che richiede alle organizzazioni di identificare le potenziali minacce.
- Un set di controlli “Annex A” che contribuisce a garantire che l’ISMS dell’organizzazione mitighi efficacemente i rischi.
Riconosciuta in oltre 150 paesi, la certificazione ISO 27001 sottolinea che la tua azienda prende seriamente la gestione proattiva dei rischi. Questo può aiutare a prevenire violazioni (e il tempo e il denaro che comportano), rafforzare la fiducia dei clienti e accelerare i cicli di vendita.
La cultura del miglioramento continuo, della resilienza e della consapevolezza della sicurezza che promuove è completamente diversa dalla conformità puramente formale.
SOC 2 non è uno standard ma un framework sviluppato espressamente per le organizzazioni che conservano dati dei clienti nel cloud. Per questo è ideale per i provider SaaS, specialmente in Nord America, dove gode di maggiore notorietà rispetto a ISO 27001.
SOC 2 copre cinque categorie di "fiducia"—sicurezza, disponibilità, integrità dei processi, riservatezza e privacy. Ma c’è una particolarità: ogni organizzazione sceglie solo le categorie applicabili alla propria attività e poi definisce come soddisfare i circa 60 requisiti previsti in ciascuna. Invece di seguire un elenco prescrittivo di controlli, puoi creare le policy e i processi su misura per la tua realtà.
Non c’è momento migliore di adesso
Alla fine, i benefici di SOC 2 sono simili a quelli di ISO 27001. Una volta superato l’audit tecnico, la conformità SOC 2 contribuirà a proteggere la tua organizzazione da incidenti gravi—prevenendo danni finanziari e reputazionali. Aiuterà inoltre a fornire garanzie di sicurezza robuste a clienti esistenti e potenziali, oltre a semplificare la conformità a molte delle normative sulla sicurezza informatica basate sulle stesse migliori pratiche.
Nessuno sa cosa porterà il prossimo anno. Ma in un mondo instabile e incerto, una cultura della conformità basata sul miglioramento continuo aiuterà la tua azienda a proteggersi dai rischi oggi. E a prepararla per il successo di domani.
Iscriviti alla newsletter di The CTO Club per altri consigli, strumenti e migliori pratiche sulla conformità.
