Salta al contenuto principale

Un approccio senza confini alla governance della cybersecurity

5 minuti di lettura
scritto da:
La governance della cybersecurity è più importante che mai

Con l'aumento degli attacchi informatici, una cybersecurity efficace non è mai stata così importante. Infatti, le violazioni dei dati sono aumentate del 72% nel 2023, stabilendo un nuovo record storico, poiché i pirati informatici hanno sfruttato le vulnerabilità proprie del lavoro da remoto. Guidati dal potenziale di un guadagno finanziario o di un'interruzione diffusa, i cybercriminali possono essere avversari altamente motivati.

Per fortuna, le aziende non vengono lasciate a fare tutto da sole senza una guida. I governi mirano a ridurre i rischi per le aziende e i dati dei clienti adottando normative che contribuiscono a standardizzare le difese contro gli attacchi. L'inosservanza può comportare multe significative per l'azienda in caso di violazione dei dati.

Ciò mette in difficoltà gli imprenditori del settore manifatturiero, poiché devono comprendere le normative a cui saranno soggetti i clienti e garantire la conformità dei loro prodotti. Ciò richiede un monitoraggio e una vigilanza continui, poiché possono nascere norme nuove, altre possono cambiare o ancora norme diverse possono essere adottate da regioni diverse. I produttori globali devono rimanere un passo avanti rispetto alle normative per evitare problemi futuri con gli aggiornamenti necessari per mantenere la conformità.

Governance e conformità

Dal punto di vista del cliente, l'osservanza delle norme è solo il punto di partenza per proteggere i dati critici; le organizzazioni devono concentrarsi sia sulla governance che sulla conformità. Talvolta questi termini possono essere confusi, perché sono strettamente collegati. La governance si riferisce alle politiche interne che le organizzazioni mettono in atto autonomamente. Queste politiche tendono a superare le normative governative e vengono personalizzate in base al profilo di rischio individuale e al panorama delle minacce del settore.

D'altra parte, la compliance rappresenta le misure adottate per garantire l'osservanza di queste politiche e regolamenti interni. È fondamentale che queste misure equilibrino la sicurezza con l'esperienza utente, senza introdurre inutili attriti nei processi. Queste misure possono essere esaminate da un soggetto terzo e devono superare l'esame.

Sia la governance che la conformità vengono valutate continuamente man mano che emergono nuove minacce e vengono scoperte vulnerabilità. Pertanto, i produttori devono non solo disporre di prodotti e servizi conformi alle normative, ma anche soddisfare i requisiti di governance di tutti i clienti.

Pensare alla regolamentazione a livello globale

Purtroppo, le normative non sono standardizzate in tutte le aree geografiche. I produttori globali di tecnologie di video sorveglianza sono messi alla prova dalle differenze normative tra le regioni. 

Ad esempio, la Commissione europea ha introdotto la Direttiva sulla sicurezza delle reti e delle informazioni (NIS2), un'estensione della precedente Direttiva NIS. Questa direttiva mira a rafforzare i requisiti delle infrastrutture critiche e dei fornitori di servizi essenziali per implementare misure di sicurezza e di prevenzione degli incidenti sufficienti. La mancata conformità può avere significative implicazioni finanziarie e legali. 

Confrontiamo questi dati con l'Ordinanza esecutiva 14028 sul miglioramento della cybersicurezza delle nazioni, emanata negli Stai Uniti nel 2021. Essa impone alle agenzie federali, ma anche le aziende private che forniscono prodotti e servizi, di conformarsi alle normative avanzate. 

Altri Paesi e regioni in tutto il mondo hanno approcci specifici, creando un panorama normativo complesso. Ciò è particolarmente vero se un'azienda ha sede in un Paese, come gli Stati Uniti, e opera a livello globale. Devono rispettare gli standard locali dei Paesi con cui operano, altrimenti rischiano di non essere conformi.

La gestione efficace delle diverse normative sulla protezione dei dati e sulla sicurezza informatica tra le diverse aree geografiche inizia con una profonda conoscenza e comprensione di queste normative, unita alle migliori pratiche per proteggere i dati sensibili dagli attacchi informatici. Ciò determinerà quale tipo di protezione di cybersecurity deve essere incorporata nei prodotti per supportare le misure di conformità dei clienti.

Mantenere una solida gestione del ciclo di vita dei prodotti

Anche con una vasta conoscenza delle normative, le aziende manifatturiere non possono perdere di vista il panorama delle minacce in continua evoluzione. Il firmware sui prodotti deve essere aggiornato periodicamente e in linea con le nuove vulnerabilità. Possono verificarsi problemi quando prodotti legacy sono ancora in uso e talvolta non possono più essere aggiornati.

Per questo motivo, la sicurezza informatica deve essere considerata come parte della gestione del ciclo di vita del prodotto. Se i prodotti superano una certa età, potrebbero non essere più sicuri. Ciò è reso più complicato dalle modifiche alle normative, che possono anche rendere non più conforme un dispostivo. Per correggere il problema, il produttore può vedersi costretto a rivedere il software e il firmware più vecchi di cinque anni, il che può essere molto difficile.

Oltre allo stabilimento del produttore, un'altra area che richiede attenzione è la catena logistica. Poiché la cybersecurity è una priorità elevata, le organizzazioni all'interno della catena logistica del produttore devono saper dimostrare come si approcciano alla cybersecurity e alla protezione dei dati. Ciò include il modo in cui soddisfano le normative e il motivo per cui sono "sicuri" per fare affari. Grazie a queste conoscenze, i produttori possono essere certi di non introdurre involontariamente rischi nei loro prodotti.

Mentre i clienti adottano maggiori precauzioni per garantire la conformità dei prodotti acquistati in aree come l'approvvigionamento dei componenti, la produzione dei prodotti, la sostenibilità delle organizzazioni e la cybersecurity, la trasparenza diventa più importante che mai per le organizzazioni.

Essere informati sulle vulnerabilità, fornendo un elenco dei componenti richiesti nel software di prodotto sotto forma di distinta base del software (SBOM)e aggiornamenti software, per citarne alcuni, crea fiducia, cosa importante nel panorama globale odierno.

Tenere a mente gli interessi del cliente

Quando si tratta di cybersecurity, le organizzazioni devono comprendere le minacce da affrontare e i propri rischi e vulnerabilità, oltre alle normative a cui i loro clienti devono conformarsi.

In quanto produttori di dispositivi utilizzati dai clienti nelle loro operazioni di sicurezza, un approccio globale alle misure di cybersecurity darà i suoi frutti. Mantiene in primo piano le esigenze dei clienti garantendo che i prodotti rispettino le normative più rigorose dei diversi mercati. Inoltre, se le normative esistenti vengono adottate in nuovi mercati, i prodotti sono già conformi, eliminando la necessità di aggiornare il firmware. In questo modo, le aziende manifatturiere agiscono nel migliore interesse dei clienti e li supportano nei loro obiettivi di protezione dei dati.

Fare clic su qui per saperne di più su come Axis adotta un approccio senza confini alla cybersecurity.

Wayne Dorris

Wayne Dorris è Cybersecurity Program Manager per Axis Communications, Americhe, dove genera consapevolezza e assiste nella strategia informatica e nella domanda di prodotti Axis. Con oltre 30 anni di esperienza nel settore della sicurezza, Wayne influenza le soluzioni IP relative alla cybersecurity tramite relazioni e networking con tutte le organizzazioni di standardizzazione, associazioni, partner e clienti. È un professionista certificato per la sicurezza dei sistemi informatici (CISSP) ed è presidente del comitato consultivo per la sicurezza informatica della Security Industry Association.

Wayne Dorris
To top