In un periodo in cui il numero di attacchi informatici continua ad aumentare, disporre di un solido sistema di sicurezza informatica non è mai stato così importante.

Il recente report Clusit 2021, dedicato ai cybercrimini avvenuti nel corso del 2020, traccia uno scenario piuttosto eloquente: l’anno della pandemia ha visto aumentare gli attacchi del 29%, con i malintenzionati che hanno saputo trarre vantaggio dalle nuove vulnerabilità introdotte dal lavoro da remoto e dal maggior uso di dispositivi personali. Guidati dalla ricerca di un profitto economico o da altri obiettivi, i cybercriminali possono dimostrarsi avversari molto motivati.

Fortunatamente, le aziende non sono lasciate senza guida in questa sfida. I governi si sono impegnati a ridurre i rischi per le imprese e i dati dei consumatori introducendo dei regolamenti capaci di standardizzare le difese contro gli attacchi. In caso di mancata conformità a questi protocolli, le aziende colpite possono essere soggette anche a significative multe da parte delle autorità.

Questo stato di cose pone i produttori sotto i riflettori: da una parte, devono comprendere i regolamenti a cui i loro clienti saranno soggetti, e dall’altra devono assicurare che i propri prodotti siano conformi alla normativa. Ciò implica una costante attenzione, perché i regolamenti possono cambiare, essere modificati improvvisamente o essere adottati in un’altra regione. I vendor globali devono dunque stare un passo avanti rispetto all’implementazione di queste direttive, per evitare problemi futuri riguardo agli aggiornamenti richiesti per mantenere la conformità.

 

Governance vs conformità

Dal punto di vista di un cliente, la conformità alle direttive rappresenta solo il primo passo verso la protezione dei propri dati critici; le organizzazioni devono infatti concentrarsi sia sulla conformità che sulla governance della propria sicurezza informatica. Questi due termini sono spesso confusi tra loro perché strettamente collegati: la governance si riferisce a tutte le procedure interne che le organizzazioni possono mettere in gioco autonomamente. Queste procedure sono solitamente definite in base al rischio individuale delle aziende e al panorama di rischio del loro comparto di appartenenza.

La conformità rappresenta tutte le misure che vengono messe in gioco per assicurare l’aderenza di dipendenti, fornitori e partner alle politiche e ai regolamenti interni. È fondamentale che queste misure bilancino sicurezza e user experience, senza introdurre rallentamenti non necessari ai processi. Queste misure possono essere validate da una terza parte e dovranno superare il loro scrutinio.

Sia la governance che la conformità devono essere valutate frequentemente nel momento in cui emergono nuove minacce e nuove vulnerabilità vengono alla luce. In questo contesto, i produttori non hanno solo il compito di offrire prodotti e servizi conformi alla legge, ma anche capaci di rispondere ai requisiti di governance di ogni cliente.

 

Pensare ai regolamenti in modo globale

Sfortunatamente, non tutti i regolamenti sono standardizzati a livello mondiale. I produttori globali di tecnologie di videosorveglianza, sotto questo aspetto, si trovano spesso a confrontarsi con le differenze legislative presenti in diverse regioni. Per esempio. Il GDPR europeo impone delle modalità per la gestione e la conservazione dei dati personali. I dati appartenenti a cittadini dell’Unione Europea sono soggetti a questo regolamento a prescindere dal luogo in cui sono raccolti, e una mancata applicazione di questa norma comporta un impatto finanziario estremamente significativo. Dall’introduzione del GDPR nel 2018, più di 282 milioni di euro sono richiesti come multa alle organizzazioni che non hanno rispettato questo regolamento, dei quali circa 69 milioni in Italia.

Questa situazione è in contrasto con quanto avviene negli Stati Uniti, dove non è previsto uno standard unificato e ogni stato dispone di una propria regolamentazione a cui le aziende devono aderire. Altri paesi e regioni di tutto il mondo hanno a loro volta un proprio approccio specifico che genera un panorama regolatorio molto complesso. Un elemento particolarmente significativo per le aziende che, pur essendo basate in un paese, come ad esempio l’Italia, ma con operazioni in tutto il mondo. Queste società devono rispettare i regolamenti locali dei paesi in cui fanno affari pena il rischio di risultare non conformi.

Una sicura e serena navigazione attraverso i differenti regolamenti sulla protezione dei dati e la cybersecurity comincia dalla conoscenza e dalla comprensione delle direttive associata all’applicazione delle best practice necessarie per proteggere i dati sensibili dagli attacchi informatici. Questa procedura determinerà quale tipo di protezione informatica deve essere incorporata nei propri prodotti per garantire anche ai clienti piena conformità.

 

I produttori devono stare un passo avanti

Anche se in possesso di una profonda conoscenza del panorama legale locale e internazionale, i produttori non possono perdere di vista il mutevole panorama dei rischi e delle minacce informatiche. I firmware dei prodotti devono essere aggiornati periodicamente ed essere aggiornati sulle più recenti vulnerabilità. I problemi possono emergere, ad esempio, quando prodotti obsolete sono ancora in uso e, come talvolta accade, non sono più soggetti ad aggiornamenti.

Per questa ragione, la cybersecurity deve essere considerata parte della gestione del ciclo di vita del prodotto. Se i dispositivi hanno superato una certa età, non possono essere più considerati sicuri a livello informatico. Una condizione ulteriormente complicate dai cambiamenti nei regolamenti, che possono anche significare che i dispositivi non siano più conformi. Risolvere questo genere di situazioni può implicare, per I produttori, la necessità di adattare software e firmware più vecchi di cinque anni: un’attività che si può rivelare molto complessa.

Oltre all’ambito manifatturiero, un altro settore che richiede particolare attenzione è quello della supply chain: dal momento che la cybersecurity è la priorità fondamentale, tutte le aziende che fanno parte della catena di fornitura del produttore devono dimostrare il proprio approccio alla cybersecurity e alla protezione dei dati. Questo include la conformità con le regolamentazioni esistenti e le ragioni per cui si possono dichiarare “sicuri” per i propri clienti. Grazie a questo approfondimento, anche i vendor possono essere rassicurati sul fatto di non introdurre fattori di rischio nei propri prodotti.

 

Tenere a mente le esigenze dei clienti

Quando si parla di cybersecurity, è cruciale per le organizzazioni comprendere, oltre ai regolamenti a cui devono essere conformi i loro clienti, anche le minacce i rischi e le vulnerabilità della propria azienda.

Per i produttori di dispositivi utilizzati dai clienti nelle proprie operazioni di sicurezza, un approccio globale alla cybersecurity e alle procedure per garantirla è sicuramente il più efficace: manterrà in primo piano le necessità dei clienti assicurando che i prodotti rispettino le regolamentazioni applicate dai diversi mercati. Inoltre, garantirà la conformità “per design” dei prodotti anche qualora determinate leggi venissero applicate in nuovi mercati, senza necessità di aggiornare il firmware. In questo modo, i vendor come Axis possono agire negli interessi dei clienti e aiutarli a raggiungere i propri obiettivi rendendo i dati sicuri e protetti.

 

Rivivi con noi l’evento Axis Live dello scorso 14 aprile e approfondisci il nostro impegno per la cybersecurity:

Axis Live on Demand

 

 

Questo articolo è stato adattato dall’originale pubblicato in lingua inglese sul nostro blog globale Secure Insights.