La conformità al GDPR (Regolamento generale sulla protezione dei dati) e la cybersecurity sono legate intrinsecamente. Mentre le istituzioni e le autorità di regolamentazione cercano di proteggere i dati personali, i criminali studiano come trafugarli a scopo di lucro.

Da quando il GDPR è entrato in vigore, i rischi dovuti a un’eccessiva leggerezza e a una cybersecurity inadeguata sono stati molto pubblicizzati dalla stampa. Gli esempi più clamorosi sono arrivati da due aziende di alto profilo come British Airways e Marriott International, che sono state multate per aver perso i dati dei clienti a causa di attacchi informatici.

Questo rende ancora più importante una strategia di cybersecurity aziendale per ridurre al minimo le sanzioni conseguenti a una compromissione dei sistemi. La legge dell’UE offre alle autorità di regolamentazione il potere di infliggere pesanti multe da 20 milioni di euro, o del 4% del fatturato totale del gruppo aziendale, a seconda di quale sia il valore più alto.

Con l’aumentare dei rischi legati agli attacchi informatici e alle violazioni dei dati, aumentano anche le sanzioni e le multe, qualora si ritenga che le misure di cybersecurity adottate siano inadeguate. Il CSO, agenzia internazionale che pubblica notizie, analisi e ricerche sulla sicurezza e la gestione dei rischi, riferisce che oggi gli attacchi informatici e le violazioni dei dati rappresentano il rischio principale per le aziende.

Le recenti multe per mancata conformità al GDPR hanno scosso l’intero settore. Una nuova ricerca di Clearswift, società che si occupa di sicurezza dei dati, evidenzia che le sanzioni finanziarie hanno cominciato a influenzare i piani di spesa per la cybersecurity ai massimi livelli dirigenziali. Secondo Clearswift, quasi un terzo delle aziende (32%) indica che il motivo principale per cui è stato coinvolto maggiormente il consiglio di amministrazione e/o sono state aumentate le spese per la sicurezza informatica è dovuto proprio alle multe a British Airways e Marriott International.

I consigli di amministrazione si rendono conto che il costo della mancata conformità, di un attacco informatico o di una violazione dei dati è significativamente maggiore dei potenziali risparmi che si ottengono scegliendo dispositivi più economici, prodotti da aziende che non possono dimostrare la loro maturità in termini di sicurezza informatica. Una multa, un danno d’immagine, l’interruzione dei servizi o la perdita di fiducia da parte dei clienti hanno effetti decisamente maggiori.

Considerazioni sulla conformità e opportunità per gli integratori di sistemi

Tutti gli stakeholder hanno il proprio ruolo nel garantire che un’azienda sia protetta da un attacco informatico. Gli integratori di sistemi che comprendono bene le sfide per la sicurezza informatica e possono dimostrare la loro cyber maturity otterranno una maggiore fiducia dai clienti esistenti e da quelli potenziali.

Allo stesso tempo, l’allineamento della vostra offerta per alleggerire i rischi legati agli attacchi informatici attraverso i sistemi di sicurezza fisica genera nuove opportunità. Come ad ogni livello di sicurezza, nessuno si aspetta che questo servizio sia gratuito. Le aziende considerano sempre più utile affidarsi a terze parti per supportare la loro strategia di cybersecurity e ridurre al minimo l’esposizione agli attacchi.

Di conseguenza, l’IT genera una forte attenzione e una maggiore influenza. È fondamentale considerare le aspettative dei responsabili delle decisioni IT e dei dipartimenti di sicurezza, i quali si aspettano chiaramente che gli integratori di sistemi si assumano responsabilità per l’aggiornamento dei sistemi e l’applicazione delle patch al firmware. In breve, gli IT manager vogliono che le aziende incaricate dell’assistenza si comportino da partner, non da semplici fornitori.

Il valore di un contratto di assistenza e manutenzione

Mentre negli ultimi anni alcuni integratori di sistemi possono aver assistito a un calo dei contratti di assistenza e manutenzione, non è stato così per chi si occupa di sistemi informatici. La realtà odierna è che i sistemi di sicurezza fisici ed elettronici sono diventati sistemi IT e utilizzano in gran parte la stessa infrastruttura.

Sono lontani i tempi in cui le telecamere richiedevano solo una manutenzione meccanica. Tuttavia, ciò non significa che il valore di un contratto di assistenza e manutenzione sia cambiato e che le best practice non siano più valide.

Non sorprende che alcuni clienti abbiano disdetto i contratti di assistenza e manutenzione oltre il periodo di garanzia. Ma nelle aziende che non hanno un contratto, chi ha la responsabilità di tutelare la cybersecurity dei sistemi? Senza aggiornamenti regolari e la manutenzione dei sistemi di sicurezza, un’azienda si espone ai rischi e dovrà chiedersi quando, e non se, arriverà una violazione dei dati.

Se siete stati incaricati dell’assistenza e della manutenzione, il cliente potrebbe aspettarsi che questo valga per tutti gli aspetti dell’hardware e del software, se non diversamente indicato nel contratto. Per chiarire i requisiti, con particolare attenzione agli aggiornamenti e alle patch del firmware, è utile considerare quanto segue con il cliente:

• Se gli aggiornamenti e le patch del firmware non sono inclusi nel contratto di assistenza, chi ne è responsabile? Di conseguenza, quali sono gli effetti se un altro stakeholder effettua questi aggiornamenti su un sistema di cui dovete curare la manutenzione?
• Se la vostra offerta non comprende gli aggiornamenti e le patch del firmware, quale sarà la percezione del cliente, soprattutto se i concorrenti sono in grado di offrire questo servizio?

Da queste considerazioni, emerge che per un integratore di sistemi è vantaggioso comprendere l’approccio del produttore verso gli aggiornamenti e le patch del firmware. La conoscenza del processo, che può essere tanto semplice quanto efficace, aiuta ad articolare il vostro approccio verso la cybersecurity e a confermare che tutti gli aggiornamenti e i requisiti di sicurezza siano inclusi nella vostra offerta.

In definitiva, questo non potrà che essere un vantaggio durante la fase di approvvigionamento. Dimostrare di comprendere l’importanza dei contratti di assistenza e manutenzione odierni, al di là della tradizionale manutenzione programmata, aumenta la fiducia tra i clienti e il numero di potenziali contratti.

Perché gli aggiornamenti del firmware e le patch sono importanti

Nel Regno Unito, l’Information Commissioners Office (ICO), equivalente alle Autorità per la Protezione dei Dati (DPA) di ogni stato membro dell’UE, ha pubblicato linee guida specifiche per la gestione delle patch. La guida afferma: “La mancata correzione delle vulnerabilità note è un fattore di cui l’ICO tiene conto per determinare se una violazione del settimo principio del Data Protection Act* sia grave da giustificare una sanzione pecuniaria civile”. (*equivalente del GDPR.)

La cattiva gestione delle patch, che porta a gravi violazioni dei dati dei consumatori, è un problema che le aziende di tutto il mondo devono affrontare. Soprattutto, l’inosservanza delle norme ha portato a pesanti sanzioni pecuniarie.

Il CSO riporta una statistica preoccupante: “Il 60% delle violazioni riguardava vulnerabilità per le quali era disponibile una patch, che però non era stata applicata”. Se un integratore non ha aggiornato i sistemi anche se erano disponibili patch e aggiornamenti del firmware, si può presumere che, in qualità di responsabile del trattamento dei dati, sia parzialmente soggetto alla sanzione.

Dunque, cosa fanno i vostri partner tecnologici per aiutarvi ad affrontare le sfide dei vostri clienti in materia di sicurezza? Altrettanto importante in un’ottica concorrenziale, che cosa fanno per aiutarvi ad ottenere di più dalle opportunità di business nella cybersecurity con strumenti e servizi che vi consentono di lavorare con maggiore efficienza?

AXIS Device Manager

AXIS Device Manager è un modo semplice, comodo e sicuro per gestire i dispositivi connessi. Offre agli installatori e agli amministratori di sistema uno strumento efficiente per svolgere tutte le attività di installazione, sicurezza e manutenzione.

Uno dei principali vantaggi di AXIS Device Manager è la capacità di consolidare la protezione di tutti i dispositivi Axis connessi alla rete. Questo processo riduce le vulnerabilità e le falle di sicurezza in linea con la Axis Hardening Guide. La AXIS Hardening Guide segue principi basilari come i CIS Controls – Version 6.1, precedentemente noti come SANS Top 20 Critical Security Controls.

Questo processo consente agli addetti alla messa in servizio di creare un profilo di sicurezza rafforzato, che può essere salvato come impostazione e distribuito a tutti gli altri dispositivi dell’azienda. Questo riduce significativamente i tempi di messa in servizio, creando al tempo stesso un approccio a più livelli che limita i singoli punti di vulnerabilità ed esposizione e rafforza il sistema nel suo insieme.

La possibilità di aggiornare firmware e patch con rapidità ed efficienza consente agli integratori di monitorare i sistemi di videosorveglianza in modo proattivo ed effettuare tutti gli aggiornamenti senza influire sulle attuali integrazioni con i sistemi connessi. AXIS Device Manager consente il monitoraggio di tutti gli aggiornamenti firmware rilasciati per rimediare alle falle di sicurezza elencate nel dizionario CVE (Common Vulnerabilities and Exposures), in linea con la policy Axis Vulnerability Management.

Strategia per il firmware

È stato detto che gli aggiornamenti del firmware diventeranno più importanti dei contratti di garanzia sull’hardware. Non è una sorpresa, se consideriamo che le garanzie hardware dei produttori variano da uno a cinque anni ma che le tecnologie vengono in realtà implementate per oltre sette-dieci anni. Allo stesso tempo, le aziende rischiano sempre di più attacchi informatici e violazioni dei dati. Solo perché l’hardware è fuori garanzia non significa che il produttore debba smettere di fornire gli aggiornamenti firmware.

Un esempio positivo è la strategia offerta da Axis per la gestione continua del ciclo di vita dei dispositivi. La prima opzione è il supporto attivo, che aggiunge funzionalità oltre a incrementare la sicurezza informatica e la stabilità. La seconda opzione è il supporto a lungo termine (LTS), che non prevede l’aggiunta di nuove funzionalità: in questo modo, il cliente può stare tranquillo perché non perderà le integrazioni già sviluppate. Se il dispositivo ha già la funzionalità richiesta, la strategia di supporto consigliata è LTS.

Nessun dispositivo dura per sempre. L’innovazione fa da traino al cambiamento tecnologico, che regala opportunità. Sebbene le funzionalità operative che risolvono le criticità abbiano spesso la priorità in un’azienda, è sempre necessario un solido business case. Anche se disponibile, però, il consiglio di amministrazione potrebbe comunque decidere di non approvare il budget. Tuttavia, pensare ai rischi per la cybersecurity qualora le tecnologie non vengano aggiornate, anziché concentrarsi solo sull’efficienza operativa, può essere un approccio più efficace per ottenere l’investimento.

La fine è solo l’inizio

Nel sostenere le strategie di sostituzione dei dispositivi del cliente, altre due considerazioni da fare riguardano i dispositivi che hanno raggiunto la fine del ciclo di vita e la data di fine supporto. Comprendere la differenza aiuta a spiegare come sfruttare e presentare le varie opportunità ai clienti.

Fine vita

Si parla di dispositivi a fine vita (End of Life, o EOL) quando il produttore si appresta ad interrompere la vendita del prodotto, in genere perché è disponibile una nuova offerta. Le aziende che utilizzano tecnologie a fine vita non devono farsi prendere dal panico, perché spesso è semplicemente disponibile un’alternativa migliore. Il fine vita non dovrebbe neanche influire sulla durata della garanzia del produttore.

Fine supporto

In alternativa, si parla di fine supporto (End of Support, o EOS) quando il produttore interrompe il supporto per un prodotto o servizio, in genere hardware e software. Anche se un produttore credibile documenterà sempre la data di fine supporto, avvisando che un prodotto è prossimo alla fine del ciclo di vita, è fondamentale che un’azienda tenga sotto controllo i periodi EOS delle tecnologie che implementa. Questo perché nella data di fine supporto il produttore smetterà di fornire aggiornamenti e patch del firmware, aprendo la porta a eventuali attacchi e violazioni dei dati. Per questo, la data di fine supporto è un fattore chiave che i responsabili delle policy IT e della strategia di cybersecurity di un sito devono considerare.

Prima o poi, ogni software diventa obsoleto. Raggiunta questa fase, il National Cybersecurity Centre del Regno Unito, equivalente all’Agenzia dell’Unione europea per la cibersicurezza (ENISA), raccomanda di non utilizzarlo. L’organizzazione ammette che non è sempre possibile, ma evidenzia i seguenti problemi se si utilizzano software obsoleti:

• Il software non riceverà più gli aggiornamenti di sicurezza dagli sviluppatori, aumentando la probabilità che i malintenzionati vengano a conoscenza delle vulnerabilità sfruttabili.
• I software obsoleti non possono applicare le ultime misure di protezione, aumentando l’impatto delle vulnerabilità, rendendone più probabile lo sfruttamento e complicandone il rilevamento.

Insieme, questi problemi aumentano la probabilità che si verifichino incidenti di sicurezza ad alto impatto, dovuti ad esempio a malware sviluppati per sfruttare apposite vulnerabilità con conseguenze catastrofiche per l’intera azienda.

La maggior parte delle grandi aziende comprende che il software e l’hardware hanno una durata prestabilita e destinano volentieri una parte del budget annuale alla sostituzione dei dispositivi, per ridurre i rischi superflui. Si tratta di una grande opportunità per i fornitori di servizi di manutenzione, che possono aiutare i clienti a passare a tecnologie più recenti.

Se il cliente non ha un piano di gestione del ciclo di vita, gli integratori di sistemi di sicurezza possono aiutarlo in modo proattivo comunicandogli quando occorre un aggiornamento tecnologico. Questo consente di preparare i budget con buon anticipo e conquistare nuovi progetti per mantenere l’integrità dei sistemi di sicurezza.

Dimostrarsi competenti nella cybersecurity

La cybersecurity e la conformità al GDPR sono prioritari per la maggior parte degli utenti finali, se non per tutti. Poter dimostrare le vostre conoscenze e competenze in questa area e spiegare ai clienti come intendete supportare la loro strategia di cybersecurity può solo distinguere positivamente la vostra offerta.

Utilizzando gli strumenti gratuiti forniti da Axis, non solo proteggerete i clienti quando valuterete i rischi di attacchi informatici e violazioni dei dati, ma potrete anche diventare consulenti e partner di fiducia. Gli strumenti Axis vi permetteranno di aiutare i clienti con le strategie di sostituzione dei dispositivi a fine supporto e consentiranno ai responsabili dei reparti sicurezza e IT di preparare in anticipo budget accurati. A voi, possono offrire una migliore visibilità dei progetti futuri, aumentando anche il numero di contratti di assistenza e manutenzione.

Risorse Axis per la cybersecurity