Resilienza, cybersecurity e rispetto delle normative sono ambiti in cui i servizi gestiti possono fare la differenza offrendo ai clienti un elevato valore aggiunto.
Visto i grandi impatti che gli attacchi informatici hanno sull’economia mondiale, il World Economic Forum crede che sia di fondamentale importanza innalzare le difese per gli attacchi informatici in tutte le aziende mondiali, al fine di proteggerle da disastrose perdite di dati o da altrettanto pericolosi blocchi della produzione. Questa trasformazione digitale farà parte della quarta rivoluzione industriale e produrrà non solo la protezione alle aziende e un risparmio rispetto alle possibili perdite relative a un attacco, ma anche business per la messa in sicurezza delle aziende.
Per riuscire in questo intento, il WEF raccomanda di progettare, costruire e mantenere le infrastrutture di rete ponendo la resilienza della cyber security in primo piano. Ma cos’è la resilienza della Cyber Security? La resilienza informatica è la capacità di un'organizzazione di continuare a operare di fronte a un attacco informatico o ad altri incidenti informatici. Implica la messa in atto delle misure tecniche e organizzative necessarie per rilevare, rispondere e riprendersi da tali incidenti, nonché la capacità di adattarsi e imparare da essi per migliorare la resilienza futura.
Attualmente il WEF indica nel suo report 2022 che solo il 19% delle aziende mondiali rispetta la resilienza della cyber security, mentre la maggioranza delle aziende crede di non avere procedure adeguate. Al fine di correggere questo scompenso, il WEF ha rilasciato due importanti componenti, con lo scopo di promuovere e indirizzare la crescita delle aziende sulla resilienza della Cyber Security: il Cyber Resilience Framework (CRF) e il Cyber Resilience Index (CRI). Il CRF è una guida alle best practices per costruire un’infrastruttura di Cybersecurity resiliente e si basa su 6 principi chiave, indipendenti dal tipo di industria o di location geografica.
Il CRI invece è un indice che permette di misurare in maniera concreta l’adozione delle best practices descritte nel CRF della data azienda. È quindi un benchmark che permette di misurare il trend di crescita sulla resilienza informatica della data azienda sia con sé stessa per visualizzare i suoi progressi nel tempo sia tra le varie aziende.
Storicamente, sono apparse diverse aziende che proponevano servizi che possono aiutare un cliente fornendo qualsiasi fase di un ciclo IT, quali HLD, LLD, Implementazione e monitoraggio di una rete, e venivano definiti Managed Service Provider (MSP). All’aumentare delle complessità degli attacchi informatici, si è fatta strada una nuova offerta che si integra ed espande la precedente, i Managed Security Service Provider (MSSP), appunto. Mentre gli MSP offrono prevalentemente servizi IT aggiungendo alcune soluzioni di sicurezza che ormai sono sempre più integrate, gli MSSP si concentrano esclusivamente sulla sicurezza.
Se li paragoniamo dal punto di vista del monitoraggio, un MSP ha tipicamente un ambiente NOC (Network Operation Center) dedicato al monitoraggio dei sistemi di rete, mentre un MSSP ha un ambiente Security Operations Center (SOC) che è un è un team di esperti centralizzato e dedicato che utilizza una varietà di strumenti per proteggersi dalle minacce, identificano i punti deboli del sistema in modo proattivo, rilevando, analizzando e rispondendo alle minacce quasi in tempo reale.
Dato che le aziende hanno una carenza di personale adeguatamente formato al fine di gestire questi sistemi complessi, l’offerta MSSP è particolarmente interessante per quelle imprese che vogliano innalzare il loro livello di sicurezza informatica in breve tempo, senza acquisire competenze esterne che sono di difficile reperibilità, al momento.
Lo scorso 17 gennaio è finalmente entrata in vigore la Direttiva Europea n. 2555 del 2022 c.d. “Direttiva NIS 2”, che si propone di indirizzare le debolezze della precedente NIS, ad esempio la frammentazione di attuazione nei diversi stati membri. La direttiva indica dei settori critici per le infrastrutture nazionali, quali Energia, assistenza sanitaria, trasporti, finanza, approvvigionamento idrico e infrastrutture digitali e obbliga le aziende che lavorano in questi settori a proteggere le proprie informazioni considerando anche le persone, i processi e la tecnologia che le utilizzano. In generale, comunque, oltre ai soggetti critici, la direttiva dovrebbe essere seguita da tutte le medie imprese europee.
Queste tre entità devono preparare piani d’azione utili in caso di attacco informatico, di modo che venga rispettata la resilienza dell’informazione stessa. Inoltre, sono obbligati a segnalare prontamente (entro le successive 24 ore) gli incidenti, con l’obiettivo di affinare i sopra citati piani d’azione. Nella direttiva viene esplicitamente menzionato che gli stati membri debbano designare o eleggere delle autorità competenti, i Computer Security Incident Response Teams (CSIRT). Questo ente avrà l’onere di raccogliere le segnalazioni provenienti dalle aziende colpite da attacchi informatici e dovrà essere dotato di capacità tecniche e organizzative necessarie a prevenire e rilevare gli incidenti e i rischi. Dovrà anche essere in grado di rispondere e mitigare l’impatto in caso di un eventuale attacco.
La direttiva non è una mera raccomandazione. Definisce delle sanzioni amministrative in caso di violazione della NIS2, fino a un massimo di 10.000.000 € o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo per l'esercizio precedente dell'impresa cui il soggetto essenziale appartiene.