Veeam: Nuove Normative, Top Management si Adatta
Per anni, la protezione dei dati e la cybersecurity sono state considerate competenze esclusive dei team IT e di sicurezza, seguendo il motto: "lasciamo fare agli esperti". Questo approccio di delega è stato a lungo ritenuto sensato. Tuttavia, con l’aumento e la profonda integrazione della tecnologia nelle aziende, e con il passaggio delle violazioni informatiche da eventi occasionali a minacce sempre più certe, la sicurezza informatica è diventata una responsabilità condivisa da ogni membro dell’organizzazione.
Le recenti normative in materia di cybersecurity, come la NIS2 e la DORA, riflettono questa evoluzione, imponendo alle aziende di assumersi una responsabilità diretta. Oggi, in caso di violazione, la responsabilità non ricade più esclusivamente sul CISO. L’intera C-suite è coinvolta e deve rispondere.
Leggi anche Veeam: L'importanza di un esame approfondito nella resilienza dei dati
I dirigenti sono ora personalmente responsabili per la gestione e la formazione relative alla sicurezza informatica. Possono infatti incorrere in pesanti sanzioni in caso di inadempimento. Un numero crescente di manager sta comprendendo che affidarsi totalmente a team interni o fornitori esterni, senza un coinvolgimento attivo e consapevole, rappresenta un rischio tangibile e potenzialmente disastroso. Se sorgono lacune, o se i processi di sicurezza non sono supportati adeguatamente, a essere compromessa è la loro reputazione – e quella dell’intera azienda. È quindi arrivato il momento di fare un passo avanti e partecipare in prima persona.
Sotto i riflettori: la C-suite È evidente che non si può chiedere a tutti i dirigenti di essere esperti in cybersecurity e protezione dei dati. Per molti, questa potrebbe essere la prima volta in cui si confrontano in modo approfondito con i propri piani di resilienza dei dati e risposta agli incidenti. Tuttavia, con l’aumento delle minacce informatiche e l’indurirsi delle normative, i leader aziendali devono non solo accettare che le violazioni sono ormai inevitabili, ma anche prendere misure proattive per rafforzare le difese e garantire il rispetto delle normative.
Le normative sulla cybersecurity, in particolare la direttiva NIS2, hanno conferito alla C-suite un ampio e nuovo insieme di responsabilità. Per la prima volta, i dirigenti devono gestire in modo attivo e diretto i rischi legati alla sicurezza informatica e definire la strategia di protezione dell’organizzazione. Sono inoltre incaricati della gestione e mitigazione del rischio a livello aziendale, oltre che delle procedure di segnalazione degli incidenti. Inoltre, i vertici aziendali che non adempiono alle normative rischiano responsabilità personali e sanzioni fino a 7 milioni di sterline o al 1,4% del fatturato annuo globale dell’organizzazione (per le entità rilevanti), a seconda di quale importo risulti più elevato.
La pressione è forte. I dirigenti di alto livello dovranno integrare la resilienza organizzativa e la preparazione alla gestione degli incidenti tra le loro priorità principali. Ciò implica non solo investire in sicurezza e formazione, ma anche esigere responsabilità da parte degli stakeholder interni. E la parola chiave qui è proprio responsabilità. Regolamenti come NIS2 includono il top management nell’ambito della responsabilità non perché tutto debba ricadere su di loro, ma perché sono le figure con l’autorevolezza necessaria per garantire che tutti i soggetti coinvolti lo siano davvero.
Il cambiamento parte dall’interno, ma spesso non si limita a questo. I membri della C-suite saranno sempre più propensi ad estendere questa responsabilità anche all’esterno, verso partner e fornitori strategici. Dai soggetti della supply chain ai fornitori di servizi IT e di sicurezza – inclusi quelli di backup-as-a-service (BaaS) – ogni anello della catena di resilienza e recupero dei dati diventa cruciale e non può essere trascurato.
Fornitori terzi sotto osservazione
Secondo l’ EY Global Third-Party Risk Management Survey , il 44% delle organizzazioni prevede di intensificare la collaborazione con fornitori terzi nei prossimi cinque anni. Con il proseguire di questa tendenza, è lecito aspettarsi che i dirigenti esamineranno con sempre maggiore attenzione i propri partner esterni, valutando in dettaglio ogni aspetto delle loro misure di resilienza dei dati e risposta agli incidenti. In passato, un semplice accordo contrattuale o una certificazione erano sufficienti a tranquillizzare la C-suite. Ma oggi, con l’ingresso ufficiale della responsabilità aziendale, cresce la necessità di esigere maggiore trasparenza e responsabilità anche dai fornitori esterni.
Questo potrebbe tradursi in diverse azioni concrete, come la rinegoziazione degli accordi sul livello di servizio (SLA) e verifiche più approfondite, mentre i dirigenti si impegnano a mettere in sicurezza l’intera catena di custodia della resilienza dei dati, analizzando ogni fase del processo. Sebbene non sia possibile esternalizzare il rischio e la responsabilità ai fornitori terzi, i leader aziendali devono poter contare su una totale trasparenza da parte loro. Solo così, in caso di violazione, sarà possibile individuare rapidamente il punto di cedimento e intervenire prontamente, evitando sanzioni e danni reputazionali.
Un tuffo nella realtà
Queste misure contribuiranno sicuramente a rafforzare la resilienza complessiva dei dati, ma eliminare completamente il rischio di una violazione è impossibile. D’altra parte, regolamenti come NIS2 e DORA non richiedono questo. L’obiettivo non è raggiungere l’immunità, ma ridurre il rischio il più possibile e, soprattutto, prepararsi a gestire gli incidenti quando – non se – si verificheranno.
Non bastano SLA, processi e tecnologie: senza test, la resilienza non è garantita. Puoi avere tutti gli accordi sul livello di servizio, i processi e le soluzioni tecnologiche, ma non puoi certificarne l’efficacia senza metterli alla prova. Questo è l’aspetto cruciale per affrontare e migliorare la resilienza. È giusto e necessario che la C-suite conduca tutte le verifiche necessarie per costruire fiducia nella propria filiera dei dati e nei fornitori, ma questa fiducia va messa alla prova. Serve una strategia di test continua e approfondita, che spinga le difese al limite – e non solo in scenari ideali. Una violazione può verificarsi in qualsiasi momento, quindi è fondamentale simulare incidenti nei momenti più critici: quando i team di sicurezza sono già sotto pressione o quando alcune figure chiave non sono disponibili.
In sostanza, bisogna andare oltre i piani teorici. Non si impara a nuotare leggendo un manuale. L’unico modo per farlo è tuffarsi. Certo, potresti cavartela senza problemi, ma potresti anche affondare. Ed è molto meglio affondare con i braccioli addosso – durante una simulazione – piuttosto che in un’emergenza reale.
