Aspettando la direttiva NIS 2, tra fiducia e consapevolezza

La direttiva europea NIS 2 entrerà in vigore il prossimo 17 ottobre, coinvolgendo un numero significativo di aziende obbligate ad adeguare le proprie strategie di cybersecurity. Per comprendere qual è il sentiment delle organizzazioni rispetto a questa nuova normativa, Zscaler ha realizzato il report NIS 2 & Beyond: Risk, Reward & Regulation Readiness.

Il documento raccoglie i risultati delle interviste a 875 responsabili IT in sei mercati europei, Italia compresa. La maggior parte del campione, pari all’80% (77% in Italia) è fiduciosa che la propria azienda riuscirà a soddisfare i requisiti di conformità alla direttiva NIS 2 prima della scadenza, mentre il 14% (13% in Italia) afferma addirittura di averli già soddisfatti.

Il paradosso tuttavia è che soltanto il 53% (48% in Italia) degli intervistati ritiene che i propri team comprendano pienamente i requisiti necessari per essere conformi alla direttiva. L’analisi del divario tra fiducia e comprensione effettiva del quadro regolatorio rivela una certa discrepanza tra il modo in cui i leader parlano della direttiva NIS 2 e le azioni che stanno mettendo concretamente in campo.

Per essere conformi, infatti, i leader IT dovrebbero apportare cambiamenti significativi nelle aree dello stack tecnologico e delle soluzioni di cybersecurity, della formazione dei dipendenti e della leadership.

Andare incontro alla NIS 2 con ottimismo eccessivo

Stefano Alei, Digital Transformation Architect di Zscaler, spiega il perché di questa discrepanza tra ottimismo da una parte e conoscenza insufficiente dei requisiti dall’altra: “Sebbene sembri esserci una certa fiducia nel fatto che le aziende raggiungeranno la conformità NIS 2 entro la scadenza in avvicinamento, la nostra ricerca suggerisce che questa convinzione potrebbe poggiare su fondamenta scarsamente solide, o per meglio dire, ottimistiche. Se non si fa attenzione, molte aziende potrebbero trovarsi a correre verso l’obiettivo, trascurando altri processi di cybersecurity – cosa che il 60% dei responsabili IT (58% in Italia) ha ammesso essere possibile. I dirigenti devono agire subito e fornire ai loro team IT il supporto necessario per evitare di saltare i passaggi chiave del loro percorso di conformità e rischiare gravi conseguenze finanziarie e organizzative”.

Da sinistra Marco Catino Sales Engineer Manager – Elena Accardi Country Manager di Zscaler in Italia – Stefano Alei Digital Transformation Architect.jpg

Considerazioni che trovano conferma nel fatto che, mentre la direttiva NIS 2 si propone di incorporare requisiti di sicurezza informatica essenziali, la survey fa emergere che molte aziende in Europa non sono così avanti con i loro standard di sicurezza informatica come dovrebbero. Tanto che solo il 31% degli intervistati (23% in Italia) è propenso a definire “eccellente” il proprio livello di cyber hygiene in virtù delle misure tecniche, operative e organizzative in grado di gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi.

I suggerimenti per raggiungere una cyber hygiene eccellente

Per raggiungere uno standard di cyber hygiene che sia anche compliant con i nuovi parametri di NIS 2, Elena Accardi, Country Manager di Zscaler in Italia, raccomanda di “affidarsi ad aziende leader in ambito cyber con soluzioni cloud native e SLA del 99,999”. Se a questo si aggiungono le qualificazioni dei servizi cloud per la Pubblica Amministrazione come quelle rilasciate dall’Agenzia per la cybersicurezza nazionale (ACN), i criteri di scelta del partner con cui implementare soluzioni di sicurezza hanno anche un fondamento oggettivo.

Da non sottovalutare inoltre è l’esperienza e la base installata che, nel caso di Zscaler, può contare su 7500 clienti in tutto il mondo, di cui un centinaio in Italia, 44 milioni di utenti sulle soluzioni del vendor e oltre 390 miliardi di dati analizzati al giorno che provengono da utenti, dispositivi, reti e applicazioni.

“Le soluzioni devono essere capaci di rilevare i rischi o threats nelle prime 4 fasi di un attacco: dall’individuazione della superficie alla compromissione, fino al movimento laterale e alla esfiltrazioni di dati” ricorda Accardi, sottolineando l’importanza che dette soluzioni incorporino funzionalità di rilevamento abilitate dall’Intelligenza Artificiale con protocolli di sicurezza a più livelli nella 4 fasi di un attacco. Ed è proprio in questa direzione che vanno le recenti innovazioni alla piattaforma Zero Trust Exchange di Zscaler.

I miglioramenti alla piattaforma Zscaler Zero Trust Exchange

In particolare, i miglioramenti alla piattaforma comprendono:

• funzionalità DSPM integrate in modo nativo, progettate come parte centrale della piattaforma per rilevare, classificare e proteggere i dati sensibili nei cloud pubblici come AWS e Microsoft Azure;
• sicurezza delle app GenAI basate sul contesto con correlazione degli utenti e dei rischi che fornisce informazioni sui prompt pericolosi, sull’utilizzo delle app di Intelligenza Artificiale e sui controlli granulari delle policy;
• nuove funzionalità DLP per l’email in tempo reale al fine di proteggere i dati sensibili nella posta elettronica aziendale, compresa quella di Microsoft 365 e Google Gmail;
• ulteriori miglioramenti della piattaforma, tra cui sicurezza SaaS unificata consolidata, che integra tecnologie tradizionalmente stand-alone come SSPM, SaaS Supply Chain Security, Out-of-Band API CASB Security e analisi delle attività degli utenti;
• funzionalità di AI Auto Data Discovery ampliate che includono tutte le sedi dei dati a riposo, tra cui endpoint, SaaS e infrastrutture di cloud pubblico.

La strategia di Zscaler nel portare l’IA a bordo del suo prodotto di punta non si limita al potenziamento della piattaforma. Nel marzo di quest’anno il vendor ha acquisito la startup israeliana Avalor, a poco meno di due anni dalla sua nascita. In questo modo l’Intelligenza Artificiale può essere utilizzata sia per la scoperta e mitigazione dei rischi sia per automatizzare le operazioni di rimedio, visto che la startup porta in dote la capacità di normalizzare, aggregare e contestualizzare dati da oltre 150 fonti di terze parti allo scopo di trovare vulnerabilità all’interno di un ambiente informatico sempre più esteso.