In vista dell’imminente scadenza della direttiva NIS2, Stefano Alei, Transformation Architect di Zscaler, illustra un nuovo approccio alla sicurezza.
Ormai tutti i CISO e i dirigenti europei dovrebbero essere a conoscenza dell’imminente scadenza della direttiva NIS2 prevista per il 17 ottobre 2024. Gli Stati membri dell’Unione Europea devono adottare e pubblicare le misure necessarie per conformarsi alla direttiva entro il 18 ottobre 2024. Belgio, Francia, Germania e Italia hanno già emanato i decreti di recepimento della direttiva, anche se alcuni sono ancora in fase preliminare. La buona notizia è che le cose stanno progredendo in vista della scadenza.
Siamo tutti consapevoli che l’obiettivo della NIS2 è quello di ampliare l’ambito di applicazione e rafforzare i requisiti di sicurezza in tutti i Paesi dell’UE, aumentare il livello di protezione di base, armonizzare la condivisione delle comunicazioni e ottenere la conformità alla normativa e questo non solo attraverso multe per chi non la rispetterà, ma anche con potenziali conseguenze legali per la dirigenza.
Al momento riscontriamo diversi livelli di avanzamento all’interno dell’Unione Europea in termini di adozione, comprensione e finanziamenti per la conformità. Tuttavia, la maggior parte dei responsabili delle iniziative di conformità alla direttiva NIS2 è fiduciosa sul risultato finale di aumentare la sicurezza della propria azienda.
La direttiva potrebbe fornire un impulso capace di generare un potenziale cambiamento di mentalità nell’approccio complessivo alla sicurezza e nei relativi risultati. Qualora le aziende rilevassero importanti lacune nella loro infrastruttura di sicurezza, i punti seguenti potrebbero rivelarsi utili per una revisione dell’assetto della sicurezza.
Qui di seguito approfondiamo due aspetti come base per un nuovo approccio sia tattico che strategico alla sicurezza.
Innanzitutto è opportuno spiegare perché la piattaforma Zscaler Zero Trust Exchange è adatta ad aiutare le aziende a raggiungere l’obiettivo di conformità in tempi brevi e, in secondo luogo, perché ha un ulteriore potenziale come motore di sviluppo per fare un salto in avanti.
L’obiettivo di conformità può andare di pari passo con un cambio di tecnologia
La piattaforma Zscaler indirizza i requisiti della NIS2. Nella direttiva è infatti scritto (preambolo 89) che: “Le entità essenziali e importanti dovrebbero adottare un’ampia gamma di pratiche di igiene informatica di base, come i principi Zero Trust, gli aggiornamenti del software, la configurazione dei dispositivi, la segmentazione della rete, la gestione dell’identità e dell’accesso o la consapevolezza degli utenti, organizzare la formazione del proprio personale e sensibilizzarlo in merito alle minacce informatiche, al phishing o alle tecniche di social engineering”.
Risulta evidente che il framework Zero Trust viene posto in primo piano, mentre nel documento non si fa alcun riferimento alle VPN (Virtual Private Network). È risaputo che questa storica tecnologia, che ha offerto un servizio efficace agli utenti per molti anni, è ormai divenuta un punto critico in termini di sicurezza. L’ultimo ThreatLabz VPN Risk Report 2024 di Zscaler evidenzia i pericoli nell’utilizzo di una tecnologia datata. Il 92% degli intervistati è preoccupato che terze parti possano fungere da potenziali backdoor nelle loro reti attraverso l’accesso VPN.
La gestione delle terze parti rappresenta un elemento cruciale all’interno della direttiva NIS2, poiché l’intera catena del valore deve essere tutelata da tutti gli stakeholder coinvolti. Per questo motivo, la NIS2 richiede la convalida dell’intera filiera prima della sua adozione e impone la due diligence per mitigare i rischi associati. Nel rapporto di Zscaler NIS2 & Beyond: Risk, Reward & Regulation Readiness di aprile 2024, abbiamo scoperto che oltre il 95% delle aziende ha iniziato a implementare soluzioni Zero Trust o, almeno, ha pianificato di farlo.
Per conformarsi alla NIS2, le imprese non solo hanno bisogno di tecnologie innovative, ma anche di migliorare le proprie procedure e di formare la propria forza lavoro. È una questione di “persone, processi e tecnologie”. La piattaforma Zero Trust Exchange (ZTE) di Zscaler soddisfa ampiamente la maggior parte delle specifiche tecniche previste dall’articolo 21 della direttiva. Inoltre, Zscaler è in grado di offrire indicazioni e best practice relative alle procedure da adottare, avvalendosi dell’esperienza del proprio Customer Success team.
Una delle sfide più comuni che le aziende devono affrontare riguarda il requisito della direttiva NIS2, secondo cui “le misure devono basarsi su un approccio complessivo ai rischi, volto a proteggere la rete e i sistemi informativi”. Questo obiettivo è complesso da raggiungere attraverso una singola tecnologia, il che potrebbe comportare la gestione di una moltitudine di fornitori e un aumento della complessità. La piattaforma ZTE offre una soluzione completa, capace di fornire tutti gli strumenti necessari per proteggere, semplificare e trasformare l’azienda.
Le funzionalità possono essere attivate progressivamente, man mano che l’azienda è pronta a adottarle, semplicemente abilitando le licenze corrispondenti. Ad esempio, è possibile proteggere il traffico Internet/SaaS, garantire l’accesso sicuro alle applicazioni private, monitorare dispositivi, reti e applicazioni, oltre a implementare la protezione dei dati, il CASB e il logging. Successivamente, si potrebbe valutare l’adozione di una soluzione di Zero Trust Networking, o le innovative funzionalità di gestione del rischio e protezione delle identità, con ulteriori funzionalità disponibili secondo necessità.
La piattaforma ZTE di Zscaler può aiutare i clienti a raggiungere il loro obiettivo di sicurezza, ma non si limita a proteggere l’infrastruttura, la semplifica anche. Gli ambienti complessi sono generalmente difficili da gestire, piuttosto costosi, ardui in caso di troubleshooting e richiedono tempi più lunghi per il rilascio di nuovi servizi.
Lo scopo ultimo dello Zero Trust Exchange di Zscaler è massimizzare il valore fornito alle aziende e supportare la trasformazione digitale attraverso l’abilitazione delle risorse critiche che consentono al business (persone, app, dispositivi/oggetti e dati) di operare nel modo più efficiente, scalabile e sicuro possibile, eliminando la tradizionale complessità dell’IT, fornendo la visibilità e gli strumenti di cui l’azienda ha bisogno per prendere decisioni tempestive, riducendo al minimo il rischio aziendale e massimizzando i profitti nel processo.
Zero Trust Exchange elimina la superficie di attacco rendendo le applicazioni invisibili a Internet. Inoltre, poiché il traffico non interagisce direttamente con la rete, viene impedita qualsiasi possibilità di spostamento laterale. Questo approccio, in definitiva, riduce in modo significativo il rischio per l’azienda di essere vittima di ransomware, altre minacce informatiche, nonché di perdite di dati, sia accidentali che intenzionali.
