Nelle puntate precedenti abbiamo individuato i soggetti destinatari della Direttiva: la normativa europea identifica direttamente le medie e grandi imprese dei settori critici individuati dagli allegati I e II della Direttiva NIS 2.
Il perimetro però non termina qui: indipendentemente dalla dimensione, la Direttiva NIS 2 coinvolge espressamente pubbliche amministrazioni, soggetti critici, fornitori di servizi di registrazione dei nomi a dominio, fornitori unici di servizi essenziali e tutti quei soggetti sui quali una perturbazione del servizio fornito potrebbe comportare un rischio significativo per la vita economica e sociale dei paesi membri.
Dunque, la NIS 2 si applica anche alle aziende con meno di 50 dipendenti se forniscono un servizio essenziale in uno Stato membro, se il loro servizio è cruciale per la sicurezza pubblica, la sicurezza o la salute.
A supporto delle imprese che necessitano di avviare le procedure di adeguamento normativo, abbiamo redatto una comoda checklist per comprendere quali attività pianificare nei prossimi mesi al fine di rispettare le scadenze e le disposizioni in materia di cybersicurezza.
Concentriamoci adesso su cosa devono fare i soggetti destinatari delle disposizioni normative per adempiere agli obblighi di legge.
Il punto di partenza è l’articolo 21:
- Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti:
a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
b) gestione degli incidenti;
c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Elenco lungo e complicato ? Entriamo nel merito di ogni aspetto per chiarirci le idee !
Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
Il primo ambito di intervento riguarda le politiche di analisi dei rischi e di sicurezza dei sistemi informatici, più comunemente note come processi di Risk Management o Gestione del rischio.
Gli strumenti preliminarmente richiesti per affrontare la realizzazione di un adeguato sistema di Gestione del rischio sono sostanzialmente costituiti da elementi descrittivi del funzionamento di Aziende ed Amministrazioni e rinvengono dalle buone pratiche ormai consolidate di ingegneria gestionale.
La documentazione di partenza richiesta è, pertanto, costituita dalla Mappatura dei processi, dall’Organigramma funzionale e dall’Inventario degli asset.
Ogni Impresa o Ente deve inizialmente assicurarsi di aver avviato procedure di Business Process Management che garantiscano una descrizione aggiornata dei flussi informativi e procedimentali nel manufatto comunemente noto come Mappatura dei processi.
Correlata a tale attività è la produzione dell’Organigramma funzionale della sicurezza informatica, strumento che esplicita la struttura organizzativa e finalizzato ad una gestione corretta del “sistema sicurezza” poiché la sua definizione permette di rendere chiaro a tutti compiti e responsabilità ben precise.
Infine, l’Inventario degli asset comprensivo di tutti gli elementi che compongono un sistema di gestione per la sicurezza delle informazioni e fondamentale per determinare i termini della protezione e le relative modalità.
Validati i prerequisiti, è dunque possibile procedere con la fase di analisi dei rischi e sicurezza dei sistemi informatici procedendo per gradi successivi.
Inizialmente si rende necessaria la valutazione del rischio intesa quale individuazione degli eventi cyber potenzialmente disastrosi che meritano un approfondimento accurato; segue la valutazione analitica di tali eventi per stimarne il livello di rischio e la gravità che rappresenterebbe per l’attività del business (ad esempio usando operazioni di “Vulnerability assessment” e “Penetration test”).
Quindi è il momento della predisposizione delle misure di prevenzione e protezione, ovvero la pianificazione di un piano di Incident Response per gestire gli eventuali incidenti informatici e dell’implementazione delle misure di prevenzione e protezione individuate, cioè la predisposizione di un piano di continuità di business e gestione della crisi.
Infine, il percorso si completa con il monitoraggio periodico e la revisione costante delle misure adottate tenendo presente che la NIS 2, al fine di responsabilizzare tutti gli attori coinvolti nella supply chain, impone anche alla catena dei fornitori di disporre di adeguati requisiti in termini di sicurezza.
L’intera procedura deve sempre essere accompagnata dalla fase di elaborazione di politiche di sicurezza informatica all’interno di un’organizzazione. Questo può includere la definizione di regole e linee guida per proteggere l’infrastruttura IT, gestire l’accesso ai dati sensibili e rispondere alle minacce informatiche.
A titolo di esempio, segue un breve elenco di politiche, procedure e regolamenti facenti parte del perimetro considerato:
- Politica per la sicurezza delle informazioni
- Politica per il controllo degli accessi e delle password
- Politica per la gestione degli incidenti
- Politica per la gestione dei dispositivi mobili
- Politica per la gestione degli aspetti di sicurezza nel rapporto con le terze parti
- Politica per la gestione degli asset (incluso il registro degli asset)
- Regolamento per l’uso delle risorse informatiche
- Politica per la gestione dei log
- Politica per la gestione dei backup
- Politica di classificazione della riservatezza delle informazioni
Gestione degli incidenti
La presa in carico degli eventi di sicurezza riguarda un ulteriore aspetto fondamentale per il corretto e completo adempimento dei soggetti destinatari. L’analisi dei rischi, le valutazioni preliminari, le indicazioni proattive e le politiche di attuazione riguardano interventi stabiliti “a freddo” durante lo studio dei possibili momenti di criticità. La gestione degli incidenti si sofferma sulle fasi “calde” degli episodi di sicurezza, in presenza di rischi potenziali o attuali che richiedono il dispiegamento delle contromisure pianificate nei momenti di analisi.
L’eterogeneità dei rischi, attuali e potenziali, implica un dedalo di minacce, sospette o reali, dal quale è fondamentale ridurre il rumore per concentrare l’attenzione iniziale sui pericoli effettivi. Il primo passo è, pertanto, identificare gli eventi degni di attenzione che la Direttiva identifica come segue:
“Un incidente è considerato significativo se:
a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.”
Il discrimine è dunque legato alla perturbazione, quindi agli effetti dell’evento sui soggetti interessati e sui servizi erogati.
In termini procedurali, in presenza di incidenti, la normativa prevede che i soggetti destinatari devono presentare una notifica di preallarme seguita dalla comunicazione dell’incidente allo scopo di condividere le informazioni presso centri di raccolta e unità di gestione all’uopo preposte. Le indicazioni temporali richiedono che tale azione avvenga senza indebito ritardo, e comunque entro 24 ore.
Successivamente, i soggetti interessati dovrebbero presentare una notifica dell’incidente senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, allo scopo, in particolare, di aggiornare le informazioni trasmesse nel preallarme e di indicare una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione.
Infine, una relazione finale contenente la valutazione complessiva dell’evento insieme a quanto appreso ed alle contromisure implementate per il futuro è da presentarsi entro un mese dalla notifica dell’incidente.
In presenza di minacce, i soggetti sono – ovviamente – tenuti in maniera gratuita, semplice e comprensibile, a notificare i destinatari dei loro servizi circa l’esposizione di dati e funzionalità, nonché le azioni correttive da adottare in presenza di rischi concreti.
Continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi
La Direttiva NIS 2 introduce il concetto di “Continuità operativa”, esplicitando l’esigenza di garantire il ripristino non solo dei dati ed i sistemi informativi ma anche le risorse umane e strutturali colpite da un evento disastroso.
L’obiettivo è, pertanto, elevato al massimo della sua concezione: garantire il corretto e completo funzionamento dei servizi digitali anche in presenza di eventi avversi. L’alveo di questa definizione include le procedure di Disaster recovery, di Backup e quanto necessario per minimizzare la mancanza di operatività di un Ente o di una impresa.
La realizzazione di un processo di continuità operativa prevede varie fasi per la sua realizzazione e la redazione dei piani operativi è solo una delle attività da compiere. Di seguito, sono sintetizzate alcune delle fasi più importanti nella predisposizione di una soluzione che permetta di gestire la continuità operativa (sintetizzata dall’acronimo BCM – Business Continuity Management):
- Analisi dell’organizzazione e analisi dell’impatto
- Scelta della strategia di continuità operativa
- Implementazione della strategia di continuità operativa
- Manutenzione di piani e procedure
- Verifica e aggiornamento periodico di piani e procedure
Per poter sviluppare un’adeguata soluzione di continuità operativa occorre innanzitutto comprendere la propria organizzazione individuando tutti i processi di cui si compone. Subito dopo occorre stabilire l’importanza di ogni singolo processo nel complesso dell’attività istituzionale o di business (ritorna nuovamente fondamentale l’attività di mappatura dei processi quale manifesto delle attività dell’azienda o dell’ente).
Altro strumento essenziale in questa fase è la BIA (Business Impact Analisys) ovvero un’analisi dell’impatto prodotto nel tempo dall’interruzione di ogni singolo processo. Tale analisi permette quindi di identificare, quantificare e qualificare gli impatti sull’attività in caso di perdita, interruzione o arresto dei processi aziendali fornendo le basi sulle quali definire un’appropriata strategia di mitigazione da eventi avversi.
L’analisi di impatto andrà, poi, incrociata con l’analisi dei rischi (la probabilità che un determinato evento disastroso possa colpire l’Ente/Impresa) per valutare correttamente quali siano le risorse e le strutture più a rischio. Una corretta BIA deve permettere di classificare ogni singolo processo sulla base di due parametri fondamentali:
- RTO (Recovery Time Objective), tempo massimo per cui è possibile tollerare la sospensione del processo;
- RPO (Recovery Point Objective), tempo massimo che intercorre tra la produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantità di dati che il sistema può perdere a causa di un guasto improvviso.
Sulla base dell’analisi preliminarmente svolta e dei parametri individuati, si può valutare quale tra le strategie attualmente esistenti scegliere: è possibile, infatti, classificarne vari livelli differenti che si differenziano per tempi di ripristino e costi da sostenere per la loro realizzazione.
Fermiamoci un attimo
Tutto chiaro ? Riassumiamo.
Per l’analisi dei rischi serve:
- Mappatura dei processi
- Organigramma funzionale
- Inventario degli asset
- Documento di Valutazione dei rischi
- Predisposizione delle misure di prevenzione e protezione ovvero la pianificazione di un piano di Incident Response
- Procedure e politiche di sicurezza informatica
Per la gestione degli incidenti:
- Notifica di preallarme
- Notifica dell’incidente
- Relazione finale
Infine per la continuità operativa:
- Analisi dell’organizzazione
- Analisi dell’impatto – BIA (Business Impact Analisys)
- Definizione di piani e procedure (Piano di Disaster recovery, Piano di Backup & Restore)
Non preoccuparti, nei prossimi articoli continueremo ad approfondire l’argomento !