Per ottenere la conformità NIS2, la sicurezza dell’identità gioca un ruolo cruciale. In questo modo è possibile soddisfare cinque dei dieci requisiti. La sicurezza dell’identità è quindi menzionata anche come uno strumento importante nelle migliori pratiche stabilite dall’UE. SailPoint.
Il 17 ottobre 2024 è la data di entrata in vigore della politica NIS2. Se le aziende non hanno ancora iniziato ad implementarlo, ora è il momento.
Analisi dei rischi e sicurezza dei sistemi informativi
Il concetto di sicurezza per i sistemi informativi deve contenere regole per le identità, come ad es
- l'uso di conti nominativi in contrapposizione ai conti generali;
- controllo degli account privilegiati;
- l’applicazione dei principi del privilegio minimo e della zero trust;
- Identificazione proattiva delle persone con accesso rischioso che rappresentano una minaccia per l'organizzazione.
Anche la Segregation of Duties (SOD) svolge un ruolo importante nel controllo e nella prevenzione dei rischi aziendali. L’efficacia di queste regole deve essere misurata in termini di riduzione del rischio. La sicurezza dell'identità fornisce informazioni sulla realtà dell'accesso IT e gli strumenti per rilevare e correggere le deviazioni dalle policy.
Sicurezza della catena di fornitura
Un altro aspetto importante di NIS2 è la sicurezza della catena di approvvigionamento. Le aziende sono sempre più minacciate indirettamente da attacchi all’identità di non dipendenti come fornitori, venditori, partner, appaltatori e altri. Un attacco riuscito contro un fornitore può comportare che l’azienda stessa venga compromessa e, in alcuni casi, non sia più in grado di agire. Questo tipo di attacco alla catena di fornitura sta diventando più comune degli attacchi malware o ransomware e deve essere preso molto sul serio. È fondamentale gestire e proteggere tutte le identità, comprese quelle di prestatori di servizi, fornitori, consulenti o partner. È sempre importante assicurarsi di avere accesso solo alle risorse di cui hai bisogno al momento giusto.
Efficacia delle misure di gestione del rischio
Le organizzazioni spesso hanno difficoltà a valutare l'efficacia delle proprie misure di sicurezza o a identificare le vulnerabilità che persistono nonostante queste misure. Molte persone hanno difficoltà a revocare immediatamente l’accesso ai propri dipendenti quando cambiano ruolo o lasciano l’azienda. La Commissione Europea raccomanda agli operatori delle infrastrutture critiche di attuare strategie Zero Trust e di gestione dell’identità e degli accessi. Tali approcci implicano che le parti autorizzate abbiano accesso solo ai sistemi più necessari e con i diritti più bassi possibili. Questo può essere essenziale per gestire l'accesso di partner e appaltatori.
Igiene informatica di base
Per garantire una solida igiene informatica, le aziende dovrebbero avere una panoramica di tutto il loro hardware e software e di chi può accedervi. Ciò include anche l'igiene delle password. Per evitare che i dipendenti utilizzino la stessa password per tutti gli account, le aziende possono fare affidamento sulla governance delle identità: ciò garantisce l’accesso automatizzato a un ambiente IT in continua crescita e cambiamento, riducendo al contempo i potenziali rischi per la sicurezza e la conformità.
La politica NIS2 richiede inoltre che dipendenti, partner e tutti all’interno dell’azienda siano formati e sensibilizzati sulla sicurezza informatica. Secondo un rapporto IDC sull’implementazione di NIS2, tre quarti delle aziende europee (72%) devono ancora impegnarsi per offrire formazione sulla sicurezza informatica.
Controllo accessi e gestione asset
La linea guida NIS2 fa riferimento anche alla “sicurezza del personale”. Si tratta di un ambito molto ampio, ma dimostra anche che la gestione degli utenti è un aspetto importante della sicurezza informatica. La presa di mira degli utenti è un metodo centrale per i criminali informatici: il controllo degli accessi basato sui ruoli (identità di persone e macchine) utilizza diverse risorse e livelli di autorizzazione a seconda del ruolo del rispettivo utente. Ciò consente alle aziende di adottare un approccio di governance dell’identità in cui le politiche vengono sviluppate e implementate in modo proattivo utilizzando AI e ML. Allo stesso tempo, è possibile includere anche il contesto sia dell'utente che della risorsa a cui si accede. Ciò semplifica l’onere di gestione per i team IT e di sicurezza e può garantire che le vulnerabilità vengano mitigate prima che i criminali informatici possano sfruttarle.
“Approfondimenti in tempo reale sull’accesso degli utenti possono creare indicatori avanzati del livello di sicurezza dell’identità. Ciò è particolarmente vero per gli account senza proprietario o condivisi, gli account non disattivati o quelli con privilegi elevati. Aiuta anche con i diritti inutilizzati e l’accumulo di diritti di accesso che possono essere dannosi per l’azienda”, afferma Klaus Hild, Principal Identity Strategist presso SailPoint. “Ciò consente di identificare le situazioni ad alto rischio e di dare priorità alle azioni correttive. E l’uso dell’intelligenza artificiale aiuta a generare ulteriori approfondimenti e suggerimenti specifici per azioni correttive. Il risultato sono tempi di risposta significativamente più brevi e un livello di sicurezza complessivamente più elevato. Se si saprà di più sulla realtà dell’accesso, si potranno prendere decisioni migliori in materia di sicurezza IT”.
Maggiori informazioni su SailPoint.com
A proposito di SailPoint
SailPoint è leader nella sicurezza delle identità per l'impresa moderna. La sicurezza aziendale inizia e finisce con le identità e l'accesso ad esse, ma la capacità di gestire e proteggere le identità è ora ben oltre le capacità umane. Alimentata dall'intelligenza artificiale e dall'apprendimento automatico, la SailPoint Identity Security Platform offre il giusto livello di accesso alle giuste identità e risorse al momento giusto.