da alessandra lumina | Mar 11, 2024 | Uncategorized
La Direttiva Europea NIS2 nasce dalla consapevolezza di dover creare un sistema di cyber-sicurezza comune a tutti gli Stati membri, per aumentare la capacità di resilienza ed affrontare in maniera più efficiente ed efficace gli attacchi informatici.
Il presupposto della Direttiva NIS2 è che, in un ambiente sempre più interconnesso, le vulnerabilità di un elemento, possono ripercuotersi in maniera diretta e grave su tutti gli altri elementi del sistema.
Per questo, già nel 2016 era stata emanata la Direttiva NIS, con lo scopo di armonizzare i sistemi di sicurezza dei diversi Paesi. Dopo un’accurata revisione, era però risultato evidente che tale direttiva non rispondeva in modo adeguato al crescente numero e alla gravità degli attacchi informatici.
Secondo il Rapporto Clusit 2023 infatti, il numero di attacchi registrati a livello globale è cresciuto del 60% in 5 anni e l’80% degli attacchi rilevati nel 2022 hanno avuto impatti gravi o molto gravi, percentuale di quasi 30 punti superiori rispetto al dato del 2017.
Il 27 dicembre 2022 è stata quindi pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la Direttiva NIS2, con decorrenza 16 gennaio 2023.
Trattandosi di una Direttiva e non di un Regolamento, necessita di essere recepita da tutti gli Stati membri ed è per questo che è stato stabilito il termine del 18 ottobre 2024 per far sì che ogni Paese possa definire i piani nazionali per la sicurezza e le procedure necessarie per mettere in atto la Direttiva NIS2.
Ambito di applicazione
La Direttiva NIS2 definisce in modo chiaro i soggetti sottoposti al rispetto degli obblighi indicati.
Nello specifico fa un distinguo tra le aziende che operano nei Settori ad alta criticità, quali i fornitori di servizi essenziali tra cui energia, finanza, trasporti, infrastrutture, servizi sanitari, pubblica amministrazione e le aziende di Altri settori critici, tra cui i servizi postali, le aziende che producono e distribuiscono sostanze chimiche, le aziende che producono o distribuiscono prodotti alimentari, i fabbricanti di apparecchiature elettriche ed elettroniche e molti altri.
L’elenco completo è indicato negli Allegati 1 e 2 della Direttiva
La Direttiva stabilisce anche le dimensioni delle aziende soggette agli obblighi per le diverse tipologie di criticità.
Controllo catena fornitura
Importante notare che la Direttiva obbliga tutte le entità che ricadono nel perimetro di applicazione a garantire la sicurezza della loro catena di approvvigionamento, valutando le vulnerabilità specifiche di ogni fornitore diretto e vagliando quindi i fornitori anche sulla specifica rischiosità.
Ne deriva che il perimetro di applicazione, soprattutto in Italia, dove il tessuto industriale è composto da moltissime realtà piccole e piccolissime, si potrebbe allargare molto rispetto a quanto indicato nella Direttiva, poiché i fornitori dovranno a loro volta rivedere le loro politiche di cyber-sicurezza per mantenere i contratti coi clienti che ricadono nell’ambito di applicazione della Direttiva stessa
Obblighi e sanzioni
Sono diversi gli aspetti toccati dalla Direttiva.
Governance
Dal punto di vista della Governance, è previsto che gli organismi direttivi siano direttamente coinvolti nell’approvazione delle misure di sicurezza delle rispettive organizzazioni e che promuovano e partecipino essi stessi a percorsi di formazione periodica sulla cyber-sicurezza.
Il tema della sicurezza informatica non è più quindi di esclusiva competenza degli addetti ai lavori, ma diventa necessario, a breve obbligatorio, che anche i vertici aziendali siano parte attiva nella gestione della sicurezza.
Operatività
Dal punto di vista Operativo la Direttiva NIS2 definisce nello specifico alcune misure da adottare per limitare e fronteggiare i rischi informatici.
Tra queste l’autenticazione a più fattori, la crittografia, la formazione del personale, strategie di controllo dell’accesso e gestione dei varchi attivi, strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica. Sono inoltre indicate le misure necessarie per garantire la continuità operativa, quali i backup e i sistemi di ripristino.
È inoltre prescritto che le entità nel perimetro della Direttiva siano in grado di garantire il monitoraggio continuo del proprio livello di sicurezza informatica e l’adozione delle misure necessarie affinché i sistemi di sicurezza siano costantemente aggiornati sulla base delle possibili minacce esterne e interne.
Comunicazione
Dal punto di vista della Comunicazione, in caso di incidente significativo, la Direttiva prevede un chiaro iter di notifica alle autorità competenti:
- la trasmissione di un preallarme entro 24 ore da quando si viene a conoscenza dell’incidente,
- una successiva notifica entro 72 ore per aggiornare e completare le informazioni trasmesse col preallarme,
- una relazione finale ad un mese dalla notifica.
Sanzioni
Sono previsti controlli e sanzioni in caso di inadempienza, tuttavia la Direttiva lascia agli Stati membri la facoltà di legiferare in materia contestualmente all’iter di recepimento della Direttiva all’interno del proprio Ordinamento giuridico nazionale
La Direttiva NIS2 può essere vista dalle organizzazioni come un’opportunità per analizzare ed eventualmente rivedere il proprio sistema di cyber-sicurezza, al fine di garantire una maggiore sicurezza per tutto il sistema economico e sociale del nostro Paese
Cabar può offrire alle Aziende e alle Organizzazioni la competenza tecnica e organizzativa necessaria per prepararsi all’entrata in vigore della Direttiva NIS2.
da alessandra lumina | Ott 18, 2023 | Uncategorized
Smart working: quali strumenti utilizzare?
Sempre più aziende si stanno convincendo di quanto l’adozione di modalità di lavoro agile, con formule flessibili all’interno degli orari di lavoro, possa portare numerosi benefici tanto all’azienda quanto ai dipendenti.
Vantaggi e criticità dello smart working
Dare ai dipendenti la possibilità di alternare il lavoro in presenza con quello da remoto ha indubbie ricadute positive sul cosiddetto work-life balance, in quanto riduce il tempo necessario agli spostamenti nel traffico nelle ore di punta e permette ai lavoratori di organizzare meglio le giornate lavorative. Nel medio periodo, si ha un impatto a livello ambientale, riducendo le emissioni legate proprio ai percorsi casa-lavoro e riducendo necessariamente l’utilizzo di documenti stampati e quindi di carta e di cartucce di inchiostro.
Per le aziende c’è la concreta possibilità di ridurre i costi, riducendo gli spazi degli uffici e tutti gli oneri ad essi collegati e riducendo i rischi legati allo spostamento delle persone.
Di contro, alcune aziende temono in un calo della produttività – anche se alcuni studi sembrano dimostrare il contrario – legato prevalentemente alle difficoltà “tecniche” nell’implementazione dello smart working.
Per far sì che la qualità del lavoro sia slegata al luogo fisico in cui questo si svolge è necessario che le Aziende mettano a disposizione dei dipendenti tutte le attrezzature e le tecnologie più evolute, per garantire operatività, efficienza e sicurezza.
Strumenti per lo smart working
Connettività
La prima cosa che viene in mente pensando al lavoro da remoto è la connettività. Nelle principali città italiane la connessione ad Internet è di buona qualità grazie alla diffusione della tradizionale ADSL e, più recentemente della Fibra FTTH, tuttavia le aziende devono considerare anche la possibilità di fornire ai dipendenti SIM che possano garantire un traffico adeguato allo scambio di dati, qualora ci fosse la necessità di utilizzare il telefono aziendale come hotspot.
Sicurezza degli accessi
L’ingresso nella rete aziendale da remoto avviene tramite connessione Internet, è fondamentale quindi monitorare gli accessi, tramite strumenti che permettano la sincronizzazione e gestione degli account utente e delle credenziali e diritti di accesso a portali, programmi e applicazioni sia che si trovino sui server aziendali che in Cloud. Occorre inoltre gestire eventuali permessi per collaboratori esterni e consulenti aziendali, per garantire la piena operatività, tutelando la sicurezza aziendale. Dei sistemi di autenticazione e protezione abbiamo parlato qui https://www.cabar.com/sistemi-di-protezione-e-autenticazione/
Condivisione di dati e informazioni
Lo smart working si basa sulla possibilità che i documenti e gli archivi aziendali possano essere raggiungibili in qualsiasi momento e indipendentemente da dove si trovano fisicamente gli utenti che hanno i permessi di accesso. Questo significa avere spazi di condivisione dove i file possono essere caricati, archiviati, condivisi e modificati da più soggetti da remoto, garantendo la sincronizzazione delle variazioni e la sicurezza di ogni operazione. Di come coniugare mobilità e sicurezza nel file sharing, abbiamo parlato qui https://www.cabar.com/2023/05/file-sharing-coniugare-mobilita-con-sicurezza/
Sistemi di Web Conference
Non tutte le aziende sono in grado di organizzare web meeting e web conference in modo semplice e dinamico. La scelta del software e dell’hardware dipendono dalle specifiche esigenze aziendali. Oggi esistono numerosi sistemi di video-conferenza che permettono la condivisione di file, la partecipazione interattiva di tutti gli invitati, la pianificazione degli incontri e anche l’eventuale registrazione ed archiviazione delle sessioni. Cabar offre alle aziende tutti i tool necessari con un servizio di configurazione ed assistenza personalizzato. Maggiori dettagli sono disponibili qui https://www.cabar.com/cabar-web-meeting/
da Cabar | Ott 29, 2021 | Uncategorized
Con il termine “condivisione dei dati” il Support Centre for Data Sharing (SCDS) fa riferimento alla raccolta di pratiche, tecnologie, elementi culturali e quadri giuridici pertinenti alle transazioni in qualsiasi tipo di informazione digitale tra diversi tipi di organizzazioni.
La condivisione dei dati è una pratica che le persone, le organizzazioni e le pubbliche amministrazioni hanno sempre utilizzato ancora prima che i computer e le reti esistessero. Tuttavia nel corso dell’ultimo decennio i progressi nella tecnologia, nelle competenze digitali e nell’adattamento dei quadri legislativi al mondo del digitale hanno consentito di condividere dati più velocemente e facilmente.
Sostanzialmente sono tre i fattori che hanno incrementato le opportunità per la condivisione delle informazioni:
- L’aumento della disponibilità e della qualità dei dati e la facilità di accesso allo stoccaggio, al processo e al trasferimento.
- Il cambiamento culturale. Oggi i dati sono considerati sempre più come una risorsa su cui investire.
- Il coinvolgimento della politica nelle decisioni legislative riguardo al mondo del digitale, oggi più sensibile alle implicazioni che questo ha nella vita delle persone. La consapevolezza delle opportunità e dei rischi della condivisione dei dati è parte integrante della regolamentazione del settore. Questa regolamentazione non si limita, dunque, alla protezione dei dati e alla responsabilizzazione delle parti interessate, ma tende a regolare in maniera sempre più chiara cosa è legale e cosa non lo è, al fine di poter sfruttare al meglio le potenzialità del settore.
Ma quali sono i vantaggi della condivisione dei dati?
I vantaggi della condivisione dei dati
La combinazione dei fattori che hanno incrementato le opportunità per la condivisione delle informazioni, crea un quadro di grande potenziale per il data sharing.
Innanzitutto le aziende, le organizzazioni e le autorità pubbliche possono condividere più dati tra di loro in modo sempre più sicuro, equo, legittimo e rispettoso dei diritti delle parti coinvolte e degli individui a cui appartengono i dati.
La combinazione di dati provenienti da fonti diverse, inoltre, può aumentare l’efficienza e il valore dei servizi offerti. Questo consente anche di migliorare la ricerca e lo sviluppo nel settore per fornire prodotti e servizi all’avanguardia.
In aggiunta a ciò, la condivisione dei dati permette di creare uno spirito di collaborazione senza precedenti e di impostare un processo decisionale basato sui dati amplificandone l’impatto sociale.
Per questo Cabar si impegna da sempre a fornire ai propri clienti i migliori prodotti di data sharing e data management con soluzioni integrate complete adatte a ogni tipo di azienda e di settore.
da Cabar | Lug 6, 2021 | Uncategorized
Il Disaster Recovery è il piano operativo adottato da un’azienda per ripristinare l’accesso e la funzionalità della propria infrastruttura IT in seguito a eventi disastrosi naturali o causati dall’uomo come:
- Eventi naturali di seria gravità, come incendi, terremoti, alluvioni
- Attacchi informatici (cybercrime)
- Attacchi fisici, come furti e rapine
- Incidenti causati da errori umani di vario tipo
- Malfunzionamenti e danni generali
Un piano di Disaster Recovery può essere formato da diversi metodi e solitamente fa parte di un più ampio piano di Business Continuity.
Le aziende dovrebbero porsi una domanda molto importante: “Quanto ci costa un’ora di inattività?” E soprattutto: “È possibile ricordare e riprodurre il lavoro che i dipendenti (o i sistemi) hanno svolto nelle ultime ore?”. Il 95% delle aziende non è in grado di rispondere a queste domande.
OBIETTIVO DEL DRP
L’obiettivo del DRP è dunque quello di definire tutte le modalità di risposta efficaci a rispondere ai danni provocati da un disastro o da un’emergenza, in modo tale da minimizzarne gli effetti negativi sul business. Servirà inoltre a:
- Ridurre al minimo l’interruzione dell’operatività
- Limitare il danno e il suo impatto economico sull’impresa
- Definire modalità operative alternative
- Educare il personale in merito alle corrette misure di emergenza
- Offrire modalità di rapida ristorazione del servizio
IL BACKUP DEI DATI PUÒ BASTARE?
Uno dei metodi più utilizzati per tenere al sicuro dati e lavori è il semplice backup periodico dei database aziendali, in modo da poterlo riprodurre e riutilizzare su altre macchine in caso di perdita dei dati per qualsiasi motivo.
Tuttavia, in casi di emergenza, il backup è uno strumento insufficiente senza l’adozione di una soluzione di disaster recovery (DR) che permetta di ripristinare file, software e funzionalità.
In genere, una soluzione di questo tipo non si limita a ricopiare i dati nel sistema in cui si trovavano originariamente; se un server è inattivo, è necessario reinstallarlo, riconfigurarlo e persino sostituirlo. Con un backup, le virtual machine devono essere ricreate praticamente da zero, poiché i processi di backup non offrono funzionalità di automazione.
LE STRATEGIE DA ADOTTARE
In teoria tutte le aziende dovrebbero disporre di un Recovery Plan ben fatto, ma questo bisogno aumenta fortemente quando ci troviamo di fronte ad una organizzazione che dipende fortemente dai dati.
Sono cinque i requisiti indispensabili per il ripristino di emergenza di big data:
Backup da remoto
I backup off-site assicurano che i dati rimangano incolumi nel caso in cui un disastro fisico, come un incendio o una forte tempesta, distrugga l’infrastruttura di produzione. Una sorta di porto sicuro durante le emergenze.
Backup in loco
Il vantaggio dei backup dei dati in loco è che i dati possono spesso essere ripristinati più rapidamente dai server in loco rispetto ai siti remoti. Questo sempre se la struttura non sia stata danneggiata in ogni su parte.
Playbook per big data
Quando hai a che fare con un guasto imprevisto dell’infrastruttura, hai bisogno di un piano per guidare tutte le tue azioni mentre ripristini i dati. Un playbook è una serie di passaggi scritti in anticipo e che segui quando ti ripristini da un disastro. I tuoi playbook dovrebbero essere scritti per essere in qualche modo adattabili, ovviamente, a qualsiasi tipo di emergenza possa verificarsi.
Garantire il continuo afflusso di dati
Un disastro può distruggere la tua capacità di continuare a raccogliere i dati, ma non ne impedisce il flusso. Durante il ripristino di emergenza, è importante assicurarsi di mantenere l’acquisizione continua dei dati nella misura del possibile, anche se le operazioni di analisi vengono interrotte.
Strumenti di trasformazione dei dati
Lo spostamento dei dati dalle posizioni di backup ai server di produzione può richiedere molto tempo quando ci sono molti dati. Dovrai disporre di buoni strumenti di trasformazione dei dati a disposizione durante il ripristino di emergenza.
Assicurati che le posizioni di backup riescano a gestire la quantità di nuovi dati che verranno generati durante il tempo necessario per ripristinare le operazioni.
COME METTERE IN PRATICA TUTTI QUESTI PASSAGGI?
Noi di Cabar ti proponiamo una soluzione in grado di far fronte non solo al grande problema del Disaster Recovery, ma anche alla gestione di tutta l’infrastruttura IT.
Per fornire ai nostri clienti un servizio completo e di altissima qualità, dotato di un efficace meccanismo di protezione dei dati e disaster recovery veloce ti offriamo Syneto, la prima infrastruttura iperconvergente (ibrida o all-flash) all-in-one che unisce alla tradizionale combinazione di applicazioni virtuali, networking e storage di dati le funzioni di Disaster Recovery, File Recovery e meccanismi di protezione dati attivi 24/7.
È stato progettato per la gestione dei dati, l’implementazione delle applicazioni virtuali, la fruibilità e le sfide del data recovery.
L’obiettivo è quello di offrire tutti i servizi IT di cui un’azienda ha bisogno racchiusi un’unica unità plug-and-play alimentata dall’ultima versione di SynetoOS.
Per i nostri clienti sempre il meglio!
