TECNOLOGIA, INTERNET TRENDS, GAMING, BIG DATA
Syrus Blog

Cambiamento epocale nelle norme sulla sicurezza Informatica

Cambiamento epocale nelle norme sulla sicurezza Informatica

15/11/2023

By auroraoddi

Con l’azione legale della Securities and Exchange Commission (SEC) contro SolarWinds per informazioni fuorvianti sulla sicurezza informatica, si è verificato non solo un clamore mediatico, ma anche un evento storico. Il caso rappresenta un cambiamento epocale nelle aspettative normative e nell’applicazione delle norme sulla sicurezza informatica, in particolare per le aziende pubbliche e i fornitori del governo.

Le organizzazioni che gestiscono dati sensibili si trovano ora di fronte a una nuova era di responsabilità e controllo, in cui il rispetto dei requisiti minimi obbligatori in materia di sicurezza informatica è considerato essenziale per il dovere di diligenza e, per i fornitori federali, per la sicurezza nazionale.

Nuove aspettative per i chief Information Security Officers (CISOs)

Concretamente, ciò significa che i Chief Information Security Officers (CISOs) delle società quotate in borsa dovranno essere molto più attenti e documentati nella progettazione, implementazione e gestione dei loro programmi di sicurezza informatica. Similmente alle dichiarazioni rese, ai rapporti generati e alle opinioni emesse dai direttori finanziari, i CISOs hanno ora un peso simile sulle loro spalle. Alcuni potrebbero accogliere questa novità con favore, poiché da anni chiedono di essere considerati parte integrante del processo decisionale. È una buona e una cattiva notizia: avete ottenuto il vostro posto al tavolo, ma ora avete anche delle responsabilità.

I fornitori federali e la conformità alla sicurezza informatica

I fornitori federali del Dipartimento della Difesa (DoD) sono in attesa di vedere fino a che punto il governo è disposto ad andare per far rispettare la conformità alla sicurezza informatica. Il DoD ha richiesto agli appaltatori principali e subappaltatori della base industriale della difesa di attestare autonomamente i loro livelli di sicurezza informatica, inserendo i punteggi di conformità in un database federale. Uno studio condotto da Merrill Research ha rilevato che solo il 36% degli appaltatori ha fornito tali punteggi, una diminuzione del 10% rispetto al rapporto inaugurale dell’anno scorso.

Rischi associati alla mancata conformità

Alcune aziende hanno adottato l’approccio di inserire semplicemente punteggi perfetti, sapendo che non c’era un programma attivo da parte del governo per convalidare i punteggi dichiarati e quindi nessuna conseguenza per la segnalazione inaccurata del rischio informatico. Questo caso della SEC mette immediatamente sotto i riflettori le società quotate in borsa che operano nella base industriale della difesa, e ci sono molti rischi legali aggiuntivi se non segnalano correttamente la conformità ai mandati esistenti in materia di sicurezza informatica.

Esempi di violazioni e conseguenze

Lo scorso estate, ad esempio, Aerojet Rocketdyne ha accettato di pagare 9 milioni di dollari per risolvere una causa ai sensi del False Claims Act, in cui il Dipartimento di Giustizia ha affermato che l’azienda ha falsamente rappresentato la propria situazione di sicurezza. Lo studio di Merrill Research ha mostrato che molti appaltatori semplicemente non pensano di dover rispettare le norme, nonostante abbiano firmato contratti lucrativi che li obbligano a farlo.

Ad esempio, solo il 19% dei soggetti coinvolti ha implementato soluzioni di gestione delle vulnerabilità e solo il 25% dispone di soluzioni di backup IT sicure, entrambe richieste dal DoD. Tuttavia, il 40% va oltre quanto richiesto dalla legge e nega esplicitamente l’uso dei prodotti Huawei Technologies, che la Federal Communications Commission (FCC) ha designato come un rischio per la sicurezza nazionale.

Conseguenze legali e finanziarie

L’incapacità di ottenere la conformità o la rappresentazione inaccurata della situazione di sicurezza può portare alla perdita di contratti governativi attuali e futuri, un duro colpo per il fatturato e il valore degli azionisti. Tuttavia, i danni si estendono ben oltre le conseguenze legali e finanziarie. Per gli appaltatori, una scarsa sicurezza informatica potenzialmente espone tecnologie critiche americane, sistemi d’arma e altri asset di sicurezza nazionale a sofisticati avversari stranieri come la Cina, la Russia, l’Iran e la Corea del Nord. La vita e il futuro della geopolitica sono in gioco.

L’urgenza di una maggiore sicurezza informatica

L’attacco ransomware del gruppo LockBit alla Boeing sottolinea l’urgenza di una maggiore sicurezza informatica per gli appaltatori, in un contesto di requisiti di sicurezza informatica più rigorosi. La realtà è che avversari determinati e sofisticati cercano costantemente di accedere a dati sensibili governativi e commerciali, e anni di partnership pubblico-privato sono stati dedicati allo sviluppo dei requisiti di sicurezza informatica che rappresentano il nostro miglior strumento per proteggere tutte queste informazioni.

L’impatto del programma CMMC 2.0

Una legge federale in sospeso, il programma Cybersecurity Maturity Model Certification (CMMC) 2.0, avrà presto un impatto su centinaia di migliaia di appaltatori del DoD, imponendo e verificando la conformità ai requisiti minimi obbligatori in materia di sicurezza informatica presenti in oltre un milione di contratti che risalgono a quasi un decennio fa. Nel peggiore dei casi, se un appaltatore della difesa quotato in borsa viene trovato inadempiente a un audit di conformità, ma ha precedentemente dichiarato la piena conformità, è ora soggetto a un’azione da parte della SEC.

L’importanza della sicurezza informatica come priorità aziendale

L’era in cui era sufficiente spuntare delle caselle per dimostrare la conformità senza un impegno serio per la sicurezza è finita. La SEC ha dimostrato che le società quotate in borsa, e persino singoli dirigenti, saranno ora ritenuti responsabili della sicurezza informatica ai sensi della legge e per la sicurezza nazionale. Misure incomplete e tentativi di celare la situazione esporranno le organizzazioni a responsabilità sostanziali.

Per proteggere i dati degli stakeholder, gli investimenti, la fiducia e il vantaggio competitivo, i dirigenti devono fare della sicurezza informatica una priorità assoluta. Il governo ha inviato un messaggio inequivocabile: non è più disposto ad adottare un approccio di “fidarsi, ma non verificare“.

Syrus

Network Syrus

lang-it
syrus.blog
lang-us
syrus.today
lang-fr
syrus.dev
lang-es
syrus.es
lang-br
syrus.com.br
lang-jp
syrus.jp
lang-ru
syrus.com.ru
lang-ae
syrus.ae
lang-de
syrus.online
lang-el
syrus.gr
lang-ro
syrus.ro
lang-heb
syrus.co.il

Categorie

  • 4W4I
  • AI
  • Amazon
  • Android
  • Apple
  • Automotive
  • Blockchain
  • ChatGPT
  • Come Fare
  • Cyber Security
  • Facebook
  • Gioco del Mese
  • Google
  • Informatica
  • Instagram
  • Internet News
  • Internet of Things
  • iPhone
  • NASDAQ
  • Netflix
  • Retrogaming
  • Silicon Valley
  • Smartphone e cellulari
  • Startupper
  • Storie di Crowdfunding
  • TikTok
  • Videogiochi
  • WhatsApp
  • Windows
  • YouTube

    • Directories

  • Software
  • Ahrefs
  • Semrush
  • visme.com
  • Writesonic.com
  • Ling
  • chatbase.co
  • VPN
  • Express VPN
  • NordVPN
  • PureVPN
    • %d

    Theme By Syrus