Il numero di attacchi ransomware è in continuo aumento. Secondo il rapporto Thales Data Threat 2024, il numero di aziende vittime è cresciuto del 27% nell'ultimo anno. Il 93% dei professionisti IT ritiene infatti che la minaccia si stia aggravando rispetto al 47% dell'anno precedente. La ragione? Mancata compliance.
Il 43% delle imprese ha fallito un audit di compliance negli ultimi 12 mesi. Di queste, il 31% ha subito una violazione nello stesso anno — un dato significativo se consideriamo che solo il 3% di coloro che hanno superato gli audit è caduto vittima di data breach.
Nel contesto della sicurezza dei dati, compliance significa ridurre al minimo i rischi, proteggere i dati sensibili e soddisfare gli standard di settore. È un aspetto critico della gestione delle informazioni e svolge un ruolo centrale nella strategia generale di cybersecurity di un'organizzazione.
Tuttavia, essa si rivela una sfida ardua per numerose organizzazioni a causa del complesso panorama normativo. Tra NIS2, GDPR e ISO, le aziende si trovano costrette a navigare un intricato labirinto regolamentare che complica l’ottemperanza alle normative ed espone le aziende ad attacchi ogni giorno più pericolosi.
NIS2, GDPR, ISO: il problema della compliance
NIS2
La Direttiva NIS2, adottata dall'Unione Europea a gennaio 2023, ha l'obiettivo di migliorare la cybersicurezza e la resilienza nelle organizzazioni dell'UE, ampliando la sua applicazione a settori più numerosi e assicurando l'uniformità nell'attuazione nelle legislazioni nazionali entro il 17 ottobre 2024. Introduce due nuove categorie di soggetti, essenziali e importanti e si estende a vari settori e a organizzazioni pubbliche e private.
Le organizzazioni devono adottare un approccio multirischio per la sicurezza dei sistemi e delle reti, collaborare con le autorità regolatorie e seguire le migliori pratiche del settore (scarica qui la Guida alla Compliance 2024) per garantire la conformità. La mancata compliance comporta sanzioni pecuniarie fino a 10 milioni di euro o il 2% del fatturato annuo globale per i soggetti essenziali, e fino a 7 milioni di euro o l'1,4% per i soggetti importanti.
GDPR
Il GDPR, in vigore dal maggio 2018, mira alla protezione della privacy e dei dati personali dei cittadini europei, richiedendo alle organizzazioni una gestione proattiva dei dati e l'adozione di principi come la responsabilità e la privacy by design. Estende i diritti degli individui sul proprio dato personale e stabilisce regole stringenti per il trasferimento di dati fuori dall'UE, con elevate sanzioni per la non conformità.
Per aderire al GDPR, le organizzazioni devono seguire principi chiave di trattamento dei dati e selezionare fornitori di servizi cloud che assicurino elevati standard di sicurezza e privacy. Il regolamento impone rigorose norme di protezione dei dati per le organizzazioni che operano nell'UE o trattano dati di cittadini UE, prevedendo sanzioni per chi non si adegua che arrivano a 20 milioni di euro o il 4% del fatturato globale.
Le organizzazioni devono aderire a principi fondamentali quali liceità, trasparenza, minimizzazione ed esattezza dei dati, limitazione della loro conservazione, oltre a garantire l'integrità, la riservatezza e la responsabilità nella gestione dei dati personali.
ISO/IEC
L'ISO/IEC 27001:2022 è uno standard internazionale che definisce i criteri per l'implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS), volto a proteggere dati, gestire rischi e implementare politiche e procedure di sicurezza in un'organizzazione.
La certificazione ISO 27001 dimostra che l'entità ha adottato misure efficaci per la sicurezza delle informazioni. Questa norma si applica a qualsiasi organizzazione che desideri assicurare la protezione delle informazioni sensibili, enfatizzando la sicurezza fisica e logica, la sicurezza nel software, la codifica e la gestione dell'hardware.
La mancata conformità può portare a danni alla reputazione, responsabilità contrattuali, multe salate e perdita di opportunità di business. Per ottenere la conformità e la certificazione ISO 27001, le organizzazioni devono sottoporsi a un audit da parte di enti di certificazione indipendenti. Per rafforzare la protezione e la gestione dei dati personali nel cloud, esse possono inoltre considerare ulteriori certificazioni specifiche per la sicurezza, come ISO 27017 e ISO 27018.
Clicca qui per scaricare la Guida alla Compliance GDPR e NIS2.
La strategia di Cubbit: compliance e geo-distribuzione
Fondato a Bologna nel 2016, Cubbit è il primo cloud geo-distribuito d'Europa. Ad oggi l'azienda conta oltre 250 organizzazioni clienti nel continente, tra cui Amadori, numerose pubbliche amministrazioni, il gigante della difesa Leonardo e quello della cybersecurity francese Exclusive Networks.
Ciò che contraddistingue Cubbit è la sua architettura geo-distribuita. A differenza del cloud tradizionale, che centralizza i dati in pochi data center vulnerabili, Cubbit cifra, frammenta e replica i dati in molteplici nodi di una rete geo-distribuita intrinsecamente resistente agli attacchi esterni.
Grazie al geofencing, l’utente può posizionare i propri nodi dove desidera e geo-delimitare con massima precisione l’area in cui i propri dati sono custoditi. Così facendo, Cubbit risponde alle preoccupazioni specifiche delle nazioni in materia di sovranità digitale, aiutando le organizzazioni a rispettare tutti i requisiti di conformità (NIS2, GDPR, ISO) e garantendo al contempo iper-resilienza contro ransomware e disastri naturali.
A riprova del suo impegno per la conformità alle normative, Cubbit si sottopone ad auditing periodici da parte di organismi indipendenti e vanta le certificazioni ISO 9001:2015, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, oltre al Cybersecurity Made in Europe Label. Ha inoltre ottenuto la qualifica ACN (ex AgID) e l'abilitazione sulla piattaforma MePa.
Altro vantaggio unico della geo-distribuzione è la sicurezza. Grazie alla sua architettura geo-distribuita, Cubbit riesce infatti a garantire una durabilità dei dati fino a 15 9, la più alta sul mercato. Questo si traduce in una probabilità di perdita dei dati pari a 1 su 1 milione di miliardi, corrispondente a un rischio diecimila volte inferiore rispetto agli standard di settore.
Cubbit inoltre contrasta ransomware e attacchi hacker tramite il supporto di object lock e versioning, funzionalità avanzate del protocollo S3. Il primo, object lock, permette all'utente di congelare i propri file rendendo qualsiasi modifica o cancellazione impossibile, sia essa dovuta ad attacchi hacker o errore umano. Il secondo, versioning, agisce come una vera e propria time capsule. Grazie al versioning infatti l'utente può salvare più versioni dello stesso file di modo che, in caso un ransomware renda inaccessibile un file, egli possa sempre accedere a una versione alternativa.
Cubbit è inoltre un campione di flessibilità. La piattaforma è infatti compatibile con qualsiasi client dell'ecosistema S3, la qual cosa permette all'utente di iniziare subito a lavorare senza dover apprendere nuovi software.
Per maggiori informazioni, visita il sito web e inizia una prova gratuita.