Sovranità della sicurezza informatica: ripensare la sicurezza in un'era geopolitica (Parte 5)

Nelle prime quattro parti di questa serie abbiamo esplorato la sovranità dell'IT dalle fondamenta in su: i fattori geopolitici e normativi, il livello infrastrutturale, il livello cloud e la crescente sfida della sovranità nell'intelligenza artificiale. Ogni livello ha rivelato la stessa tensione di fondo − come trarre vantaggio dagli ecosistemi digitali globali senza cedere il controllo.

In nessun luogo questa tensione è più acuta che nella sicurezza informatica. La sicurezza è diventata profondamente guidata dalla piattaforma. L'identità viene sempre più fornita “come servizio.” Il rilevamento delle minacce è basato sull'analisi del cloud. La risposta agli incidenti dipende dalle pipeline di telemetria, dai canali di aggiornamento e dall'intelligence gestita dal fornitore.

E questo solleva una nuova domanda a livello di consiglio: se il tuo stack di sicurezza è gestito − parzialmente o interamente − sotto l'autorità legale straniera, chi controlla realmente la tua difesa?

La sovranità sulla sicurezza informatica non consiste nel rifiutare gli strumenti di sicurezza globali. Si tratta di garantire che gli elementi di sicurezza più sensibili − identità, telemetria, chiavi e autorità di risposta − rimangano regolati alle tue condizioni.

Cosa significa realmente sovranità sulla sicurezza informatica

La sovranità sulla sicurezza informatica è la capacità di un'organizzazione di proteggere le proprie risorse digitali mantenendo il controllo su:

• Sistemi di identità: autenticazione, accesso privilegiato e controllo amministrativo
• Telemetria di sicurezza: registri, avvisi, dati di endpoint/rete e artefatti di incidenti
• Chiavi crittografiche: crittografia e gestione delle chiavi che impedisce accessi indesiderati
• Operazioni di sicurezza: capacità di rilevare, contenere e ripristinare senza dipendenza esterna

In termini pratici, ciò significa che la tua posizione di sicurezza non dovrebbe essere indebolita da trattamenti opachi da parte di terzi, esposizione legale transfrontaliera o interruzione del servizio al di fuori del tuo controllo.

Perché la sicurezza informatica è diventata un punto critico della sovranità

La sovranità in materia di sicurezza informatica è passata dall'essere una preoccupazione di nicchia a una priorità strategica per tre motivi.

1) I dati di sicurezza sono tra i tuoi dati più sensibili Le moderne piattaforme di rilevamento raccolgono una ricca telemetria − che spesso include identificatori utente, metadati del dispositivo, dettagli di configurazione e artefatti forensi. Nel complesso, questo può rivelare come opera un'organizzazione e dove è vulnerabile. L'invio di questa telemetria in ambienti controllati esternamente può creare un'esposizione involontaria.

2) La conformità si sta spostando da “buone pratiche” a obbligo esecutivo Nell'Unione Europea, NIS2 ha ampliato e rafforzato i requisiti di sicurezza informatica in settori critici e importanti, con particolare attenzione alla gestione del rischio e alla sicurezza della supply chain. Stati membri’ la scadenza per il recepimento era il 17 ottobre 2024 e NIS2 ha sostituito il quadro NIS originale dal 18 ottobre 2024 (vedere anche: Strategia digitale)

Parallelamente, i sistemi di certificazione della sicurezza dell’UE si stanno espandendo. L'EUCC (schema di certificazione della sicurezza informatica dell'UE basato su criteri comuni) è stato adottato ed è operativo. (vedere anche: certification.enisa.europa.eu)

3) La dipendenza dalla sicurezza informatica è una dipendenza operativa Se una piattaforma di identità controllata dall'estero fallisce, la tua forza lavoro potrebbe essere bloccata. Se una pipeline di monitoraggio basata su cloud viene interrotta, potresti perdere visibilità esattamente quando ne hai più bisogno. La sovranità nella sicurezza non riguarda quindi solo la riservatezza, ma anche la continuità.

I rischi dei modelli di sicurezza non sovrani

La sovranità della sicurezza informatica si comprende meglio attraverso categorie di rischio concrete.

Esposizione della telemetria di sicurezza Se i registri e gli artefatti degli incidenti vengono elaborati in ambienti soggetti a giurisdizione straniera, le organizzazioni potrebbero dover affrontare esposizione legale, problemi di riservatezza o complicazioni normative − soprattutto quando la telemetria contiene dati personali o informazioni aziendali sensibili.

Dipendenza da identità e accesso Molte aziende si affidano a piattaforme IAM gestite a livello globale per l'autenticazione e il controllo degli accessi. Questi servizi sono potenti − ma rappresentano un singolo punto di errore. La sovranità richiede di garantire che l’identità rimanga resiliente e controllabile in scenari di stress.

Rischio chiave di custodia La crittografia protegge la sovranità solo se l'azienda controlla le chiavi. Se la gestione delle chiavi è governata esternamente, il vantaggio in termini di sovranità risiede nelle richieste di accesso legale.

Esposizione della catena di fornitura e del canale di aggiornamento I prodotti di sicurezza non sono neutrali. Fanno parte di una catena di fornitura. L'ubicazione del fornitore, la governance e i meccanismi di aggiornamento sono importanti − perché lo stack di sicurezza stesso può diventare un percorso di compromissione o coercizione.

Strategie per raggiungere la sovranità della sicurezza informatica

Le moderne architetture di sicurezza possono bilanciare l’innovazione globale con il controllo sovrano. Quattro strategie modellano costantemente programmi di sovranità maturi.

1) Mantieni la telemetria sensibile sotto il tuo controllo giurisdizionale Non tutti i dati di sicurezza devono essere trattati allo stesso modo. Molte aziende adottano un modello a più livelli:

• I registri ad alta sensibilità e gli artefatti incidenti rimangono locali o ospitati da sovrani
• Indicatori aggregati e segnali anonimizzati possono essere condivisi per analisi e benchmarking

Il punto essenziale è la chiarezza: dove va la tua telemetria, chi può accedervi e in base a quali leggi?

2) Controllare le chiavi di crittografia end-to-end Le chiavi gestite dal cliente e i moduli di sicurezza hardware (HSM) gestiti localmente sono tra le misure di sovranità più efficaci. L'obiettivo è semplice: anche esternamente, rimane illeggibile senza chiavi controllate dall'azienda.

3) Progettare la resilienza dell'identità

La sovranità sulla sicurezza informatica non richiede l'abbandono della moderna gestione delle identità e degli accessi (IAM) − , ma richiede misure di salvaguardia, quali:

• Architettura di identità resiliente (inclusi percorsi di accesso di emergenza
• Governance rigorosa dei ruoli di amministratore privilegiato
• Supervisione locale delle operazioni di identità per ambienti critici

4) Ridurre l'esposizione al singolo fornitore e alla singola giurisdizione La sovranità non è solo “UE vs extra-UE.” Riguarda anche il rischio di concentrazione. La difesa multistrato migliora la resilienza quando:

• i fornitori cambiano i termini
• il rischio geopolitico si intensifica
• un fornitore subisce un incidente sistemico

L'attenzione di NIS2’ al rischio dei fornitori e dei prestatori di servizi rende questa diversificazione strategica sempre più rilevante. (vedi anche: Strategia digitale)

Quando la sovranità sulla sicurezza informatica è fondamentale − e quando è facoltativa?

La sovranità sulla sicurezza informatica è fondamentale quando:

• L'organizzazione opera in un settore regolamentato o critico con rigorosi obblighi di resilienza (Nota: l'ambito NIS2 è più ampio di quanto molti si aspettino, vedere anche: Strategia digitale)
• La telemetria comprende dati personali, dati regolamentati o informazioni operative sensibili
• È probabile che i sistemi di sicurezza siano presi di mira da attori a livello statale o esposti a un’escalation geopolitica
• L'identità e la gestione delle chiavi sono alla base della continuità aziendale essenziale

La sovranità sulla sicurezza informatica può essere più flessibile quando:

• Gli strumenti di sicurezza sono di qualità commerciale e non esportano telemetria sensibile
• I dati sono resi anonimi, ridotti al minimo o fortemente crittografati
• L'organizzazione mantiene il pieno controllo delle chiavi, dell'accesso amministrativo e dell'autorità di risposta

In breve: la sovranità è più importante laddove la perdita di controllo creerebbe conseguenze legali, operative o di sicurezza inaccettabili. È meno critico laddove la dipendenza è a basso rischio e le mitigazioni sono forti.

Dipendenze estere accettabili

Una strategia pratica di sovranità non richiede l’eliminazione di tutta la tecnologia straniera. La maggior parte delle aziende continuerà a utilizzare fornitori di sicurezza globali − perché l’intelligence sulle minacce globali, le capacità di rilevamento e la ricerca e sviluppo sulla sicurezza sono intrinsecamente internazionali.

La distinzione fondamentale è il controllo dei dati sensibili e il controllo delle funzioni critiche.

Molte organizzazioni accettano quindi strumenti stranieri quando:

• la telemetria sensibile rimane localizzata o protetta
• le chiavi di crittografia sono controllate dall'azienda
• l'accesso amministrativo è limitato e verificabile
• il rischio del fornitore è valutato e regolato contrattualmente

Questa è la posizione di sovranità che si adatta: proteggere ciò che deve rimanere sovrano e utilizzare ecosistemi globali laddove ciò non comprometta il controllo.

La domanda essenziale

La sicurezza informatica è spesso trattata come un livello tecnico dell'IT. Ma in termini di sovranità, è qualcos'altro: il piano di controllo della fiducia.

Se la tua identità, la tua telemetria e la tua autorità di risposta possono essere influenzate − o esposte − al di fuori dei confini legali e operativi da te scelti, controlli davvero la tua sicurezza?

Cosa verrà dopo?

Nella prossima parte di questa serie esamineremo la sovranità della rete − dove il routing, le dipendenze di connettività e il trasporto crittografato determinano quanto in modo affidabile (e sotto la cui influenza) i dati possono essere spostati.



Image: AdobeStock modificato con IA