Analisi del NIST Cybersecurity Framework 2.0
Il NIST cybersecurity framework (CSF) aiuta le organizzazioni a migliorare la gestione del rischio utilizzando un linguaggio comune che si concentra sui fattori di business per migliorare la cybersecurity.
Il NIST CSF 1.0 è stato rilasciato nel febbraio 2014 e la versione 1.1 nell'aprile 2018. Nel febbraio 2024, il NIST ha rilasciato la sua ultima iterazione del CSF: 2.0. Il percorso verso CSF 2.0 è iniziato con una richiesta di informazioni (RFI) nel febbraio 2022. Nei due anni successivi, il NIST ha coinvolto la comunità della cybersecurity attraverso analisi, workshop, commenti e revisioni di bozze per perfezionare gli standard esistenti e creare un nuovo modello che rifletta le sfide di sicurezza in evoluzione.
Sebbene il nucleo del CSF rimanga lo stesso, la nuova versione presenta diverse aggiunte degne di nota. Ecco cosa devono sapere le aziende sul nuovo framework, come influisce sulle operazioni e come i team IT possono applicare efficacemente la versione 2.0 di CSF alle operazioni quotidiane.
La prima è l'introduzione della funzione "Govern", che è alla base di tutte e cinque le funzioni del framework NIST originale: Identificare, Proteggere, Rilevare, Rispondere e Recuperare. Come indicato dalla documentazione originale CSF 1.0, "queste funzioni non sono destinate a formare un percorso seriale o a condurre a uno stato finale statico desiderato. Piuttosto, le funzioni possono essere svolte contemporaneamente e continuamente per formare una cultura operativa che affronti il rischio dinamico di sicurezza."
Di conseguenza, le funzioni sono spesso rappresentate come un cerchio a cinque segmenti che circonda il framework CST. Ogni funzione conduce alla successiva e nessuna è indipendente dalle altre.
NIST CSF 2.0 mantiene queste funzioni ma aggiunge Govern come anello interno completo posizionato sotto le cinque funzioni esterne. Govern si concentra sulla garanzia che le altre funzioni siano in linea con le esigenze aziendali, siano regolarmente valutate dalle operazioni e gestite dai dirigenti della sicurezza.
In altre parole, Govern punta a portare la leadership nel dibattito sulla sicurezza. Anche se questo sta già accadendo nella maggior parte delle aziende, CSF 2.0 lo rende una priorità.
Newsletter di settore
Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti
Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e oltre con la newsletter Think. Leggi l' Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.
Le prime due versioni del CSF hanno dato priorità alle infrastrutture critiche. Sebbene altre industrie e agenzie abbiano adottato il framework, esso è stato principalmente progettato per ridurre l'impatto degli incidenti di cybersecurity nel settore critico.
Tuttavia, l'ampia adozione del framework ha chiarito che le pratiche e i processi si applicano alle organizzazioni pubbliche e private in tutti i settori e industrie. Di conseguenza, il NIST CSF 2.0 offre best practice ampliate, ampiamente applicabili a imprese di qualsiasi dimensione e tipo.
Ad esempio, il nuovo CSF raccomanda a tutte le aziende di creare profili organizzativi che descrivano i livelli di cybersecurity attuali e mirati. Questo permette alle aziende sia di fissare obiettivi sia di definire le pratiche necessarie per raggiungerli. Il nuovo framework evidenzia anche il ruolo dei profili comunitari. Questi profili sono creati per rispondere agli interessi e agli obiettivi comuni di cybersecurity di più organizzazioni che operano lo stesso settore o sottosettore, utilizzano tecnologie simili o affrontano tipi di minaccia simili.
Concentrandosi su una governance migliorata e su best practice ampliate, il nuovo NIST CSF aiuta le aziende a migliorare la sicurezza e a ridurre i rischi. Per implementare efficacemente questo framework, le organizzazioni traggono vantaggio da un approccio a quattro fronti.
1. Utilizzare le raccomandazioni e le risorse disponibili
L’ampliamento dell’ambito e della portata della CSF 2.0 può rendere difficile per le imprese di qualsiasi dimensione implementare efficacemente nuove raccomandazioni. Per le aziende più piccole, un supporto IT limitato può influire sullo sviluppo di nuove pratiche, mentre le organizzazioni più grandi potrebbero avere difficoltà a gestire la complessità dei loro ambienti IT.
Per semplificare il processo, le aziende devono sfruttare al meglio le risorse disponibili, come:
2. Coinvolgere i leader
Il passo successivo è coinvolgere i leader. Sebbene il CSF 2.0 sia stato progettato pensando alla governance e alla supervisione, molti dirigenti non tecnici dei vertici aziendali possono avere una conoscenza limitata del framework e del suo impatto. Di conseguenza, è una buona idea che i leader IT, come CTO, CIO e CISO, e i loro team si incontrino con i membri del consiglio di amministrazione e discutano dell'impatto di CSF 2.0. Questa è anche un'opportunità per garantire che obiettivi aziendali e strategie di sicurezza siano allineati.
Inoltre, questi incontri offrono l'opportunità di definire metriche chiave di sicurezza, determinare come verranno raccolte e creare un programma dettagliato per la raccolta, la segnalazione e l'azione. Coinvolgendo i leader nella conversazione sin dall'inizio dell'implementazione del CSF, le aziende hanno posto le basi per una visibilità sostenuta.
3. Valutare le partnership esterne
Come parte della nuova funzione Govern, CSF 2.0 include nuove sottosezioni sulla gestione dei fornitori. Per esempio, GV. SC-04 si concentra sulla conoscenza e la priorità dei fornitori in base alla loro criticità per le operazioni, mentre GV. SC-06 parla della pianificazione e della due diligence richieste prima di entrare in rapporti con terzi. Infine, la sottosezione GV. SC-10 può aiutare le aziende a pianificare la cessazione di un rapporto con fornitori o partner.
Dato il rischio crescente e l'impatto del compromesso da parte di terze parti, queste valutazioni sono critiche. Se i fornitori o i venditori con accesso ai dati aziendali critici sono compromessi a causa di pratiche di cybersecurity inadeguate, le organizzazioni sono a rischio, indipendentemente dalla loro conformità al CSF 2.0.
4. Implementare strumenti di gestione e monitoraggio
Per supportare tutte e cinque le funzioni esistenti e fornire i dati necessari a informare le nuove iniziative di governance, le aziende hanno bisogno di strumenti di gestione e monitoraggio in grado di rilevare potenziali minacce, tracciare indicatori di compromissione (IOC) e agire per ridurre il rischio totale.
Ad esempio, gli strumenti di threat intelligence possono aiutare le organizzazioni a individuare schemi di attacco e obiettivi comuni, fornendo così ai team i dati necessari per creare e implementare contromisure efficaci. Questi dati aiutano anche a collegare la spesa per la sicurezza a risultati aziendali misurabili.
Sebbene CSF 2.0 sia la versione più recente del framework di cybersecurity del NIST, non è l'ultima. Come osservato dal NIST, il framework è progettato come un documento vivente che si evolve per rispondere alle esigenze emergenti di cybersecurity e aiutare le aziende a navigare in ambienti di minaccia in evoluzione.
In pratica, ciò significa passare dalle best practice alle pratiche comuni. Ad esempio, mentre le versioni 1.0 e 1.1 fornivano le migliori pratiche per infrastrutture critiche, la versione 2.0 le include come pratiche comuni per tutte le organizzazioni, definendo una nuova best practice: la governance. Col tempo, questa pratica diventerà comune, preparando il terreno per ulteriori sviluppi che aiuteranno le organizzazioni a migliorare la scoperta delle minacce, migliorare la risposta agli incidenti e ridurre il rischio totale.