Che cos'è il NIST Cybersecurity Framework?

Il National Institute of Standards and Technology (NIST) è un'agenzia di tipo non normativo che favorisce l'innovazione promuovendo la scienza, gli standard e la tecnologia di misurazione.

Il NIST CSF è così flessibile da riuscire a integrarsi con i processi di sicurezza esistenti all'interno di qualsiasi organizzazione, in qualsiasi settore. Fornisce un ottimo punto di partenza per implementare la sicurezza delle informazioni e la gestione dei rischi di cybersecurity praticamente in qualsiasi organizzazione del settore privato negli Stati Uniti.

Il 12 febbraio 2013 è stato emesso l'Ordine Esecutivo (EO) 13636 "Improving Critical Infrastructure Cybersecurity" che ha dato inizio al lavoro del NIST con il settore privato statunitense per "identificare gli standard di consenso volontario esistenti e le best practice per integrarle in un framework di cybersecurity." Il risultato di questa collaborazione è stato il NIST Cybersecurity Framework versione 1.0.

Il Cybersecurity Enhancement Act (CEA) del 2014 ha ampliato gli sforzi del NIST nello sviluppo del Cybersecurity Framework. Oggi, il NIST CSF rimane uno dei framework di sicurezza più adottati in tutti i settori statunitensi.

Il NIST Cybersecurity Framework include funzioni, categorie, sottocategorie e riferimenti informativi.

Le funzioni forniscono una panoramica generale dei protocolli di sicurezza e della best practice. Le funzioni non sono concepite come fasi procedurali, ma vengono eseguite "contemporaneamente e continuamente per formare una cultura operativa che affronti il rischio di cybersecurity". Le categorie e le sottocategorie forniscono piani d'azione più concreti per reparti o processi specifici all'interno di un'organizzazione.

Alcuni esempi di funzioni e categorie NIST includono:

• Identificare: per dare protezione dagli attacchi informatici, il team di cybersecurity deve conoscere a fondo i asset e le risorse più importanti dell'organizzazione. La funzione di identificazione comprende categorie come la gestione degli asset, l'ambiente aziendale, la governance, la valutazione del rischio, la strategia di gestione dei rischi e la gestione del rischio della supply chain.
  
  
• Proteggere: la funzione di protezione copre gran parte dei controlli di sicurezza tecnica e fisica per lo sviluppo e l'implementazione di misure di tutela adeguate e la protezione delle infrastrutture critiche. Queste categorie sono la gestione dell'identità e il controllo degli accessi, la sensibilizzazione e la formazione, la sicurezza dei dati, i processi e le procedure di protezione delle informazioni, la manutenzione e la tecnologia di protezione.
  
  
• Rilevare: la funzione di rilevamento implementa misure che allertano l'organizzazione in caso di attacchi informatici. Le categorie di rilevamento includono anomalie ed eventi, sicurezza, monitoraggio continuo e processi di rilevamento.
  
  
• Rispondere: le categoriee di risposta garantiscono la risposta appropriata agli attacchi informatici e ad altri eventi di cybersecurity. Includono la pianificazione delle risposte, le comunicazioni, l'analisi, la mitigazione e i miglioramenti.
  
  
• Ripristinare: le attività di ripristino implementano piani per la cyber resilience e garantiscono la continuità aziendale in caso di cyberattack, violazione di sicurezza o altro evento di cybersecurity. Le funzioni di recupero sono i miglioramenti alla pianificazione del recupero e alle comunicazioni.

I riferimenti informativi del NIST CSF tracciano una correlazione diretta tra le funzioni, le categorie, le sottocategorie e i controlli di sicurezza specifici di altri framework, che includono:

1. I Center for Internet Security (CIS) Controls
2. COBIT 5
3. International Society of Automation (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. International Organization for Standardization and the International Electrotechnical Commission 27001:2013
6. NIST SP 800-53 Rev. 4
   

Il NIST CSF non spiega come fare l'inventario dei dispositivi e dei sistemi fisici o come fare l'inventario delle piattaforme e delle applicazioni: fornisce semplicemente una lista di controllo delle attività da completare. Un'organizzazione può scegliere il proprio metodo per eseguire l'inventario.

Se un'organizzazione ha bisogno di ulteriori indicazioni, può fare riferimento ai riferimenti informativi ai controlli correlati in altri standard complementari. Nel CSF c'è molta libertà per selezionare gli strumenti più adatti alle esigenze di gestione del rischio di cybersecurity di un'organizzazione.

Per aiutare le organizzazioni del settore privato a misurare i loro progressi verso l'implementazione del NIST Cybersecurity Framework, vengono identificati quattro livelli di implementazione:

• Livello 1 – Parziale: L'organizzazione conosce il NIST CSF e potrebbe aver implementato alcuni aspetti del controllo in alcune aree dell'infrastruttura. Tuttavia, l'implementazione delle attività e dei protocolli di cybersecurity è stata reattiva piuttosto che pianificata. L'organizzazione ha una consapevolezza limitata dei rischi di cybersecurity e non dispone dei processi e delle risorse per consentire la sicurezza delle informazioni.
  
  
• Livello 2 — Informata sui rischi: l'organizzazione è più consapevole dei rischi di cybersecurity e condivide le informazioni su base informale. Manca un processo di gestione del rischio di cybersecurity pianificato, ripetibile e proattivo a livello di organizzazione.
  
  
• Livello 3 – Ripetibile: l'organizzazione e i suoi dirigenti sono consapevoli dei rischi di cybersecurity. Hanno implementato un piano di gestione del rischio di cybersecurity ripetibile a livello di organizzazione. Il team di cybersecurity ha creato un piano d'azione per monitorare e rispondere efficacemente agli attacchi informatici.
  
  
• Livello 4 — Adattiva: l'organizzazione è ora resiliente e utilizza le lezioni apprese e gli indicatori predittivi per prevenire gli attacchi informatici. Il team di cybersecurity migliora e fa progredire continuamente le tecnologie di cybersecurity dell'organizzazione, e si adatta ai cambiamenti delle minacce in modo rapido ed efficiente. Esiste un approccio a livello di organizzazione alla gestione del rischio di sicurezza delle informazioni, con processi decisionali, politiche, procedure e processi informati. Le organizzazioni adattive incorporano la gestione del rischio di cybersecurity nelle decisioni di budget e nella loro cultura.

Il NIST Cybersecurity Framework fornisce una guida dettagliata su come stabilire o migliorare il programma di gestione dei rischi per la sicurezza delle informazioni:

1. Stabilire le priorità e l'ambito: crea un'idea chiara dell'ambito del progetto e identifica le priorità. Stabilisci gli obiettivi aziendali o di missione di alto livello, le esigenze aziendali e determina la tolleranza al rischio dell'organizzazione.
   
   
2. Orienta: valuta le risorse e i sistemi dell'organizzazione e identifica le normative applicabili, l'approccio al rischio e le minacce.
   
   
3. Creare un profilo attuale: un profilo attuale è un'istantanea di come l'organizzazione gestisce il rischio definito dalle categorie e sottocategorie del CSF.
   
   
4. Conduci una valutazione: valuta l'ambiente operativo, i rischi emergenti e le informazioni sulla cybersecurity per determinare la probabilità e la gravità di un evento.
   
   
5. Crea un profilo target: un profilo target rappresenta l'obiettivo di gestione del rischio del team di sicurezza informatica.
   
   
6. Determina, analizza e assegna priorità alle lacune: identificando le lacune tra il profilo attuale e quello target, il team di sicurezza informatica può creare un piano d'azione che includa i traguardi e le risorse misurabili (persone, budget, tempo) necessarie per colmarle.
   
   
7. Implementa il piano d'azione: implementa il piano d'azione definito al punto 6.