Cos'è il NIST Cybersecurity Framework?

Il NIST (National Institute of Standards and Technology) è un'agenzia non regulatoria che promuove l'innovazione attraverso il progresso della scienza, degli standard e della tecnologia delle misurazioni. Il NIST CSF (NIST Cybersecurity Framework) consiste in standard, linee guida e best practice per aiutare le organizzazioni a migliorare la logo gestione dei rischi per la sicurezza informatica. 

Il NIST CSF è concepito per essere abbastanza elastico da integrarsi con i processi di sicurezza esistenti all'interno di qualsiasi organizzazione, in qualsiasi settore. Fornisce un ottimo punto di partenza per implementare la gestione della sicurezza delle informazioni e dei rischi per la sicurezza informatica praticamente in qualsiasi organizzazione del settore privato negli Stati Uniti.

Il 12 febbraio 2013, viene emanato l'ordine esecutivo 13636 sul miglioramento della sicurezza informatica delle infrastrutture critiche. Ciò segna l'inizio della collaborazione del NIST con il settore privato statunitense per identificare gli standard di consenso volontario e le best practice di settore esistenti da integrare in un quadro di sicurezza informatica, il cui risultato è il NIST Cybersecurity Framework versione 1.0.

Il CEA (Cybersecurity Enhancement Act) del 2014 amplia gli sforzi del NIST per lo sviluppo del Cybersecurity Framework. Oggi, il NIST CSF è ancora uno dei modelli di sicurezza più largamente adottati in tutti i settori statunitensi.

NIST Cybersecurity Framework include funzioni, categorie, sottocategorie e riferimenti informativi. 

Le funzioni offrono una panoramica generale dei protocolli di sicurezza delle best practice. Le funzioni non sono da intendersi come fasi procedurali ma devono essere eseguite "contemporaneamente e continuamente per formare una cultura operativa che si occupi dei rischi dinamici per la sicurezza informatica". Le categorie e le sottocategorie forniscono dei piani d'azione più concreti per reparti o processi specifici all'interno di un'organizzazione. 

Tra gli esempi di funzioni e categorie NIST è incluso quanto segue:

• Identificazione: per proteggere dagli attacchi informatici, il team di sicurezza informatica deve comprendere in modo approfondito quali sono gli asset e le risorse più importanti dell'organizzazione. La funzione di identificazione include categorie come la gestione degli asset, l'ambiente aziendale, la governance, la valutazione dei rischi, la strategia di gestione dei rischi e la gestione dei rischi della supply chain.
  
  
• Protezione: la funzione di protezione copre gran parte dei controlli di sicurezza tecnici e fisici per lo sviluppo e l'implementazione di misure di sicurezza appropriate e la protezione delle infrastrutture critiche. Queste categorie sono la gestione delle identità e il controllo degli accessi, la consapevolezza e la formazione, la sicurezza dei dati, i processi e le procedure di protezione delle informazioni, la manutenzione e la tecnologia di protezione.
  
  
• Rilevamento: la funzione di rilevamento implementa misure che avvertono un'organizzazione degli attacchi informatici. Le categorie di rilevamento includono le anomalie e gli eventi, il monitoraggio continuo della sicurezza e i processi di rilevamento.
  
  
• Risposta: le categorie della funzione di risposta garantiscono un'appropriata risposta agli attacchi informatici e ad altri eventi di sicurezza informatica. Le categorie specifiche includono la pianificazione delle risposte, le comunicazioni, l'analisi, la mitigazione e i miglioramenti.
  
  
• Ripristino: le attività di ripristino implementano piani per la resilienza informatica e assicurano la business continuity in caso di un attacco informatico, di una violazione della sicurezza o di un altro evento di sicurezza informatica. Le funzioni di ripristino consistono in miglioramenti della pianificazione del ripristino e delle comunicazioni.

I riferimenti informativi del NIST CSF tracciano una correlazione diretta tra le funzioni, le categorie, le sottocategorie e i controlli di sicurezza specifici di altri quadri. Questi quadri includono il CIS (Center for Internet Security) Controls®, COBIT 5, ISA (International Society of Automation) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 e NIST SP 800-53 Rev. 4.

Il NIST CSF non indica come inventariare dispositivi e sistemi fisici o piattaforme e applicazioni software e si limita a fornire un elenco di controllo delle attività da completare. Un'organizzazione può scegliere in autonomia come eseguire l'inventario. Se ha bisogno di ulteriori orientamenti, un'organizzazione può consultare i riferimenti informativi ai controlli correlati in altri standard complementari. Nel CSF, è possibile scegliere con ampia libertà gli strumenti che rispondono meglio alle esigenze di gestione dei rischi per la sicurezza informatica di un'organizzazione.

Per aiutare le organizzazioni del settore privato a misurare i loro progressi nell'implementazione del NIST Cybersecurity Framework, il quadro identifica quattro livelli di implementazione:

• Livello 1 - Parziale: l'organizzazione ha dimestichezza con il NIST CSF e può aver implementato alcuni aspetti del controllo in alcune aree dell'infrastruttura. L'implementazione delle attività e dei protocolli di sicurezza informatica è stata reattiva invece che pianificata. L'organizzazione ha una consapevolezza limitata dei rischi per la sicurezza informatica e non dispone di processi e risorse per garantire la sicurezza delle informazioni.
  
  
• Livello 2 - Informata dei rischi: l'organizzazione è più consapevole dei rischi per la sicurezza informatica e condivide le informazioni su base informale. Non dispone di un processo di gestione dei rischi per la sicurezza informatica a livello di organizzazione che sia pianificato, ripetibile e proattivo.
  
  
• Livello 3 - Ripetibile: l'organizzazione e i suoi alti dirigenti sono consapevoli dei rischi per la sicurezza informatica. Hanno implementato un piano di gestione dei rischi per la sicurezza informatica ripetibile a livello di organizzazione. Il team di sicurezza informatica ha creato un piano d'azione per monitorare e rispondere in modo efficiente agli attacchi informatici.
  
  
• Livello 4 - Adattiva: l'organizzazione è ora resiliente da un punto di vista informatico e utilizza le lezioni apprese e gli indicatori predittivi per prevenire gli attacchi informatici. Il team di sicurezza informatica migliora e fa progredire continuamente le tecnologie e le prassi di sicurezza informatica dell'organizzazione e si adatta alla variazione delle minacce in modo rapido ed efficiente. L'approccio alla gestione dei rischi per la sicurezza informatica è adottato a livello di organizzazione, con un processo decisionale, politiche, procedure e processi adeguati ai rischi. Le organizzazioni adattive integrano la gestione dei rischi per la sicurezza informatica nella loro definizione dei budget e nella loro cultura organizzativa.

Il NIST Cybersecurity Framework fornisce una guida dettagliata su come istituire o migliorare un proprio programma di gestione dei rischi per la sicurezza delle informazioni:

1. Definisci la priorità e l'ambito: crea una visione chiara dell'ambito del progetto e identifica le priorità. Stabilisci gli obiettivi generali aziendali o della mission e le esigenze di aziendali e determina la tolleranza ai rischi dell'organizzazione.
   
   
2. Orienta: fai il punto degli asset e dei sistemi dell'organizzazione e identifica le normative applicabili, l'approccio ai rischi e le minacce a cui l'organizzazione potrebbe essere esposta.
   
   
3. Crea un profilo attuale: un profilo attuale è un'istantanea del modo in cui l'organizzazione sta attualmente gestendo i rischi, come definito dalle categorie e sottocategorie del CSF.
   
   
4. Effettua una valutazione dei rischi: valuta l'ambiente operativo, i rischi emergenti e le informazioni sulle minacce per la sicurezza informatica per determinare la probabilità e la gravità di un evento di sicurezza informatica che può ripercuotersi sull'organizzazione.
   
   
5. Crea un profilo di destinazione: un profilo di destinazione rappresenta l'obiettivo di gestione dei rischi del team di sicurezza delle informazioni.
   
   
6. Determina, analizza e definisci la priorità delle lacune: identificando le lacune tra il profilo attuale e quello di riferimento, il team di sicurezza delle informazioni può creare un piano d'azione, compresi gli obiettivi misurabili e le risorse (persone, budget, tempo) necessari per colmare tali lacune.
   
   
7. Implementa il piano d'azione: Implementa il piano d'azione definito nel Passo 6.