In questo articolo vogliamo fornirti una panoramica delle nozioni fondamentali del Framework Nazionale per la Cybersecurity e di quelli che sono i 15 controlli essenziali per iniziare il percorso verso una migliore gestione della cybersecurity. Troverai tutte queste informazioni esplose e dettagliate nei due documenti ufficiali in calce all’articolo.
Spesso sia grandi aziende che piccole e medie imprese tendono a sottovalutare le minacce relative alla sicurezza informatica e si trovano molto spesso a rispondere ad attacchi che causano ingenti perdite di dati e denaro.
Gli attacchi informatici sono largamente mutati ed aumentati negli ultimi anni, ragion per cui è aumentata l’attenzione da parte delle istituzioni nazionali e sovranazionali.
Abbiamo visto aumentare il numero dei CERT (Computer Emergency Response Team), abbiamo visto l’introduzione di più severe regole per la protezione dei dati ad opera del GDPR, ma anche rafforzarsi la collaborazione internazionale per rispondere alle cyber minacce. In questo panorama nasce il Framework Nazionale per la Cybersecurity, ispirato al Cybersecurity Framework ideato dal NIST (National Institute of Standards and Technology).
L’obiettivo del Framework Nazionale per la Cybersecurity
Il Framework Nazionale per la Cybersecurity può aiutare le organizzazioni nel definire un percorso volto alla cybersecurity e alla protezione dei dati e può rappresentare un utile strumento per il continuo monitoraggio delle attività implementate.
Molto spesso però le piccole e medie imprese non dispongono di personale in grado di attuare le pratiche di cybersecurity, per ragioni di fatturato o per ragioni culturali. Proprio per andare incontro a queste realtà, nasce una sorta di vademecum composto da 15 controlli definiti come “essenziali” di facile e, quasi sempre, economica implementazione e che rappresentano le pratiche di sicurezza che non possono essere ignorate.
Framework Core
Il core del Framework Nazionale per la Cybersecurity è strutturato gerarchicamente in function, category e subcategory e rappresenta la struttura del ciclo di vita del processo di gestione della cybersecurity.
Identify
La function IDENTIFY è legata alla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale comprensione permette a un’organizzazione di definire risorse e investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali. Le category all’interno di questa function sono: Asset Management, Business Environment, Governance, Risk Assessment, Risk Management Strategy, Supply Chain Risk Management e Data Management.
Protect
La function PROTECT è associata all’implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. Le category all’interno di questa function sono: Identity Management, Authentication and Access Control, Awareness and Training, Data Security, Information Protection Processes and Procedures, Maintenance, Protective Technology.
Detect
La function DETECT è associata alla definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica. Le category all’interno di questa function sono: Anomalies and Events, Security Continuous Monitoring, Detection Processes.
Respond
La function RESPOND è associata alla definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza informatica. Le category all’interno di questa function sono: Response Planning, Communications, Analysis, Mitigation, Improvements.
Recover
La function RECOVER è associata alla definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operations. Le category all’interno di questa function sono: Recovery Planning, Improvements, Communications.
Per ognuna delle Categorie che fanno parte di queste Function che possiamo definire “fasi ricorsive”esistono delle sottocategorie (subscategory), la selezione di tali categorie determinerà i profili.
- Data Management (DP-ID.DM): i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento.
- DP-ID.DM-1: Il ciclo di vita dei dati è definito e documentato
- DP-ID.DM-2: Sono definiti, implementati e documentati i processi riguardanti l’informazione dell’interessato in merito al trattamento dei dati Data Management (DP-ID.DM): i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento.
- DP-ID.DM-3: Sono definiti, implementati e documentati i processi di raccolta e revoca del consenso dell’interessato al trattamento di dati.
- DP-ID.DM-4: Sono definiti, implementati e documentati i processi per l’esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell’interessato.
- DP-ID.DM-5: Sono definiti, implementati e documentati i processi di trasferimento dei dati in ambito internazionale
Profili
I profili possono essere utilizzati come opportunità per migliorare lo stato di sicurezza mettendo a confronto un profilo attuale (profilo corrente), con il profilo desiderato (profilo target).
I Profili rappresentano il risultato della selezione di specifiche subcategory del Framework. Tale selezione è basata su diversi fattori: la valutazione del rischio, il contesto di business, l’applicabilità delle varie subcategory all’organizzazione, i propri obiettivi.
Il profilo attuale può essere utilizzato per definire priorità e misurare i progressi verso il profilo desiderato, per effettuare un’autovalutazione o per comunicare il proprio livello di gestione del rischio cyber all’interno o all’esterno dell’organizzazione.
Implementation Tier
Gli Implementation Tier forniscono contesto sul livello di integrazione dei processi di gestione del rischio cyber all’interno dell’organizzazione.
Tier Parziale
Il modello di gestione del rischio di cybersecurity non tiene conto in modo sistematico del rischio cyber o delle minacce ambientali. Il rischio cyber è gestito con processi ad hoc e spesso in modo reattivo. Il livello di consapevolezza del rischio a livello organizzativo è limitato. Non esistono processi di condivisione delle informazioni inerenti alla cybersecurity con entità esterne.
Tier Informato
Il modello di gestione del rischio cyber ha dei processi interni che tengono conto del rischio cyber, ma questi non sono estesi a tutta l’organizzazione. Il livello di consapevolezza del rischio cyber è sufficientemente esteso, ma questo non è accompagnato da processi di gestione pervasivi che coinvolgano tutti i livelli dell’organizzazione. L’organizzazione comprende il suo ruolo nell’ecosistema di riferimento, ma lo scambio informativo relativo agli eventi di cybersecurity è limitato e tipicamente passivo.
Tier Ripetibile
Il modello di gestione del rischio cyber è formalmente definito ed approvato e l’organizzazione aggiorna regolarmente le proprie pratiche di cybersecurity basandosi sull’output del processo di risk management. La gestione del rischio cyber è pervasiva a tutti i livelli organizzativi ed il personale è formato per gestire i ruoli che in merito gli vengono assegnati. L’organizzazione scambia regolarmente informazione inerenti alla cybersecurity con altri attori operanti nello stesso ecosistema.
Tier Adattivo
Il modello di gestione del rischio cyber di una organizzazione è adattivo se l’organizzazione adatta le sue procedure di cybersecurity regolarmente attraverso l’utilizzo delle esperienze passate e degli indicatori di rischio. Attraverso un processo adattivo l’organizzazione si adegua in modo continuo a minacce in continua evoluzione ed è capace di rispondere efficacemente ad attacchi sofisticati. Lo scambio informativo con altri attori operanti nello stesso ecosistema è continuo ed avviene in tempo reale.
Livelli di priorità
Il Framework prevede anche tre livelli generali di priorità: ALTA – MEDIA – BASSA
I livelli di priorità permettono di supportare le organizzazioni e le aziende nella definizione di un programma di implementazione che favorisca in modo prioritario gli interventi che maggiormente riducono i livelli di rischio. La selezione delle subcategories su cui intervenire fa capo a due criteri:
- Capacità di ridurre il rischio cyber, agendo su uno o più fattori chiave per la sua determinazione.
- Semplicità di implementazione delle subcategory, anche considerando il livello di maturità tecnologica e organizzativa tipicamente richiesto per realizzare la specifica azione.
Livelli di maturità
I livelli di maturità permettono di fornire una misura della maturità di un
processo di sicurezza, della maturità di attuazione di una tecnologia specifica o una misura della quantità di risorse adeguate impiegate per l’implementazione di una data subcategory.
I livelli di maturità forniscono un punto di riferimento in base al quale ogni organizzazione può valutare la propria implementazione delle subcategory e fissare obiettivi e priorità per il loro miglioramento.
Contestualizzazione e Prototipi di contestualizzazione
Per essere applicabile il framework deve essere contestualizzato.
Gli elementi fondanti del Framework sono generali e indipendenti e quando si contestualizza il Framework tutti o alcuni degli elementi precedentemente descritti possono essere tenuti in considerazione.
I prototipi di contestualizzazione sono un nuovo strumento
introdotto nel Framework per permettere la definizione di template utilizzabili per la contestualizzazione in specifici settori.
Per ogni subcategory del Framework core il prototipo di contestualizzazione definisce la relativa classe di implementazione tra obbligatoria, consigliata e libera e può definire un livello di priorità per la relativa implementazione.
Il prototipo viene inoltre accompagnato da una guida all’implementazione, un documento che descrive:
- Il contesto di applicazione del prototipo
- Ulteriori vincoli sulla selezione delle subcategory e la definizione dei livelli di priorità
- Un elenco di controlli di sicurezza, per le subcategory considerate, che andranno, in fase di implementazione del prototipo in una contestualizzazione, opportunamente organizzati nei diversi livelli di maturità eventualmente previsti.
L’applicazione del Framework è ovviamente molto complessa e chiama in causa molti più fattori di quelli brevemente accennati in questo articolo, se volete quindi approfondire, a questo link trovate il documento ufficiale: Framework Nazionale per la Cybersecurity e la Data Protection
I 15 Controlli Essenziali di Cybersecurity
Come già anticipato, per moltissime aziende ed organizzazioni applicare il Framework Nazionale può essere quindi troppo complesso e oneroso.
Oltretutto spesso le piccole aziende credono di non avere alcuna informazione appetibile per i cybercriminali, ma purtroppo così non è.
Proprio per questo motivo è stata stilato un elenco di 15 controlli essenziali divisi in 8 categorie che, sebbene non assicurano un adeguato livello di sicurezza, rappresentano una base dalla quale si deve partire.
- Inventario dispositivi e software
- Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software,servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
- I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc…) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
- Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
- È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
- Governance
- Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda. Protezione da malware.
- Protezione da malware
- Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
- Gestione password e account
- Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
- Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
- Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza. Formazione e consapevolezza.
- Formazione e consapevolezza
- Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, …).I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
- Protezione dei dati
- La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
- Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
Protezione delle reti
- Protezione delle reti.
- Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
- Prevenzione e mitigazione
- In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
- Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Nonostante siano “controlli essenziali” anche questa lista può rappresentare un ostacolo per quelle realtà che non possiedono le risorse adatte, ma queste pratiche non possono più essere ignorate, per la sicurezza della propria azienda ma anche per tutta la filiera produttiva, si pensi anche solo agli attacchi Island Hopping.
The I può sviluppare insieme a te una strategia di cyber security completa ed efficace, che possa prevenire gli attacchi informatici, gestire i rischi, evitare downtime e malfunzionamenti, proteggere informazioni e dati sensibili. Grazie alla nostra partnership con esperti legali, possiamo aiutare la tua azienda a verificare la compliance al GDPR, ad eventualmente correggere le procedure e le documentazioni per adeguarsi a tali normative.
Privacy Assessment
Effettuiamo una valutazione d’impatto sulla protezione dei dati personali, è un processo che consente di individuare e ridurre i rischi privacy e verificare la compliance al GDPR.
ApprofondisciUn altro aspetto molto importante è quello della formazione, THE I può organizzare dei corsi formativi online o in presenza customizzati sull’esigenza della vostra azienda sulle tematiche e normative legate al GDPR e sulle minacce informatiche, in modo da rendere il personale più consapevole sulle best practice per evitare attacchi malevoli all’azienda.
Formazione
Effettuiamo percorsi di formazione personalizzati relativi alle tematiche di Cybersecurity, GDPR e DevOps.
ApprofondisciTutte le informazioni contenute in questo articolo sono tratte dal documento ufficiale che vi invitiamo a consultare: