All’interno del nostro blog abbiamo ampiamente parlato del CSF (Cybersecurity Framework) del NIST (National Institute of Standards and Technology), ovvero un modello da utilizzare come riferimento dei passi da seguire e del tipo di tecnologie di cui dotarsi per mettere in sicurezza l’infrastruttura informatica e gestire eventuali minacce cyber.
Il CSF del NIST non è l’unico framework a disposizione, ma è sicuramente quello che ha una visione più ampia e più dettagliata, che condivide l’approccio per strati (o livelli) e che risulta tra i più pratici per un’analisi dei rischi. Inoltre, il Cybersecurity Framework del NIST è così riconosciuto da essere stato utilizzato come base per lo sviluppo del “Framework Nazionale per la Cybersecurity e la Data Protection” portato avanti dal nostro Governo.
Nel mese di Agosto è stato rilasciato un aggiornamento del CSF che riflette i cambiamenti nel panorama della sicurezza informatica e rende più facile la sua applicazione nel lavoro di tutti i giorni, per tutte le organizzazioni.
“Con questo aggiornamento stiamo cercando di riflettere l’uso attuale del Cybersecurity Framework e di anticipare anche l’uso futuro”, ha affermato Cherilyn Pascoe del NIST, sviluppatrice principale del framework. “La prima versione era stata pensata per infrastrutture critiche come banche e operatori energetici, ma si è dimostrato utile ovunque, dalle scuole alle piccole imprese ai governi locali e stranieri”. "Vogliamo assicurarci”, ha spiegato Pascoe, “che la nuova versione sia uno strumento utile a tutti i settori, non solo a quelli critici, indipendentemente dalla tipologia o dalle dimensioni”.
Gli sviluppatori prevedono di pubblicare la versione finale del Cybersecurity Framework 2.0 all'inizio del 2024.
Cybersecurity Framework: si inserisce la "Governance"
Il CSF del NIST è composto da 5 pilastri, ciascuno dei quali prevede al suo interno una serie di azioni da implementare. I 5 pilastri sono: Identificazione, Protezione, Rilevazione, Risposta e Ripristino. Ogni pilastro si integra in modo sequenziale agli altri per gestire e rispondere agli attacchi cyber.
Ora il NIST ha aggiunto una sesta funzione, ovvero la Governance, con cui sottolinea l’importanza dell’aspetto decisionale dell’organizzazione per le azioni e le strategie da intraprendere in merito alla gestione del rischio cyber. Evidenzia inoltre che la sicurezza informatica è una delle principali fonti di rischio aziendale, classificandosi accanto ai rischi legali e finanziari.
Nel CSF 2.0 la Governance è considerata il fulcro centrale attorno al quale ruotano le altre cinque funzioni. Essa comprende la determinazione delle priorità e della tolleranza al rischio dell'organizzazione; ne consegue che è fondamentale valutare attentamente i rischi e gli impatti legati alla cybersecurity al fine di definire politiche e procedure efficaci. Inoltre, è essenziale comprendere appieno i ruoli e le responsabilità in materia di sicurezza in modo da poter implementare correttamente le altre funzioni. La Governance posta al centro della ruota nel CSF 2.0 rappresenta quindi il punto di partenza per sviluppare un solido percorso di Cybersecurity che protegga l’intera organizzazione.
Per pianificare le attività da implementare all’interno di ogni organizzazione è fondamentale valutarne sia la priorità che l’investimento necessario. Di seguito troverai un breve esercizio con un elenco di azioni relative alla sicurezza informatica, una sorta di base da cui potrai partire per fare ragionamenti relativi alla tua specifica situazione.
Compila il form qui sotto e scarica il pdf per creare il Tuo percorso di Cybersecurity.
