Il Cybersecurity Framework (CSF) 2.0 del NIST rappresenta un importante aggiornamento per affrontare i rischi legati alla sicurezza informatica. Analizziamo alcuni spunti decisamente interessanti, che a mio avviso vanno sottolineati in quanto rappresentano un cambio di passo realmente rivoluzionario:
- integrazione con l’Enterprise Risk Management (ERM)
- Community Profile
- mantenimento online degli Implementation Examples e Informative References
- processo collaborativo
- future linee guida di implementazione.
Vediamo come queste caratteristiche contribuiscano a rendere il CSF 2.0 uno strumento completo e aggiornato per affrontare le sfide cyber.
Indice degli argomenti
Integrazione fra cyber risk e business risk, la sfida del CSF 2.0
Uno dei pilastri del nuovo corso tracciato dalla versione 2.0 del framework NIST per la cybersecurity è l’integrazione tra la gestione del rischio informatico e l’Enterprise Risk Management, in una parola il governo di tutti i rischi aziendali. Un bel salto in avanti rispetto al passato.
Nelle precedenti incarnazioni, il focus era prettamente tecnico: controlli da implementare e best practice da adottare per tenere lontani gli attaccanti dai nostri sistemi. Sicurezza informatica vista come un’isola a sé stante, affidata agli specialisti del settore.
Ora il NIST, con la nuova release presentata ad agosto 2023, cambia approccio e lancia una sfida ambiziosa: incorporare la cybersecurity nella più ampia governance del rischio aziendale.
Un approccio olistico, che parte dall’alto. L’obiettivo è far dialogare il CISO con il CRO (Chief Risk Officer), far sedere allo stesso tavolo chi gestisce la sicurezza IT e chi ha la visione su tutti i rischi che possono impattare sul business: finanziari, legali, operativi, strategici. Perché ormai, anche negli ambienti più tradizionali, il rischio cyber è diventato centrale e può avere conseguenze disastrose.
Ma come si può realizzare questa integrazione?
Cinque step per la creazione dei profili di rischio
Il NIST risponde nella sezione 4.2 del nuovo documento, spiegando come arricchire il processo in 5 step per la creazione dei profili di rischio – cuore del framework – con input che arrivano dal mondo dell’ERM.
Ad esempio, includendo gli asset rilevanti per il business quando si definisce il perimetro di analisi, considerando i rischi aziendali complessivi quando si stila la gap analysis rispetto al profilo target, comunicando i risultati ai ruoli che gestiscono il rischio affinché possano avere una visione integrata e intervenire laddove necessario.
Insomma, ora anche il NIST si è convinto che serve un cambio di rotta. Non basta più affidarsi agli esperti di sicurezza informatica, servono strumenti di comunicazione tra il CISO e il management. La cybersecurity deve poter influenzare le scelte strategiche, e per farlo va incorporata nel processo di gestione del rischio aziendale.
Il nuovo corso è tracciato. Starà a noi cogliere la palla al balzo e dimostrare ai vertici aziendali che la Cyber non è più solo tecnologia, ma è un fattore critico per il conseguimento degli obiettivi di business. Il linguaggio del rischio, se ben gestito, può essere il grimaldello per avviare questa integrazione.
I profili di comunità: come condividere best practice di security
La nuova release del framework porta in dote anche un interessante strumento collaborativo: i “Community Profile“, versioni dei profili di rischio create con l’obiettivo di soddisfare interessi e requisiti condivisi da un gruppo di organizzazioni.
Un esempio pratico può aiutare a comprendere meglio di cosa si tratta.
Prendiamo un settore come quello bancario, storicamente esposto a minacce cyber e con esigenze di sicurezza piuttosto omogenee tra i vari player.
Ebbene, le principali banche potrebbero oggi riunirsi sotto l’egida di un’associazione di categoria e sviluppare un Community Profile ad hoc, integrando i propri esperti di rischio e sicurezza.
Il risultato sarebbe un profilo target di riferimento, espressione delle best practice identificate come prioritarie dal settore per affrontare le sfide cyber che lo riguardano.
Questo profilo potrebbe quindi essere adottato dai singoli istituti di credito come punto di partenza per sviluppare una propria versione customizzata sulla base di specificità e contesto interno.
I vantaggi? Le banche eviterebbero di dover partire da zero nell’analisi dei gap e nella definizione degli obiettivi, potendo contare su un set di requisiti condiviso e già focalizzato sulle necessità del comparto.
Inoltre, il confronto tra pari consentirebbe l’emersione di best practice rimaste finora patrimonio di singole realtà più mature.
Per il NIST si tratta di uno strumento prezioso per velocizzare l’adozione del framework e il miglioramento diffuso della cybersecurity in settori critici per l’economia.
Gli stessi Community Profile potranno evolvere nel tempo integrando le nuove minacce e priorità. La sfida sarà mantenere un equilibrio tra esigenze condivise e peculiarità locali. Ma la strada sembra tracciata verso una security sempre più collaborativa.
Implementation Examples e Informative References
Tra le novità più interessanti troviamo il nuovo modello di gestione e aggiornamento di due preziosi strumenti come Implementation Examples e Informative References.
Se nelle versioni precedenti queste risorse erano inglobate nel documento principale, ora verranno rese disponibili separatamente sfruttando le potenzialità del digitale.
In particolare, gli Implementation Examples – ovvero esempi pratici su come implementare i controlli del framework – e le Informative References – il vasto elenco di standard, best practice e normative di settore a cui i controlli si riferiscono- saranno consultabili online tramite uno strumento dedicato, il NIST Cybersecurity and Privacy Reference Tool (CPRT).
Questa scelta strategica risponde all’esigenza di superare i limiti dell’edizione cartacea: poter gestire repository così ricchi di contenuti diventa complesso con il modello PDF, mentre il digitale abilita l’accesso immediato sempre aggiornato.
Inoltre, la visualizzazione online permetterà di esplorare con immediatezza le relazioni multiple tra elementi del Core (le cosiddette Functions, Categories e Subcategories) e i corrispondenti Implementation Examples e Informative References.
Gli utenti del framework avranno a disposizione un prezioso patrimonio di best practice, standard e linee guida, fruibile in modo dinamico e interattivo grazie al digitale.
Un patrimonio che si arricchirà nel tempo, essendo aperto al contributo della community: il NIST, infatti, incoraggia ricercatori ed esperti di sicurezza a proporre nuovi Implementation Examples rilevanti per settori o tecnologie emergenti.
Un modello in perfetto stile open source, che esalta collaborazione e condivisione delle conoscenze. Una scelta chiave per mantenere il NIST Cybersecurity Framework 2.0 al passo con le sfide future.
Il nuovo CSF 2.0 si arricchisce grazie al contributo della community
L’ultimo aspetto di cui vorrei parlare, che abbraccia totalmente la nuove concezione del CSF.v2 è l’attenzione alla dimensione collaborativa e al coinvolgimento attivo della community di professionisti e ricercatori
Mi vengono in mente per un attimo il parallelo con l’approccio dei CIS Controls v8, sviluppati anch’essi con il supporto della comunità, anche se è importante tenere presente le differenze tra i due framework, come la flessibilità del NIST CSF rispetto alla natura più prescrittiva dei CIS Controls.
Nel documento di presentazione, il NIST invita esplicitamente la community a contribuire arricchendo il framework con nuovi Implementation Examples, ovvero esempi concreti su come implementare i vari controlli in ambiti specifici.
Ad esempio, un centro di ricerca potrebbe suggerire nuovi Implementation Examples legati all’intelligenza artificiale o alle città smart, mentre un’azienda potrebbe condividere esempi di best practice interne per ispirare altre realtà.
L’obiettivo è assicurare che il framework rimanga sempre aggiornato rispetto all’evoluzione tecnologica e alle nuove minacce, grazie proprio all’esperienza di chi ogni giorno affronta tali sfide sul campo.
Anche le Informative References, che collegano i controlli NIST a standard e best practice esistenti, potranno essere arricchite dalla community indicando nuove fonti rilevanti.
Il NIST insomma abbraccia la filosofia open source applicata alla cybersecurity: si evolve grazie al contributo volontario e dal basso di tutti gli attori coinvolti, superando i limiti di un modello di sviluppo top-down.
Un approccio in linea con la natura delle minacce odierne, che richiedono condivisione e collaborazione ai massimi livelli per poter essere contrastate efficacemente.
E chissà che in futuro la community non possa essere coinvolta anche nella definizione del framework, e non si limiti solo ad arricchirlo: la strada verso una cybersecurity realmente aperta e collettiva sembra tracciata.
Le nuove Linee Guida NIST
Il percorso tracciato dal NIST non si esaurisce con il rilascio del documento presentato ad agosto 2023. L’istituto ha infatti in programma il lancio di ulteriori linee guida di supporto, per accompagnare le organizzazioni nel processo di adozione del framework.
In particolare, è previsto un aggiornamento della pubblicazione NIST SP 800-171 “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations“, contenente consigli pratici per implementare i controlli del CSF in contesti specifici.
Ma non finisce qui: sono già disponibili sul sito un’ampia libreria di risorse, guide e strumenti utili per ogni fase del percorso: dalla comprensione dei concetti chiave del framework, alla valutazione della postura di sicurezza, fino alla creazione di profili customizzati.
Il NIST insomma non lascia soli gli utilizzatori del framework, ma li accompagna passo passo fornendo indicazioni operative, best practice di settore e template personalizzabili.
Un approccio strutturato e completo, che dimostra l’impegno del NIST nel trasformare il nuovo Cybersecurity Framework 2.0 da standard teorico a strumento realmente efficace per migliorare il livello di sicurezza delle organizzazioni.
Conclusioni
In sintesi, il Cybersecurity Framework (CSF) 2.0 del NIST offre numerosi vantaggi e caratteristiche distintive che lo rendono uno strumento efficace per affrontare i rischi legati alla sicurezza informatica.
L’integrazione con l’Enterprise Risk Management (ERM) promuove un approccio olistico alla gestione dei rischi, coinvolgendo tutte le parti interessate nell’organizzazione.
I Community Profile forniscono una guida specifica per settore, permettendo alle organizzazioni di affrontare i rischi in modo più mirato.
Il mantenimento online degli Implementation Examples e Informative References garantisce l’accesso a informazioni aggiornate e pertinenti, facilitando l’adozione del framework.
Il processo collaborativo tra il NIST e la comunità assicura che il CSF 2.0 risponda alle esigenze delle organizzazioni e sia costantemente migliorato.
Infine, le future linee guida di implementazione forniranno ulteriori informazioni pratiche per applicare il CSF 2.0, contribuendo a una maggiore sicurezza informatica e una migliore gestione dei rischi.
In conclusione, il CSF 2.0 del NIST si pone come un framework completo e aggiornato, offrendo vantaggi e caratteristiche uniche che ci aiuteranno a muoverci più agevolmente navigare nel complesso panorama della moderna sicurezza informatica.
@RIPRODUZIONE RISERVATA
