NIST Cybersecurity Framework – Agosto 2021

Il NIST Cybersecurity Framework può aiutare le organizzazioni a strutturare e migliorare il proprio programma di sicurezza.

Il framework è applicabile sia a piccole entità sia a grandi aziende, fornendo elementi utili per la gestione delle interazioni interni quanto con stakeholder esterni.

Il Framework sulla Cybersecurity del NIST è organizzato in cinque funzioni chiave:

• identificazione (identify)
• protezione (protect)
• rilevazione (detect)
• risposta (responde)
• ripristino (recover)

Identificazione

Identificazioni degli asset e dei processi critici per l’organizzazione rappresenta il primo passo per avere consapevolezza sui punti di maggiore rischio.

Documentare i flussi delle informazioni è fondamentale non solo per individuare quali sono le informazioni importanti, ma anche comprendere dove sono memorizzate.

Mantenere una lista aggiornata degli asset (anche su un semplice foglio di calcolo) è vitale per conoscere dove possono trovarsi i rischi e dove agire in caso di incidente.

Definire policy di cybersecurity che includano ruoli e responsabilità dei vari membri agevola il successivo lavoro di gestione degli incidenti.

Infine, identificare minacce, vulnerabilità, rischi e asset consente di monitorare meglio la situazione e poter fissare delle priorità di intervento.

Protezione

Il primo punto – forse anche banale – è la regolazione degli accessi agli asset e alle informazioni solo a chi ne ha realmente bisogno.

Questa regola consente, tra l’altro, di proteggere le informazioni critiche (dati personali, segreti aziendali…).

Quando in identificazione vengono correttamente individuati tutti gli asset e le informazioni critiche, è possibile definire delle politiche di backup adeguate con i relativi test di recovery.

Altra regola che può apparire superfluo mettere in evidenza è la protezione dei dispositivi mediante idonee soluzioni (antimalware, EDR, firewall…).

A fronte di monitoraggi su rischi e vulnerabilità, è possibile implementare dei piani di gestione delle vulnerabilità dei dispositivi, anche mediante alcuni aggiornamenti automatici.

Infine non bisogna mai tralasciare gli aspetti legati alla competenza e formazione del personale che andrà adeguatamente formato sulle tematiche della cybersecurity.

Rilevazione

Verificare e aggiornare con costanza i processi di rilevamento è indispensabile per renderli efficaci.

La conoscenza dei dati attesi e dei relativi flussi è determinante per consentire una pronta rilevazione, riducendo il numero di falsi allarmi.

Avere delle politiche di gestione di log, prevendendo meccanismi che li rendano attendibili in caso di uso giudiziario al pari di una copia forense, che devono essere monitorati con frequenza, è uno dei punti chiave nella fase di rilevazioni del NIST Cybersecurity Framework.

Comprendere l’effettivo impatto di eventi di cybersecurity per procedere in tempi rapidi ma con altrettanta precisione all’individuazione di eventuali stakeholder esterni come, ad esempio, un perito informatico.

Risposta agli incidenti secondo il NIST Cybersecurity Framework

Assicurarsi per tempo, ossia quando non si è sotto un evento critico, che i piani siano stati oggetto di test e siano effettivamente affidabili e aggiornati.

Coordinare il lavoro dei vari stakeholder (sia interni, sia esterni), eventualmente affidando questo ruolo a soggetti esperti in tematiche di incident response.

Ripristino

Nell’ultimo delle cinque funzioni chiave del NIST Cybersecurity Framework, bisogna accertarsi che tutti i soggetti coinvolti sappiano quali sono le notizie che possono essere divulgate e quali no.

Qualsiasi esperienza maturata va registrata nelle cosiddette lesson learnt, ossia un “manuale” di esperienze reale affrontate dall’organizzazione.

Infine, non ultimo per importanza, gestire le relazioni con l’esterno, definendo un paino di comunicazione e di gestione anche con le autorità competenti (ad esempio, Garante privacy, autorità giudiziaria, fornitori e clienti…).