Il Framework nasce per supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber.
Il Framework è una sorta di guida organizzativa volta alla cybersecurity e alla protezione dei dati coerente con i regolamenti vigenti in materia, e contribuisce a ottimizzare e ridurre i costi necessari per gli investimenti aumentando l’efficacia delle misure che si andranno ad implementare in termini di cyber e protezione dati.
All’interno del Framework si introducono le tre nozioni fondamentali di:
– Framework Core
– Profile
– Implementation Tier
FRAMEWORK CORE:
Il Framework Core rappresenta la struttura del ciclo di vita del processo di gestione della cybersecurity,
sia dal punto di vista tecnico che organizzativo ed è strutturato gerarchicamente in
function, category e subcategory. Il Framework definisce, per ogni function, category e subcategory, le attività abilitanti, quali processi e tecnologie, da realizzare per gestire la singola function.
Andiamo a descrivere in breve le Function e le Category ad esse associate:
IDENTIFY: comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Definizione delle risorse e degli investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali. Le category all’interno di questa function sono:Asset Management, Business Environment; Governance, Risk Assessment, Risk Management Strategy, Supply Chain Risk Management e Data Management.
PROTECT: La function PROTECT è associata all’implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. Le category all’interno di questa function sono: Identity Management,Authentication and Access Control, Awareness and Training, Data Security, Information Protection Processes and Procedures, Maintenance, Protective Technology.
DETECT: La function DETECT è associata alla definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica. Le category all’interno di questa function sono: Anomalies and Events, Security Continuous Monitoring,Detection Processes.
RESPOND: La function RESPOND è associata alla definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza informatica. Le category all’interno di questa function sono: Response Planning, Communications, Analysis, Mitigation, Improvements.
RECOVER: La function RECOVER è associata alla definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operations. Le category all’interno di questa function sono: Recovery Planning, Improvements, Communications.
PROFILI. Essi sono il risultato della selezione di specifiche subcategory. Possono essere utilizzati anche come opportunità di miglioramento dello stato di sicurezza mettendo a confronto un profilo attuale (profilo corrente), con il profilo desiderato (profilo target)
IMPLEMENTATION TIER. Essi forniscono contesto sul livello di integrazione dei processi di gestione del rischio cyber
L’approccio sopra descritto comporta però uno sforzo organizzativo che non tutte le piccole/medio imprese possono sostenere immediatamente a patto che non abbiano già una cultura e delle procedure minimamente strutturate in termini di sicurezza e protezione dei dati
A tal proposito il CIS ha presentato il documento Controlli essenziali di Cybersecurity che descrive 15 controlli essenziali che rappresentano le pratiche di sicurezza che non possono essere ignorate.
Vediamoli in seguito:
Tematiche Controlli Essenziali di Cybersecurity
Inventario dispositivi e software
1 Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
2 I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc…) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
3 Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
4 È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
Governance
5 Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
Protezione da malware
6 Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
Gestione password e account
7 Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
8 Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono
disattivati.
9 Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
Formazione e consapevolezza
10 Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, …). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
Protezione dei dati
11 La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
12 Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
Protezione delle reti
13 Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
Prevenzione e mitigazione
14 In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15 Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Ogni organizzazione potrebbe partire da questi controlli essenziali per dare una prima forma e struttura ai processi di gestione della cyber security, rispondendo ad esigenza di tutela dei dati e del know how aziendali e rispondendo a degli standard riconosciuti
