Che cos'è il NIST Cybersecurity Framework? La guida completa

Il National Institute of Standards and Technology (NIST) fornisce linee guida e best practice che le organizzazioni possono seguire per aiutare aziende, organizzazioni non profit e altri enti del settore privato a migliorare la gestione del rischio di cybersecurity. Il NIST fa parte del Dipartimento del Commercio degli Stati Uniti ed è uno dei più antichi laboratori scientifici (fisici) del Paese.

Nel 2013, il Presidente ha emanato l'Ordine esecutivo 13636, che dichiarava:

“La politica degli Stati Uniti è rafforzare la sicurezza e la resilienza delle infrastrutture critiche della Nazione e mantenere un ambiente informatico che favorisca efficienza, innovazione e prosperità economica, promuovendo al contempo sicurezza, protezione, riservatezza aziendale, privacy e libertà civili."

Questo ordine esecutivo ha stabilito determinati requisiti che il NIST ha applicato al proprio framework di cybersecurity, tra cui:

• Identificare standard e linee guida di sicurezza applicabili a tutti i settori delle infrastrutture critiche.

• Fornire un approccio prioritizzato, flessibile, ripetibile, basato sulle prestazioni ed economicamente vantaggioso.

• Aiutare proprietari e operatori di infrastrutture critiche a identificare, valutare e gestire il rischio informatico.

• Abilitare l'innovazione tecnica e tenere conto delle differenze organizzative.

• Fornire linee guida tecnologicamente neutrali e consentire ai settori delle infrastrutture critiche di beneficiare di un mercato competitivo di prodotti e servizi.

• Includere indicazioni per misurare le prestazioni dell'implementazione del Cybersecurity Framework.

• Identificare le aree di miglioramento da affrontare attraverso una futura collaborazione con settori specifici e organizzazioni di sviluppo degli standard.

Perché è diventato così importante?

In parole semplici, le crescenti minacce alla cybersecurity colpiscono ogni giorno aziende e altre organizzazioni. Senza un'unica fonte di riferimento, per le aziende sarebbe quasi impossibile sviluppare un framework completo ed efficace che le aiuti a implementare misure efficaci per mitigare i rischi di sicurezza. Ecco perché il NIST Cybersecurity Framework è diventato così cruciale per le aziende: promuove soluzioni efficienti, innovative e resilienti per mantenere la sicurezza.

In sostanza, il NIST Cybersecurity Framework aiuta le organizzazioni di ogni tipo a comprendere, gestire e ridurre meglio i rischi di cybersecurity. Il risultato finale dell'applicazione di queste linee guida è una migliore protezione di reti e dati. Il NIST Cybersecurity Framework è strutturato in modo tale che qualsiasi azienda o organizzazione possa implementarlo per capire meglio dove concentrare tempo e risorse al fine di migliorare la protezione della cybersecurity. Si tratta di mettere le aziende nelle condizioni di proteggere in modo più efficace i propri dati, i dati dei clienti, le reti e i dipendenti.

Sebbene il NIST Cybersecurity Framework sia stato sviluppato da un'organizzazione con sede negli Stati Uniti, è stato creato con l'idea di un'adozione globale. A tal fine, è stato tradotto in molte lingue e adottato da governi, aziende e organizzazioni in tutto il mondo.

A partire dal NIST Cybersecurity Framework 1.1, molte organizzazioni e governi hanno adottato con successo il framework, tra cui:

• Saudi Aramco

• Governo delle Bermuda

• Direzione nazionale per la cybersicurezza di Israele

• Cimpress-FAIR

• Multi-State - Information Sharing and Analysis Center

• Centro medico dell'Università del Kansas

• Università di Pittsburgh

• ISACA

• Forum intersettoriale giapponese

• Università di Chicago

• Lower Colorado River Authority

• Optic Cyber Solutions   

La versione più recente del NIST Cybersecurity Framework (CSF) è pensata per destinatari, settori industriali e organizzazioni di ogni tipo e dimensione: dalle piccole scuole e organizzazioni non profit alle grandi imprese. Il framework è stato progettato in modo che qualsiasi organizzazione, indipendentemente dal livello di maturità in materia di cybersicurezza, possa trarre vantaggio dalle informazioni che presenta.

Secondo Laurie E. Locascio, direttrice del NIST e sottosegretaria al Commercio per gli standard e la tecnologia: 

“Il CSF è stato uno strumento fondamentale per molte organizzazioni, aiutandole ad anticipare e affrontare le minacce alla cybersicurezza… Il CSF 2.0, che si basa sulle versioni precedenti, non riguarda soltanto un documento. Riguarda un insieme di risorse che possono essere personalizzate e utilizzate singolarmente o in combinazione nel tempo, man mano che le esigenze di cybersicurezza di un’organizzazione cambiano e le sue capacità evolvono.” 

L’evoluzione più recente del NIST Cybersecurity Framework va inoltre oltre l’attenzione alle infrastrutture critiche e comprende tutte le organizzazioni (di ogni dimensione) in qualsiasi settore.

Quando è stato creato il NIST Cybersecurity Framework, l’obiettivo era promuovere un coinvolgimento continuo con gli stakeholder di governo, industria e mondo accademico. Per creare questo framework, il NIST ha utilizzato attività di sensibilizzazione e workshop in tutto il Paese, oltre a una Request For Information (RFI) e una Request For Comment (RFC). L’obiettivo iniziale era triplice:

• Individuare standard, linee guida, framework e best practice di cybersicurezza esistenti.

• Specificare le lacune ad alta priorità.

• Sviluppare piani d’azione per colmare tali lacune.

Il periodo di consultazione per la raccolta di informazioni si è concluso l’8 aprile 2013 e il NIST ha ricevuto oltre 270 risposte alla Request For Information. Sulla base di tali risposte, il NIST ha definito l’agenda del suo primo workshop sul Cybersecurity Framework, che si è tenuto a Washington DC con l’obiettivo di raccogliere interesse, aumentare la consapevolezza e fornire indicazioni sul processo di sviluppo collaborativo. I temi del workshop includevano l’Executive Order, gli obiettivi dello sviluppo e la conferma del processo che sarebbe stato utilizzato per sviluppare il framework.

Il secondo workshop si è svolto dal 29 al 31 maggio 2013 presso la Carnegie Mellon University, con un’agenda basata sull’analisi della RFI iniziale. Gli obiettivi erano definire e chiarire ulteriormente le informazioni ricevute e incoraggiare il confronto su diversi temi legati alla sicurezza. Dopo la conclusione di questo workshop, il NIST ha analizzato le informazioni raccolte e creato sintesi che sono state condivise con i settori industriali e utilizzate per elaborare la bozza iniziale del Cybersecurity Framework.

La prima bozza del NIST Cybersecurity Framework è stata pubblicata il 2 luglio 2013.

Dopo la pubblicazione, il NIST ha organizzato diversi workshop orientati a discutere e perfezionare la versione iniziale. Il 12 febbraio 2014 è stata pubblicata la versione 1.0 del NIST Cybersecurity Framework.

Il NIST Cybersecurity Framework è composto da diverse funzioni principali, che offrono una panoramica generale delle best practice. Queste funzioni non sono pensate come passaggi procedurali, ma piuttosto come strumenti per affrontare la natura dinamica dei rischi di cybersicurezza.

Governare

Questa funzione fornisce risultati che aiutano a definire ciò che un’organizzazione può fare per dare priorità alle funzioni rimanenti nel contesto della propria missione e delle aspettative degli stakeholder.

Identificare

La funzione Identificare richiama la necessità di sviluppare una comprensione organizzativa dei rischi di cybersicurezza per sistemi, asset, dati e capacità. Questo elemento si concentra sull’azienda, affinché possa dare priorità ai propri sforzi in modo coerente con la sua strategia di gestione del rischio.

Proteggere

Questa funzione supporta la capacità di un’organizzazione di mettere in sicurezza gli asset e di prevenire o ridurre la probabilità e l’impatto di un evento di cybersicurezza.

Rilevare

Questa funzione consente l’individuazione e l’analisi tempestive di anomalie, indicatori di compromissione e altri eventi avversi che indicano che un evento di cybersicurezza si è verificato o si verificherà.

Rispondere

Questa funzione aiuta a contenere eventuali effetti di un incidente di cybersecurity, coprendo gestione degli incidenti, analisi, mitigazione, reporting e comunicazione.

Recupero

Questa funzione si concentra sul ripristino tempestivo delle normali attività aziendali, per ridurre gli effetti di un incidente di cybersecurity e consentire le comunicazioni necessarie (e appropriate) durante il recupero.

L’obiettivo ultimo di queste funzioni è offrire una visione strategica e di alto livello di come un’organizzazione si prepara, reagisce e si riprende dagli eventi di cybersecurity.

Con una solida comprensione di cosa fa il NIST Cybersecurity Framework e di come si è evoluto, probabilmente ti stai chiedendo quale sia il modo migliore per implementarlo.

Il NIST raccomanda un approccio in 7 passaggi per l’implementazione, che si presenta così:

1. Definire priorità e ambito - Dai priorità agli obiettivi e agli asset della tua organizzazione che devono essere protetti.

2. Orientarsi - Acquisisci, insieme al tuo team, familiarità con i processi, i sistemi e i componenti inclusi nell’ambito, nonché con le principali normative di conformità che devono rispettare.

3. Creare un profilo attuale - Indica quali risultati di controllo del framework sono già stati raggiunti all’interno della tua organizzazione, quindi crea un elenco di ciò che deve ancora essere integrato.

4. Condurre una valutazione del rischio - Analizza il tuo ambiente operativo per determinare la probabilità che si verifichino eventi di cybersecurity, nonché l’impatto che potrebbero avere.

5. Creare un profilo target- Concentrati sulla valutazione di Categorie e Sottocategorie del Cybersecurity Framework per descrivere i risultati di cybersecurity desiderati.

6. Individuare, analizzare e dare priorità alle lacune - Individua eventuali lacune di cybersecurity presenti nella tua organizzazione. Da questa analisi potrai quindi creare un piano prioritizzato per rispondere a tali esigenze.

7. Implementare il tuo piano d’azione - Passa all’azione e implementa il piano che hai creato per affrontare tutti i problemi individuati nei passaggi precedenti.

Una cosa da tenere a mente è che il framework non è rigido. Anzi, offre una flessibilità sufficiente per integrarsi con i processi di sicurezza esistenti. Dovresti vedere come funziona nei sette passaggi elencati sopra.

Grazie al modo in cui il NIST struttura i sette passaggi per implementare il framework, le organizzazioni ottengono una panoramica completa dei rischi a cui sono esposte, di come pianificare in base a tali rischi, di come migliorare la comunicazione a livello aziendale e rafforzare la conformità. La conoscenza dei punti deboli di un’organizzazione e di come mitigarli è uno dei vantaggi cruciali del NIST Framework.

Secondo la Federal Trade Commission, il NIST Framework “aiuta le aziende di tutte le dimensioni a comprendere, gestire e ridurre meglio il proprio rischio di cybersecurity e a proteggere reti e dati”.

Il NIST comprende che ogni organizzazione è diversa e offre persino 3 consigli per mantenere sicure le tue password (che dovrebbero essere considerati universali).

Il NIST Cybersecurity Framework può essere complesso. È importante comprendere appieno le funzioni principali prima di passare ai sette passaggi elencati sopra. Per garantire un successo duraturo, è fondamentale promuovere una cultura della cybersecurity all’interno della tua organizzazione; in caso contrario, incontrerai resistenza verso quello che potrebbe essere un cambiamento drastico di processi e sistemi.

Altre sfide includono:

• Vincoli di risorse: al momento potresti non disporre di personale in grado di implementare questi cambiamenti.

• Molto probabilmente dovrai dedicare tempo alla personalizzazione del Cybersecurity Framework per adattarlo meglio alla tua organizzazione.

• Le minacce sono in continua evoluzione, il che significa che le tue pratiche di sicurezza dovranno stare al passo.

• È consigliabile integrare il Cybersecurity Framework con eventuali processi già in uso.

• Incoraggiare il coinvolgimento degli stakeholder può essere complesso, e questo è direttamente legato alla creazione di una cultura della cybersecurity in grado di soddisfare tali esigenze.

I livelli di implementazione del NIST sono quattro:

• Livello 1Parziale - Aziende con procedure di sicurezza ad hoc o del tutto assenti.

• Livello 2Informato sul rischio - Aziende consapevoli delle minacce che affrontano e con alcune policy in atto, ma prive di una strategia coordinata.

• Livello 3Ripetibile - Aziende con best practice di gestione del rischio e cybersecurity approvate dalla dirigenza. Queste aziende spesso si confrontano con i concorrenti e collaborano persino con altre organizzazioni per garantire l'allineamento delle proprie pratiche.

• Livello 4Adattivo - Aziende in settori fortemente regolamentati, come quello bancario e sanitario, che contribuiscono regolarmente a una più ampia consapevolezza del rischio.

Secondo il NIST, il profilo del Cybersecurity Framework "è l'allineamento di Funzioni, Categorie e Sottocategorie con i requisiti aziendali, la tolleranza al rischio e le risorse dell'organizzazione". Questi profili aiutano le organizzazioni a definire una roadmap per ridurre i rischi di cybersecurity.

Il NIST offre un modello di profilo organizzativo del Cybersecurity Framework personalizzabile, oltre a un elenco di profili della community utilizzabili.

Tieni presente che il NIST Cybersecurity Framework è concepito come un documento vivo, che dipende da aggiornamenti regolari per riflettere il panorama in continua evoluzione della cybersecurity e delle minacce emergenti. Per questo è fondamentale che le organizzazioni restino aggiornate sulle minacce più recenti, affinché il Cybersecurity Framework possa evolversi per soddisfare le esigenze attuali e migliorare continuamente.

Per assicurarti che la tua organizzazione sia in grado di evolvere insieme al NIST Cybersecurity Framework, potresti valutare come creare il miglior tech stack di cybersecurity per la tua azienda, così da garantire la capacità di sfruttare le migliori tecnologie in grado di evolvere con il Cybersecurity Framework.

È quasi superfluo dire che la sicurezza è diventata una delle aree di attenzione più importanti per le organizzazioni. Senza solide pratiche di gestione del rischio di cybersecurity, le aziende potrebbero cadere vittima di numerose minacce in circolazione. Con l'aiuto del NIST Cybersecurity Framework, insieme a un'attenta pianificazione e comunicazione, la sicurezza della tua organizzazione potrebbe migliorare notevolmente. Affronta il NIST Cybersecurity Framework in modo approfondito, segui i 7 passaggi e preparati sempre ad aggiornarti ed evolvere, così la tua organizzazione sarà più protetta dai rischi di cybersecurity.

Pronto a iniziare oggi stesso? Valuta l'adozione di una soluzione di gestione delle password per far partire la tua organizzazione con il piede giusto. Scopri i piani Bitwarden Business, contatta il team commerciale e confronta i prezzi dei piani.