Differenza tra NIST Cybersecurity Framework e Framework CINI in Cybersecurity

Differenza tra NIST Cybersecurity Framework e Framework CINI in Cybersecurity

I framework disponibili

In informatica, come strumenti di protezione contro possibili cyber attack sono stati pubblicati dei framework da implementare in azienda. In particolare in questo articolo, si prende in esame il NIST cybersecurity Framework e il CINI cybersecurity framework.

Differenza tra NIST Cybersecurity Framework e Framework CINI in Cybersecurity

NIST Cybersecurity Framework

L’acronimo NIST sta ad indicare “National Institute of Standard and Technology” e nell’anno 2014 ha pubblicato il documento “Framework for Improving Critical Infrastructure Cybersecurity” nel quale vengono delineate delle linee guida con il fine di proteggere i sistemi e le risorse più importanti per la sicurezza del paese e che i settori critici siano adeguatamente protetti.
Quello che offre questo strumento è una sintesi di processi e di best practices da attuare per la valutazione dei rischi cibernetici.
Per una migliore applicazione e comprensione il framework è suddiviso in tre parti: Core, Implementation Tier e Profile.

  • Core: All’interno di questa sezione vengono fornite delle linee guida per il raggiungimento di specifici risultati per la sicurezza cibernetica.
    Il core non è presentato come una check list di operazioni da seguire, bensì come risultati chiave della sicurezza cibernetica identificati nell’industria e utili per la gestione del rischio.
    Gli elementi centrali sono: Functions, Categories, Subcategories e Informative References.
  • Functions: organizzano le attività base della sicurezza cibernetica a livello generale. Le funzioni sono dette Identify, Protect, Detect, Respond e Recover.
    Le functions sono utili perché organizzando le informazioni risulta più facile prendere decisioni e affrontare le minacce nel migliore dei modi.
    Inoltre, allineandosi con le metodologie esistenti in azienda per la gestione degli incidenti, contribuiscono ad evidenziare l’impatto sugli investimenti.
  • Categories, sono le function strettamente legate alle esigenze programmatiche e attività particolari: “detection process”.
  • ubcategories, sono un ulteriore divisione delle categories in risultati specifici delle attività e/o delle tecniche di gestione.
    Queste garantiscono il raggiungimento dei risultati in ciascuna categoria.
  • Informative reference, sono sezioni specifiche di norme, linee guida e pratiche comuni tra i settori che illustrano un metodo in grado da raggiungere risultati associati ad ogni sottocategoria. Quelli che sono presenti nel Core sono a titolo esemplificativo. Sotto si analizzano brevemente le cinque Function:
    1. Identify: questo è il primo step nel quale verrà spiegato il contesto aziendale, gli asset che supportano i processi critici di business ed i relativi rischi. Questo primo step, è fondamentale perché permette di definire risorse ed investimenti in linea con gli obiettivi e la strategia che l’azienda ha definito.
      Alcune categories all’interno di questa function sono: asset management, governance, del rischio.
    2. Protect: implementazione di quelle misure volte alla protezione dei processi business idipendentemente che la loro natura sia informatica. Alcune categories all’interno di questa function sono: access control, awareness and training; maintenance.
    3. Detect: definizione e attuazione delle attività per identificare rapidamente incidenti di cyber security.
      Alcune categories all’interno di questa function sono: anomalies and events, detection processes.
    4. Responde: le attività da porre in essere quando un incidente di sicurezza informatica è stato riscontrato con l’obiettivo di ridurre l’impatto.
      Alcune categories all’interno di questa function sono: planning, analysis e mitigation.
    5. Recover: gestione dei piani di ripristino dei processi e di esercizi impattati da un incidente con l’obiettivo di recuperare tempestivamente le business operations.
      Alcune categories all’interno di questa function sono: Recovery Planning, improvements, communications.
  • Implementation tier: all’interno di questa sezione, viene inquadrata l’azienda nel suo complesso rispetto ai processi posti in essere per la gestione del rischio cyber.
    Ci sono 4 livelli di valutazione:

    • parziale: quando il modello organizzativo non tiene conto in modo sistematico del rischio cyber o delle minacce ambientali.
    • informato: quando il modello organizzativo ha dei processi interni che tengono conto del cyber risk, ma questi non sono diffusi in tutta l’organizzazione.
    • ripetibile: quando il sistema di gestione del cyber risk viene aggiornato regolarmente basandosi sull’output che proviene dal processo di risk management.
    • adattivo: quando il modello organizzativo viene aggiornato continuamente sulla base di esperienze passate e sulla base di indicatori di rischio.
  • Profile: attraverso framework profile si ottiene l’allineamento delle Function, Category e Subcategory con le esigenze di business, tolleranza al rischio e le risorse dell’organizzazione.
    Il profile consente di avere una linea guida da seguire per ridurre il rischio di cybersecurity allineata con gli obiettivi aziendali e di settore e considerando i requisiti normativi.
    Possono coesistere più profile a seconda della complessità aziendale, così da avere un modello personalizzato e che permetta una perfetta adesione con le esigenze, obiettivi e strategia aziendali.
    I profiles possono essere anche utilizzati per descrivere lo stato presente e quello desiderato di cyber security, così da avere sotto controllo il divario esistente tra gli obiettivi raggiunti e quelli desiderati analizzando dove sono presenti le lacune da colmare e quali sono le priorità maggiori.
    Questo modello consente di valutare le esigenze di un’organizzazione a livello di cyber security tenendo conto dei finanziamenti, del personale tenendo sempre sotto controllo l’efficienza dei costi.

Framework CINI

Il framework nazionale è stato creato dalla cooperazione tra il centro di ricerca Cyber Intelligence and Information Security ed il consorzio universitario nazionale per l’informatica.
L’esigenza nasce dai sempre più numerosi e impattanti casi di cyber attack che sono arrivati a coinvolgere perfino governi.
Da ciò anche le piccole medie imprese, che rappresentano la maggioranza di aziende presenti nel nostro paese, hanno iniziato a prendere consapevolezza di questo possibile rischio.
Il processo di consapevolezza deve essere accompagnato da strumenti validi, che diano un supporto nella gestione dei cyber risk.
Gli strumenti devono essere di facile comprensione, applicazione e adattabili a qualsiasi tipo di organizzazione per poter garantire un livello minimo di preparazione in caso di attacco.

L’obiettivo del framework è quello di fornire uno strumento facilmente adattabile e che può essere utilizzato sia dal pubblico che dal privato in modo semplice.
Inoltre guardando sull’orizzonte pubblico, può essere fonte di incentivo di investimenti internazionali nel nostro paese, garantendo una migliore reputazione.
Il framework del CINI si fonda sul framework sviluppato nel precedente paragrafo ovvero il “framework for improving critical infrastructure” del NIST perché questo ha una struttura che assicura una copertura totale circa la sicurezza delle informazioni e al contempo mantiene un livello di astrazione che consente alle aziende una buona autonomia nell’applicazione e nella contestualizzazione dei controlli.
Inoltre il basarsi sul framework definito dal NIST garantisce uniformità e facilità di utilizzo, in particolare quando ad implementarlo sono aziende multinazionali. Oltre alla struttura prevista dal NIST (vedi paragrafo sopra), il framework nazionale ha aggiunto due nuovi concetti: i livelli di priorità e i livelli di maturità.

Questi concetti consentono di tenere conto della struttura economica del nostro paese che è costituita per lo più da decine di grandi aziende e da una miriade di piccole-medie imprese permettendo la facile applicazione anche alle PMI, ma conservando la sua iniziale vocazione per Grandi imprese.

Livelli di Priorità

I Livelli di Priorità permettono di supportare le aziende nell’identificazione preliminare delle subcategory da implementare in modo da ridurre i livelli di rischio verso cui sono esposti, bilanciandone l’impegno necessario per la loro attuazione.

Per la determinazione dei livelli di priorità è possibile basarsi su due aspetti:

  • capacità di ridurre il rischio cyber agendo su uno o più fattori chiave (ad esempio probabilità e impatto)
  • semplicità di implementazione delle subcategory

Dalla combinazione dei 2 criteri si definiscono 3 livelli distinti di priorità:

  1. Priorità alta interventi che riducono sensibilmente uno dei fattori chiave del cyber risk. Questi interventi sono prioritari.
  2. Priorità media interventi che riducono uno dei fattori chiave del cyber risk e che sono di facile implementazione.
  3. Priorità bassa interventi che riducono sensibilmente uno dei fattori chiave del cyber risk, ma che sono difficili da implementare.

Possiamo vedere che le subcategory assumono priorità specifica a seconda della contestualizzazione adottata.

Livelli di maturità

I Livelli di maturità permettono di fornire una misura della maturità di un processo di sicurezza, della maturità di attuazione di una tecnologia specifica o una misura della quantità di risorse necessarie all’implementazione di una subcategory.
I livelli di maturità forniscono un punto di riferimento su cui l’organizzazione può basarsi per valutare la propria implementazione delle subcategory e fissare priorità e obiettivi per il continuo miglioramento. I livelli devono essere in progressione e devono essere previsti pratiche e controlli proporzionali al livello.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *