Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

CERT (Computer Emergency Response Team) in azienda: come consolidarlo e come farlo evolvere

Al di là che si scelga di stabilire un CERT in azienda oppure di ingaggiarne uno esterno, misurarne capacità e maturità è un aspetto critico per il raggiungimento degli obiettivi della strategia di cyber security scelta. Ecco come farlo basandosi sullo standard SIM3

23 Gen 2020
M
Luca Mella

Cyber Security Expert


Nell’ottica di creare un CERT in azienda è importante considerare che i Computer Emergency Readiness & Response Team sono asset nelle strategie di cyber security più evolute. Permettono all’azienda di sviluppare capacità e funzioni chiave per la competitività del business nel mercato globale e digitalizzato, dove dapprima le informazioni, ed oggi anche i processi produttivi, si muovono interconnessi nell’ecosistema digitale, nell’Industria 4.0 e nella Internet delle cose.

Capacità e funzioni con un obiettivo preciso: la resilienza alle minacce cibernetiche moderne, molto diverse da quelle di dieci anni fa e infinitamente più dinamiche della controparte fisica.

Capacità di “Readiness”, ovvero portare l’organizzazione ad esser pronta agli attacchi cibernetici, in guardia e allerta con la giusta postura, schivando, parando e contrattaccando, e la capacità di “Response”, per sapere cosa fare quando le cose si mettono male.

CERT in azienda: come mantenerlo e consolidarlo

La decisione di mettere in piedi le funzioni di un CERT per la propria organizzazione non è banale. È un fattore chiave per evitare di rimanere bloccati dalle minacce celate dietro le grandi opportunità del digitale.

La creazione di queste funzioni richiede un approccio a tutto tondo e coinvolge persone, processi e tecnologie. Un insieme di elementi complessi che i CISO delle aziende più competitive devono inquadrare e sfruttare.

Tuttavia, creare un CERT, o in generale instaurare delle funzioni di “Readiness” e “Response” è solo la prima delle sfide da affrontare. Capire se si è fatto un buon lavoro, a che livello di maturazione si è, e soprattutto come mantenere e migliorare ciò che c’è, non è scontato.

Il problema è particolarmente sentito all’interno delle comunità della cyber security europea, tant’è che ENISA, negli anni, si è prodigata nella pubblicazione di vari documenti e varie linee guida proprio su questo. Però, per rispondere a questa esigenza, oltre alle linee guida di ENISA, si può contare anche su di un framework quantitativo: SIM3.

CERT in azienda: lo standard SIM3

SIM3 è l’acronimo di Security Incident Management Maturity Model, il de facto framework di riferimento per il mantenimento di un CERT. SIM3 è mantenuto da OCF (Open CSIRT Foundation), una fondazione no-profit indipendente nata da alcuni dei pionieri nella gestione degli incidenti cibernetici in Europa, con lo scopo di promuovere maturità e cooperazione dei CERT.

SIM3 nasce dalle lacune che CSIRT e CERT europei vedevano negli schemi di certificazione tradizionali, quali la ISO:IEC 27001, che si applica molto bene alle organizzazioni in generale, ma che non coglie le esigenze e le peculiarità tipiche di queste unità specialistiche.

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Sicurezza
Sicurezza

Lo standard si appoggia su quattro pilastri chiave: le capacità di prevenzione, di rilevamento, di risoluzione ed il controllo di qualità. Sono gli elementi al centro dei suoi intenti. Elementi che si trovano disseminati all’interno di SIM3.

SIM3 ha infatti l’obiettivo di misurare il livello di maturità delle capacità di risposta e della preparazione di un CERT, e lo fa in maniera concisa e mirata. Prevede infatti 45 parametri di rilevamento suddivisi in quattro quadranti:

  • quadrante “O”, che racchiude i parametri di valutazione Organizzativi, prendendo in considerazione aspetti quali il mandato del CERT, la sua autorità, le politiche di sicurezza ed i servizi erogati;
  • quadrante “H”, volto ai parametri specifici per la gestione delle Risorse Umane, in particolare allo sviluppo ed al mantenimento di competenze adeguate, di etica professionale e cooperazione;
  • quadrante “T”, mirato agli Strumenti tecnici, ad esempio per il tracciamento e la gestione degli incident, ma anche parametri relativi alla resilienza delle comunicazioni in condizioni di crisi;
  • quadrante “P”, focalizzato sui Processi funzionali agli obiettivi del CERT, quali le escalation a Governance, Management ed uffici legali, o ancora sui processi di rilevamento e gestione degli incidenti, su meeting ed allineamento del team ed anche sulle modalità di contatto verso l’esterno.

Ognuno dei parametri è misurato secondo una scala di maturità che prevede cinque livelli:

  • livello 0: non definito, inconsapevole. Ovvero il parametro non è minimamente calcolato dal CERT, non un buon indicatore di qualità;
  • livello 1: conosciuto ma non scritto. In altre parole, si ha consapevolezza del parametro e vi sono delle prassi in auge;
  • livello 2: scritto su documentazioni interne ma non formalizzato;
  • livello 3: scritto e formalizzato sotto l’autorità del direttore del CERT;
  • livello 4: formalizzato e sottoposto ad audit da parte di livelli di governance al di sopra del direttore del CERT.

L’insieme delle valutazioni sul livello di maturità di tutti i 45 parametri permette di delineare il profilo di un CERT a tutto tondo, evidenziandone i punti di forza da valorizzare e le eventuali lacune su cui lavorare.

Evolvere il CERT in azienda: cosa dice ENISA

SIM3 è stato inoltre preso in seria considerazione da ENISA che lo ha utilizzato in varie delle sue linee guida, specialmente quelle relative alle metodologie per la valutazione dei livelli di maturità dei CERT europei.

I primi documenti pubblici su come valutare le capacità dei CSIRT con questo standard risalgono al 2015, dove ENISA indica il modello SIM3 come riferimento. Negli anni a seguire le conferme non sono mancate, sino al consolidamento della sua adozione dopo l’entrata in vigore della Direttiva NIS.

Nel 2019, dopo uno studio su meccanismi e modalità di gestione della maturità, ENISA ha pubblicato delle indicazioni proprio alla luce dei requisiti introdotti dalla NIS, dove è giunta alla conclusione che l’approccio quantitativo di SIM3 è uno strumento eccellente per la gestione dei nuovi adempimenti.

ENISA ha inoltre identificato tre macro-livelli di maturità per i CERT europei. Livelli mappati anche dal network di cooperazione “TF-CSIRT/Trusted introducer” e funzionali ad assolvere i requisiti. Questi livelli si dividono in:

  • Tier 1, ovvero livello base nel quale il CERT è stabilito ed inserito all’interno delle comunità di settore;
  • Tier 2, livello intermedio, dove il CERT ha consolidato una base operativa funzionante ed ha guadagnato la fiducia della comunità di settore;
  • Tier 3, livello avanzato dove il CERT dimostra di avere stabilito un insieme di capacità e servizi.

Per raggiungere questo ultimo livello di maturità, il CERT può fare leva su standard e certificazioni come ISO/IEC 27035:2011 oppure la certificazione TF-CSIRT/Trusted Introducer, basata su SIM3.

Livelli di maturità del CERT identificati da ENISA secondo il modello SIM3.

Le certificazioni

Uno dei meccanismi che ENISA suggerisce per il raggiungimento e la misurazione della maturità del CERT è proprio il modello SIM3.

Oltre a poter esser utilizzato per auto-valutazioni e gap analysis interne, SIM3 è un modello utilizzato anche all’interno di TF-CSIRT/Trusted Introducer (FT-CSIRT/TI), il network europeo di cooperazione tra i CSIRT europei governativi, aziendali, para-militari e commerciali, che dal 2000 ha instaurato una rete collaborativa al servizio dei CERT.

In particolare, il network richiede la Certificazione SIM3 per accedere ai livelli di status più elevati. Titolo rilasciato a seguito di un apposito audit di certificazione, rinnovabile ogni tre anni a patto che gli standard siano stati mantenuti ed innalzati.

Tant’è che ENISA suggerisce proprio FT-CSIRT/TI come uno dei meccanismi per la gestione della maturità del CERT.

Conclusioni

Al di là che si scelga di stabilire un CERT in azienda oppure di ingaggiarne uno esterno, misurarne capacità e maturità è un aspetto critico per il raggiungimento degli obiettivi della strategia di cyber security scelta.

In questo, lo standard SIM3 rappresenta un valido riferimento anche per il mondo privato. Nasce infatti da esigenze molto concrete proprio sulle funzioni di risposta e preparazione agli incidenti, e si concentra su aspetti caratteristici di questo genere di unità.

WHITEPAPER
Cos’è cos’è l’imaging multiview e in quali ambiti può trovare applicazione?
Intelligenza Artificiale
Intelligenza Artificiale

Inoltre, SIM3 si sta diffondendo anche in Italia. Infatti, di recente il Global Cyber Security Center (GSEC), fondazione di Poste Italiane per l’avanzamento della cyber security nel nostro Paese, ha lanciato il programma CERTRAINING: una piattaforma di autovalutazione basata proprio su questo maturity model.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5