L'APPROFONDIMENTO

CERT (Computer Emergency Response Team) in azienda: come consolidarlo e come farlo evolvere

Al di là che si scelga di stabilire un CERT in azienda oppure di ingaggiarne uno esterno, misurarne capacità e maturità è un aspetto critico per il raggiungimento degli obiettivi della strategia di cyber security scelta. Ecco come farlo basandosi sullo standard SIM3

23 Gen 2020
M
Luca Mella

Cyber Security Expert

Nell’ottica di creare un CERT in azienda è importante considerare che i Computer Emergency Readiness & Response Team sono asset nelle strategie di cyber security più evolute. Permettono all’azienda di sviluppare capacità e funzioni chiave per la competitività del business nel mercato globale e digitalizzato, dove dapprima le informazioni, ed oggi anche i processi produttivi, si muovono interconnessi nell’ecosistema digitale, nell’Industria 4.0 e nella Internet delle cose.

Capacità e funzioni con un obiettivo preciso: la resilienza alle minacce cibernetiche moderne, molto diverse da quelle di dieci anni fa e infinitamente più dinamiche della controparte fisica.

Capacità di “Readiness”, ovvero portare l’organizzazione ad esser pronta agli attacchi cibernetici, in guardia e allerta con la giusta postura, schivando, parando e contrattaccando, e la capacità di “Response”, per sapere cosa fare quando le cose si mettono male.

CERT in azienda: come mantenerlo e consolidarlo

La decisione di mettere in piedi le funzioni di un CERT per la propria organizzazione non è banale. È un fattore chiave per evitare di rimanere bloccati dalle minacce celate dietro le grandi opportunità del digitale.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

La creazione di queste funzioni richiede un approccio a tutto tondo e coinvolge persone, processi e tecnologie. Un insieme di elementi complessi che i CISO delle aziende più competitive devono inquadrare e sfruttare.

Tuttavia, creare un CERT, o in generale instaurare delle funzioni di “Readiness” e “Response” è solo la prima delle sfide da affrontare. Capire se si è fatto un buon lavoro, a che livello di maturazione si è, e soprattutto come mantenere e migliorare ciò che c’è, non è scontato.

Il problema è particolarmente sentito all’interno delle comunità della cyber security europea, tant’è che ENISA, negli anni, si è prodigata nella pubblicazione di vari documenti e varie linee guida proprio su questo. Però, per rispondere a questa esigenza, oltre alle linee guida di ENISA, si può contare anche su di un framework quantitativo: SIM3.

CERT in azienda: lo standard SIM3

SIM3 è l’acronimo di Security Incident Management Maturity Model, il de facto framework di riferimento per il mantenimento di un CERT. SIM3 è mantenuto da OCF (Open CSIRT Foundation), una fondazione no-profit indipendente nata da alcuni dei pionieri nella gestione degli incidenti cibernetici in Europa, con lo scopo di promuovere maturità e cooperazione dei CERT.

SIM3 nasce dalle lacune che CSIRT e CERT europei vedevano negli schemi di certificazione tradizionali, quali la ISO:IEC 27001, che si applica molto bene alle organizzazioni in generale, ma che non coglie le esigenze e le peculiarità tipiche di queste unità specialistiche.

Lo standard si appoggia su quattro pilastri chiave: le capacità di prevenzione, di rilevamento, di risoluzione ed il controllo di qualità. Sono gli elementi al centro dei suoi intenti. Elementi che si trovano disseminati all’interno di SIM3.

SIM3 ha infatti l’obiettivo di misurare il livello di maturità delle capacità di risposta e della preparazione di un CERT, e lo fa in maniera concisa e mirata. Prevede infatti 45 parametri di rilevamento suddivisi in quattro quadranti:

  • quadrante “O”, che racchiude i parametri di valutazione Organizzativi, prendendo in considerazione aspetti quali il mandato del CERT, la sua autorità, le politiche di sicurezza ed i servizi erogati;
  • quadrante “H”, volto ai parametri specifici per la gestione delle Risorse Umane, in particolare allo sviluppo ed al mantenimento di competenze adeguate, di etica professionale e cooperazione;
  • quadrante “T”, mirato agli Strumenti tecnici, ad esempio per il tracciamento e la gestione degli incident, ma anche parametri relativi alla resilienza delle comunicazioni in condizioni di crisi;
  • quadrante “P”, focalizzato sui Processi funzionali agli obiettivi del CERT, quali le escalation a Governance, Management ed uffici legali, o ancora sui processi di rilevamento e gestione degli incidenti, su meeting ed allineamento del team ed anche sulle modalità di contatto verso l’esterno.

Ognuno dei parametri è misurato secondo una scala di maturità che prevede cinque livelli:

  • livello 0: non definito, inconsapevole. Ovvero il parametro non è minimamente calcolato dal CERT, non un buon indicatore di qualità;
  • livello 1: conosciuto ma non scritto. In altre parole, si ha consapevolezza del parametro e vi sono delle prassi in auge;
  • livello 2: scritto su documentazioni interne ma non formalizzato;
  • livello 3: scritto e formalizzato sotto l’autorità del direttore del CERT;
  • livello 4: formalizzato e sottoposto ad audit da parte di livelli di governance al di sopra del direttore del CERT.

L’insieme delle valutazioni sul livello di maturità di tutti i 45 parametri permette di delineare il profilo di un CERT a tutto tondo, evidenziandone i punti di forza da valorizzare e le eventuali lacune su cui lavorare.

Evolvere il CERT in azienda: cosa dice ENISA

SIM3 è stato inoltre preso in seria considerazione da ENISA che lo ha utilizzato in varie delle sue linee guida, specialmente quelle relative alle metodologie per la valutazione dei livelli di maturità dei CERT europei.

I primi documenti pubblici su come valutare le capacità dei CSIRT con questo standard risalgono al 2015, dove ENISA indica il modello SIM3 come riferimento. Negli anni a seguire le conferme non sono mancate, sino al consolidamento della sua adozione dopo l’entrata in vigore della Direttiva NIS.

Nel 2019, dopo uno studio su meccanismi e modalità di gestione della maturità, ENISA ha pubblicato delle indicazioni proprio alla luce dei requisiti introdotti dalla NIS, dove è giunta alla conclusione che l’approccio quantitativo di SIM3 è uno strumento eccellente per la gestione dei nuovi adempimenti.

ENISA ha inoltre identificato tre macro-livelli di maturità per i CERT europei. Livelli mappati anche dal network di cooperazione “TF-CSIRT/Trusted introducer” e funzionali ad assolvere i requisiti. Questi livelli si dividono in:

  • Tier 1, ovvero livello base nel quale il CERT è stabilito ed inserito all’interno delle comunità di settore;
  • Tier 2, livello intermedio, dove il CERT ha consolidato una base operativa funzionante ed ha guadagnato la fiducia della comunità di settore;
  • Tier 3, livello avanzato dove il CERT dimostra di avere stabilito un insieme di capacità e servizi.

Per raggiungere questo ultimo livello di maturità, il CERT può fare leva su standard e certificazioni come ISO/IEC 27035:2011 oppure la certificazione TF-CSIRT/Trusted Introducer, basata su SIM3.

Livelli di maturità del CERT identificati da ENISA secondo il modello SIM3.

Le certificazioni

Uno dei meccanismi che ENISA suggerisce per il raggiungimento e la misurazione della maturità del CERT è proprio il modello SIM3.

Oltre a poter esser utilizzato per auto-valutazioni e gap analysis interne, SIM3 è un modello utilizzato anche all’interno di TF-CSIRT/Trusted Introducer (FT-CSIRT/TI), il network europeo di cooperazione tra i CSIRT europei governativi, aziendali, para-militari e commerciali, che dal 2000 ha instaurato una rete collaborativa al servizio dei CERT.

In particolare, il network richiede la Certificazione SIM3 per accedere ai livelli di status più elevati. Titolo rilasciato a seguito di un apposito audit di certificazione, rinnovabile ogni tre anni a patto che gli standard siano stati mantenuti ed innalzati.

Tant’è che ENISA suggerisce proprio FT-CSIRT/TI come uno dei meccanismi per la gestione della maturità del CERT.

Conclusioni

Al di là che si scelga di stabilire un CERT in azienda oppure di ingaggiarne uno esterno, misurarne capacità e maturità è un aspetto critico per il raggiungimento degli obiettivi della strategia di cyber security scelta.

In questo, lo standard SIM3 rappresenta un valido riferimento anche per il mondo privato. Nasce infatti da esigenze molto concrete proprio sulle funzioni di risposta e preparazione agli incidenti, e si concentra su aspetti caratteristici di questo genere di unità.

Inoltre, SIM3 si sta diffondendo anche in Italia. Infatti, di recente il Global Cyber Security Center (GSEC), fondazione di Poste Italiane per l’avanzamento della cyber security nel nostro Paese, ha lanciato il programma CERTRAINING: una piattaforma di autovalutazione basata proprio su questo maturity model.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr