Negli ultimi anni, sono stati fatti molti passi avanti dal mondo della ricerca e dall’industria per sviluppare una disciplina sulla cyber security strutturata e solida. In particolare, sono stati elaborati specifici standard per affrontare il rischio cyber, i quali, tuttavia, scontano spesso un approccio statico e non possono essere applicati per gestire la dinamicità tipica del rischio cyber.
In altre parole, questi modelli risultano discutibili quando valutano i rischi basandosi sulla probabilità degli eventi. A causa delle vulnerabilità e delle minacce in costante evoluzione, i risultati di una valutazione dei rischi possono infatti diventare rapidamente obsoleti.
È pertanto importante costruire framework che definiscano politiche, processi e tecnologie abilitanti per affrontare specifici requisiti di gestione dei rischi cyber e che possano anche fornire una vista integrata delle pratiche di sicurezza raccomandate per affrontare minacce e vulnerabilità legate a normative e standard differenti, sia nel processo di valutazione del rischio sia nelle iniziative di adeguamento e remediation.
Indice degli argomenti
Framework integrato di cyber security: la situazione in Italia
Negli ultimi anni, lo scenario nazionale della cybersecurity è decisamente variato e ciò ha portato nelle organizzazioni una maggiore attenzione al rischio cyber e alla necessità di adeguate misure di sicurezza. In particolare, la protezione delle infrastrutture critiche sta diventando una delle pietre miliari della sicurezza nazionale, tanto che la Direttiva NIS incentiva lo sviluppo di relazioni di fiducia tra soggetti pubblici e privati e la valorizzazione di una cultura condivisa e cooperativa di gestione dei rischi.
In questo contesto, il Framework Nazionale per la Cybersecurity e la Data Protection (FNCS), sviluppato su iniziativa del CIS (Centro di Ricerca di Cyber Intelligence and Information Security), dell’Università La Sapienza e del Laboratorio Nazionale di Cybersecurity del CINI, rappresenta oggi un utile strumento di supporto ad organizzazioni di diversa natura e complessità, concepito per consentire alle stesse, indipendentemente dalle dimensioni, dall’industria o dal paese di origine, di progettare e gestire sia i principi di sicurezza informatica che quelli sulla privacy e per indirizzare i propri orientamenti strategici ed operativi.
Il FNCS eredita dal Cybersecurity Framework (CSF) del NIST le nozioni di Framework Core, Profile e Implementation Tier, aggiungendo misure di controllo che fanno capo a norme cogenti europee quali il General Data Protection Regulation – Regolamento UE 2016/679 (GDPR) e la Direttiva UE 2016/1148 NIS. Il Framework Core è strutturato gerarchicamente in Function, Category e Subcategory. Le Function (Identify, Protect, Detect, Respond e Recover) costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico e per ciascuna di esse, vengono identificate le sottostanti categorie e relative sottocategorie.
Pertanto, appare chiaro che un approccio alla privacy basato sul rischio, così come richiesto dal GDPR, non possa prescindere dagli aspetti di sicurezza informatica, dal momento che ormai gran parte dei dati aziendali viene gestita tramite sistemi informatici più o meno vulnerabili rispetto alle minacce cyber.
In questo contesto, i principi generali del CSF del NIST sono stati ripresi nel Framework per la Cybersecurity italiano, all’interno del quale sono state individuate una serie di attività volte alla riduzione e alla gestione proattiva del livello di rischio cyber.
In seguito, sono stati apportati aggiornamenti al framework, per renderlo non più uno strumento completamente focalizzato sulle problematiche legate alla cyber security, ma uno strumento più ampio, con inclusione di specifici aspetti legati al GDPR.
La necessità di questa inclusione è maturata insieme alla consapevolezza che, come già detto, la protezione dei dati è a tutti gli effetti un tema ortogonale alla cyber security, dal momento che la quasi totalità dei dati personali viene trattata per mezzo di strumenti informatici, quasi sempre connessi ad Internet.
Framework integrato di cyber security: i vantaggi
Il Framework Nazionale per la Cybersecurity ha subìto, nel tempo, varie evoluzioni, fino ad introdurre il concetto di “prototipo di contestualizzazione”, uno strumento utile a relazionare, fra loro, le varie subcategory rispetto a norme, regolamenti o best practice di settore.
A questo proposito, allo scopo di dare alle organizzazioni la possibilità di adattare il Framework a diversi contesti, sono stati introdotti alcuni concetti innovativi rispetto al CSF del NIST, fra i quali si annoverano i seguenti:
- contestualizzazioni
- livelli di maturità
- livelli di priorità
La contestualizzazione è un adattamento del Framework ad uno specifico contesto, che può spaziare da una singola realtà aziendale (quali micro imprese, PMI, grandi imprese), a specifici settori economici/produttivi, oppure regolati (quali pubbliche amministrazioni e banche). Appare evidente, quindi, come una contestualizzazione debba essere realizzata in base a caratteristiche specifiche del dominio di appartenenza.
A titolo di esempio, nella versione 2.0 del FNCS, è stato sviluppato il “prototipo di contestualizzazione” per il GDPR, che aiuta l’utilizzatore a contestualizzare il framework, rimanendo in linea con i requisiti del Regolamento UE 2016/679.
In concreto, la contestualizzazione del framework rispetto ad uno specifico settore presuppone la strutturazione del Core di interesse, che si ottiene selezionando le sole subcategory rilevanti per il settore produttivo in esame.
Oltre a questo, una contestualizzazione comporta anche la definizione dei livelli di maturità delle subcategory selezionate: essi forniscono una misura della maturità di un processo o di una tecnologia di sicurezza, impiegati da un’organizzazione nell’implementazione di una data subcategory.
Pertanto, un’organizzazione utilizza la scala di maturità prevista dal Framework (Alta, Media, Bassa) per valutare le proprie pratiche di sicurezza e identificare, quindi, il livello di maturità raggiunto dai suoi processi e dalle sue tecnologie, con riferimento ad ogni subcategory da implementare.
Per far ciò, l’idea è quella di avvalersi delle cosiddette Informative References (IRs) presenti all’interno del framework: queste rappresentano dei riferimenti che relazionano la singola subcategory del Framework a controlli e pratiche di sicurezza previsti da altri standard di settore riconosciuti, come ad esempio ISO/IEC 27001, ISO/IEC 29100, NIST SP800-53, COBIT, CIS CSC, ISA 62443, AgID e altre regolamentazioni generali vigenti come il GDPR e la Direttiva NIS.
Queste relazioni sono importanti in quanto strumentali alla determinazione del livello di maturità delle subcategory di ogni contestualizzazione. Dal momento che ogni subcategory del Core racchiude più possibili IRs, appare chiaro che da una corretta opera di mappatura delle relazioni discenda altresì una più probabile accuratezza nella determinazione dei livelli di maturità delle stesse subcategory.
Praticamente, per determinare i livelli di maturità delle subcategory, occorre definire i cosiddetti “livelli di priorità” delle Informative References ad esse associate. Essi costituiscono degli elementi utili alla definizione di un programma di implementazione che favorisca in modo prioritario gli interventi che maggiormente riducono i livelli di rischio a cui sono sottoposte le aziende, al fine di raggiungere un certo profilo target.
L’obiettivo principale di definire dei livelli di priorità è infatti quello di semplificare l’individuazione delle subcategory essenziali da implementare prioritariamente e indipendentemente dalla complessità realizzativa degli interventi di implementazione.
Va segnalato inoltre come, in fase di contestualizzazione, siano i prototipi di contestualizzazione a permettere di integrare le varie normative che richiedono l’attuazione di determinate pratiche indirizzate alla cyber security o alla data protection rispetto ai singoli contesti di applicazione.
Più prototipi possono essere implementati in fase di contestualizzazione per cogliere aspetti diversi. Questi prototipi non sostituiscono le contestualizzazioni, ma forniscono uno strumento di supporto che facilita la creazione e l’aggiornamento di una contestualizzazione, attraverso la composizione di più prototipi, come evidenziato nella figura seguente.
Al variare delle contestualizzazioni e dei prototipi utilizzati, ridefinire in modo flessibile il livello di maturità delle varie subcategory diventa la vera sfida di un siffatto framework integrato. In altri termini, risulta essenziale definire, di volta in volta, i vari livelli di maturità e, fra questi, la baseline della singola contestualizzazione, ovvero l’aspettativa di soddisfacimento del livello minimo di maturità delle subcategory dei prototipi scelti.
Due risultano essere le chiavi per la determinazione della baseline e degli altri livelli di maturità della contestualizzazione: i livelli di priorità di cui sopra e le classi di implementazione delle Informative References appartenenti alle subcategory.
Nel percorso di definizione del programma di implementazione dei controlli di sicurezza per le subcategory considerate nel prototipo di contestualizzazione, va definita, per ogni subcategory, la relativa classe di implementazione, che può essere “Obbligatoria”, “Consigliata” o “Libera”.
Una classe di implementazione si definisce “Obbligatoria” quando la subcategory relativa è considerata come imprescindibile in tutte le contestualizzazioni che implementano quel prototipo. Se invece la classe di implementazione di una subcategory è “Consigliata”, il framework porta solo a suggerire all’azienda utilizzatrice l’inclusione di quella subcategory in tutte le contestualizzazioni che implementano il prototipo.
Si arriva così fino al caso in cui l’inclusione della subcategory nelle contestualizzazioni che implementano il prototipo è lasciata alla libera scelta di chi definisce le contestualizzazioni. In questo caso, la classe di implementazione della subcategory si definisce “Libera”.
È chiaro che le varie classi di implementazioni delle subcategory possono essere utilizzate per distinguere i vari livelli di maturità con cui l’organizzazione gestisce il rischio cyber. In tal senso, l’inclusione, nella contestualizzazione, delle subcategory dei prototipi con classe di implementazione obbligatoria costituisce evidentemente il livello minimo di maturità cui un’organizzazione non può rinunciare, per gestire con sufficiente grado di maturità il rischio cyber identificato cui è sottoposta.
Dunque, contestualizzare il framework per un certo ambito applicativo, come un settore produttivo, significa estrapolare dal Core le sole subcategory rilevanti per quel settore, e definire opportunamente i livelli di priorità e le classi di implementazione delle Informative References associate. In definitiva, per contestualizzare il framework integrato rispetto ad un certo ambito o settore è necessario ogni volta definirne opportunamente il concetto di baseline, ovvero il combinato disposto delle subcategory con livello massimo di priorità e classe di implementazione obbligatoria.
Stante quanto detto finora, risulta chiaro come un framework integrato di sicurezza sia essenzialmente il risultato di molte ore di lavoro di opportuna correlazione dei requisiti di più standard diversi sui controlli di protezione dei sistemi informativi.
Ad esempio, per implementare i controlli di sicurezza critici del CIS, di per sé più critici e pratici, mantenendo però come riferimento i controlli del Framework Nazionale, risulta evidente che disporre di un’opportuna matrice di mappatura consentirebbe di riuscire a tenere sotto osservazione, in un colpo solo, i controlli di ambo i framework ed evitare sprechi nella valutazione di controlli “correlati”.
Si pensi ad esempio ad una Organizzazione pubblica che fornisce servizi essenziali (OES). Grazie al Framework Nazionale FNCS, l’Organizzazione sarebbe in grado di contestualizzare il framework rispetto alle misure minime AgID, alla direttiva NIS e al GDPR utilizzando un unico strumento di gestione della sicurezza informatica e della privacy.
Analogamente, va detto che con un framework integrato è sempre possibile lavorare anche su diverse mappature del suo core, magari rispetto ai requisiti di altri standard di sicurezza ancora non contemplati. D’altra parte, ogni standard non eccelle in tutte le aree o domini di sicurezza, ma si concentra in genere su una selezione di componenti specifici.
In sostanza, rispetto ad altre possibili alternative, i vantaggi di un approccio integrato, quale quello già adottato dal Framework Nazionale per la Cybersecurity, ma ulteriormente migliorabile, possono essere così tradotti:
- trattasi di uno strumento aperto, che riunisce in una visione coerente e unificata aspetti di cyber security con elementi di data protection;
- può essere adottato sia per la pianificazione degli interventi migliorativi (piano di remediation) sia come strumento di monitoraggio continuo;
- adotta un approccio basato sul rischio, che tende a facilitare la collaborazione tra il management delle organizzazioni e i responsabili tecnici;
- è derivato, ed è quindi compatibile, con il Cybersecurity Framework del NIST, adottato da migliaia di organizzazioni su scala mondiale;
- data la strutturazione sulla base delle relazioni con più Informative References specifiche, la periodicità di aggiornamento viene garantita all’aggiornarsi dei vari framework costituenti, anche se l’aggiornamento resta comunque fortemente dipendente dall’organizzazione che adotta il modello e dal livello di cura con cui lo manutiene nel tempo.
La centralità di CIS e AgID
Tra le varie informative references presenti all’interno del FNSC, i controlli CIS CSC (Center for Internet Security Critical Security Controls for Effective Cyber Defense) e le misure minime di sicurezza ICT emanate dall’AgID (Agenzia per L’Italia Digitale) rappresentano i due riferimenti che più si concentrano nella definizione di azioni puntuali di natura tecnica, utili a mitigare i più comuni attacchi contro reti e sistemi informatici di aziende e istituzioni.
Il vantaggio di servirsi di un framework quale quello del CIS sta nel fatto che i relativi controlli vengono costantemente aggiornati e sono raggruppati in tre classi (basic, fundamental, organizational), sulla base dell’impatto che questi controlli hanno sulla sicurezza dei sistemi, e consentono dunque ad un’organizzazione di avere piena consapevolezza della prioritizzazione degli interventi da attuare. L’elenco dei 20 controlli in cui si articola tale framework, normalmente conosciuti come Critical Security Control (CSC), è ordinato sulla base dell’impatto sulla sicurezza dei sistemi.
Questo vuol dire che “ciascun controllo precede tutti quelli la cui implementazione innalza il livello di sicurezza in misura inferiore alla sua”. Inoltre, giova appena sottolineare come, con riferimento al nostro Paese, l’elenco dei controlli di sicurezza definiti dall’AgID prenda spunto proprio dal framework pubblicato dal Center for Internet Security, giunto alla versione 7.1.
La duttilità e la centralità di questi due framework fa sì che possano essere inclusi in qualsiasi prototipo di contestualizzazione del Framework, fornendo delle indicazioni sulle misure di cybersecurity da attuare nelle subcategory in cui sono relazionati.
Nel caso del prototipo di contestualizzazione per il GDPR, ad esempio, i controlli CIS e le misure AgID possono essere utilizzati per supportare e guidare l’Organizzazione al rispetto di tutte quelle subcategory in cui è presente la relazione con l’articolo 32 del Regolamento che, come è noto, obbliga di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Conclusioni
In conclusione, appare chiaro come, nella gestione dei temi legati alla gestione del rischio cyber, sia preferibile adottare un approccio olistico che metta in correlazione fra loro diversi strumenti, collegandoli puntualmente: da un lato i modelli di gestione e di supporto (per maggiori dettagli, si faccia riferimento all’articolo Framework per la valutazione dei controlli di sicurezza: quali sono e come usarli) dall’altro la normativa e la legislazione nazionale ed europea, che impongono l’adozione delle regole di sicurezza e quelle sul trattamento dei dati.
Questi sono alcuni degli strumenti a disposizione delle organizzazioni, strettamente collegati e che – se ben adoperati – possono portare alla realizzazione di un modello da implementare.
È in questa direzione che sono stati indirizzati gli sforzi già compiuti per realizzare il Framework Nazionale per la Cybersecurity, il quale può tuttavia essere ulteriormente sviluppato e ampliato per essere adattato ai diversi contesti eterogenei presenti nel panorama nazionale, tramite la creazione di apposite contestualizzazioni.
Aziende di settori merceologici diversi hanno infatti, in ambito cyber, requisiti e criticità tendenzialmente diverse e peculiari. Questo vuol dire che a seconda dei fattori in esame, quali il tipo di servizi o prodotti, la dimensione e l’esposizione al rischio delle aziende considerate, l’insieme delle pratiche di sicurezza da mettere in atto e i processi necessari possono essere anche molto diversi tra loro.
Le contestualizzazioni del Framework risultano quindi strumenti di altissimo valore, in quanto permettono di strutturare in maniera profilata la gestione del rischio cyber delle organizzazioni target. La creazione di una contestualizzazione è tuttavia un’operazione complessa che richiede sia un’elevata conoscenza del dominio applicativo sia una significativa padronanza del Framework Nazionale.
Nondimeno, l’adozione di framework integrati possono aiutare le istituzioni coinvolte nella gestione del rischio di costruire un contesto più ricco di consapevolezza a livello nazionale, il che permetterebbe loro di comprendere più agevolmente la postura di sicurezza di tutti i soggetti interessati da infrastrutture critiche, nonché coordinare le autorità competenti pubbliche per reagire agli eventuali incidenti e adottare adeguate misure di attenuazione.
