Il Framework Nazionale per la Cybersecurity è nato appositamente per supportare le strategie di protezione dei dati personali e la gestione della sicurezza cibernetica, pensato per il particolare contesto produttivo italiano.
Assicurarsi che la propria azienda sia in grado di resistere alle moderne sfide di sicurezza è infatti uno dei grandi ostacoli sulla via della crescita digitale. Gestire la cyber security significa occuparsi di uno svariato numero di minuzie e, nel contempo, mantenere un quadro d’insieme, mentre fuori e dentro tutto cambia. Continuamente, ininterrottamente e molto velocemente.
Da qui l’esigenza di molti di avere una bussola, un riferimento per orientare la propria strategia di gestione del rischio cibernetico. Molte volte la scelta ricade su norme ISO, schemi di certificazione internazionali, od in alcuni standard scritti oltreoceano. Tuttavia, molti non sanno che anche l’Italia ha sviluppato standard proprio per questo fine.
Indice degli argomenti
Il Framework Nazionale per la Cybersecurity: cos’è
Il Framework Nazionale per la Cybersecurity nasce nel 2015. A dargli vita è una collaborazione tra enti pubblici, accademia e impresa. Dove la vivida consapevolezza del crescente rischio cibernetico ha reso palese l’esigenza di misure di sicurezza idonee ai tempi moderni.
Il Framework è stato partorito all’interno del CINI, sotto la guida di Roberto Baldoni, in quel periodo Direttore del Laboratorio Nazionale di Cyber Security del Consorzio Interuniversitario, che ha presieduto sino al 2018. Può sembrare un dettaglio, tuttavia, oggi, “il padre” del Framework Nazionale, è responsabile del Nucleo per la Sicurezza Cibernetica (NSC) ed è vice-direttore generale del Dipartimento delle Informazioni per la Sicurezza (DIS), operante direttamente sotto la Presidente del Consiglio dei ministri.
Una posizione di tutta centralità nelle scelte strategiche di cyber security nazionali. Tant’è che a febbraio 2019, durante ITASEC19, principale conferenza di Sicurezza italiana, è stato proprio lui a svelare la strategia di sicurezza cibernetica del nostro Paese.
Circostanza che, unita alla recente adozione del Framework per la delineazione delle linee guida agli Operatori Essenziali sottoposti alla NIS, lo rende di particolare interesse. Sicuramente da attenzionare.
La struttura del Framework Nazionale per la Cybersecurity
Il Framework si ispira fortemente al Cyber Security Framework del NIST. Ne conserva infatti la struttura e la ripartizione in funzioni, categorie e sottocategorie di controlli di sicurezza, mantenendo però una forte consapevolezza del contesto e del tessuto produttivo nazionale, profondamente diverso da quello statunitense sia in termini di digitalizzazione, sia in termini di tipologie di organizzazioni.
Da notare che le sottocategorie del Framework non sono autoreferenziali. Gli aspetti di sicurezza che colgono, infatti, si mappano agilmente su norme e standard di sicurezza ben note nel settore.
I controlli previsti dal Framework hanno espliciti punti di contatto con la norma ISO:IEC 27001, con la ISO:IEC 62443, con i controlli CSC del CIS, con modelli di governance come COBIT 5 e con le principali regolamentazioni privacy.
Elementi molto utili durante l’integrazione del Framework nella gestione della compliance aziendale.
Entrando nel dettaglio, il Framework Nazionale si sviluppa in cinque funzioni, le principali tematiche che è necessario affrontare per gestire il rischio cibernetico:
- Identify (ID), ovvero la comprensione del contesto aziendale e degli asset critici per il business. Qui dentro si sviluppano controlli sull’asset management, sulla governance della cyber security, sulla gestione del rischio e dei dati, incluso il rischio filiera (Supply Chain Risk Management).
- Protect (PR), tematica che racchiude misure volte alla protezione di processi di business, di asset aziendali ed informazioni. Tratta problematiche di controllo accessi, awareness, data security, tecnologie di protezione e la corretta manutenzione dei sistemi.
- Detect (DE), comprende tutto ciò che è necessario all’identificazione di incidenti di sicurezza. Qui vengono trattate tematiche quali la gestione di anomalie ed eventi, il monitoraggio di sicurezza ed i processi di rilevamento.
- Respond (RS), funzione dove si sviluppano le attività e gli interventi in caso di incidente di sicurezza informatica. Si va dalla pianificazione della risposta, alle analisi da condurre, alle mitigazioni, al contenimento della problematica, sino alle comunicazioni e le notifiche da emanare.
- Recover (RE), funzione associata alle attività di ripristino di processi e servizi impattati da un incidente di sicurezza. I controlli in queste sezioni si articolano in tematiche quali il Recovery Planning, gli aspetti comunicativi ed i processi di miglioramento (Lesson Learned).
C’è da dire che il Framework non è stato pensato come un monolite, la sua struttura si presta infatti alla definizione di profili. Ovvero di una sorta di ritagli del Framework stesso, risultato della selezione di specifici controlli applicabili al contesto di business ed al profilo di rischio.
Misurare la maturità aziendale nella gestione del rischio cibernetico
Il Framework mette a disposizione anche meccanismi per aiutare le organizzazioni a valutare la propria maturità nella gestione del rischio cibernetico. Lo fa lasciando un’ampia flessibilità, ma al contempo definendo alcuni concetti di base. In particolare, i controlli e le sottocategorie sono marcabili con tre livelli di priorità:
- alta: ove gli interventi permettono una sensibile riduzione del rischio cyber. Da realizzare a prescindere dalle difficoltà implementative;
- media: per gli interventi che permettono di conseguire una riduzione dei fattori di rischio e che risultano di semplice implementazione;
- bassa: interventi che permettono di conseguire una riduzione del rischio cyber, ma la cui complessità è considerata alta, come ad esempio forti cambiamenti organizzativi o infrastrutturali.
Come elemento di flessibilità, oltre ai profili, vi sono i prototipi di contestualizzazione: uno degli ultimi strumenti introdotti nel Framework per gestire modelli aggiuntivi, una sorta di “template” da addizionare al profilo scelto.
Tecnicamente, un prototipo di contestualizzazione contiene, per ogni sottocategoria o per ogni controllo, una tra le seguenti opzioni:
- obbligatorio, modificatore che indica che la sottocategoria deve essere inclusa in tutte le contestualizzazioni che implementano il prototipo;
- consigliato: indica invece che l’inclusione della sottocategoria non è obbligatoria ma caldamente suggerita;
- libero: modificatore che esprime un vincolo rilassato per l’implementazione della sottocategoria nelle contestualizzazioni che implementano il prototipo.
Oltre a ciò, le sottocategorie all’interno del prototipo possono ridefinire un loro livello di priorità, addizionabile nella particolare contestualizzazione che si sta trattando. Rendendo possibile, a questo punto, la definizione di livelli di maturità personalizzati per i controlli e le sottocategorie risultanti.
Esempio di applicazione di due prototipi ad una contestualizzazione del Framework.
Framework Nazionale per la Cybersecurity e GDPR: la sinergia
L’introduzione dei prototipi di contestualizzazione, ovvero di quei “template” sovrapponibili al profilo del Framework scelto, ha semplificato anche la gestione della conformità alle regolamentazioni cyber come GDPR e NIS.
Proprio per questo, nel 2016, il Framework ha cambiato nome ed è divenuto il Framework Nazionale per la Cybersecurity e la Data Protection. Questo cambiamento non è stato solo formale. Oltre all’aggiunta di controlli specifici relativi alla normativa privacy europea, con l’avvento del GDPR è stato pubblicato un apposito prototipo di contestualizzazione dedicato proprio alla nuova regolamentazione.
Questo prototipo chiarisce quali sono le categorie di controlli fondamentali per il GDPR e, con minuzia, riporta per ognuno di essi l’articolo del regolamento Europeo interessato. Un discreto aiuto per security manager e DPO.
Le PMI al centro dei piani di cyber security
Nel 2019 pensare che solo le grandi imprese siano bersaglio di attacchi cibernetici è un errore potenzialmente fatale. Anzi, oggi le grandi aziende sono quelle che hanno maggiori possibilità di sopravvivere ad un attacco cyber: quelle più in salute possono sopravvivere a danni nell’ordine di milioni di euro e possono, sebben non a cuor leggero, far fronte a frodi altrettanto ingenti.
Tuttavia, quello che per una grande azienda in salute può essere “sopportabile”, per una PMI può significare la cessazione del business.
Inoltre, la visione strategica sul rischio filiera, causato proprio dalle PMI, è stata una delle motivazioni dell’avvicinamento del Framework a queste realtà.
Il Framework si è infatti proposto in una versione dedicata al pubblico delle PMI. Forte di una accurata sintesi, dal 2016, il “Framework Nazionale per la Cybersecurity e la Data Protection” è stato reso disponibile in una versione condensata, operante nelle sue cinque funzioni con 15 controlli essenziali.
Un insieme minimo di pratiche di sicurezza di base, essenziali appunto, applicabili a partire dalla micro impresa.
Conclusioni
Molte volte sentiamo vari professionisti lamentare l’arretratezza del sistema Paese nei confronti delle grandi sfide della cyber security. Tuttavia, il lavoro portato avanti quasi silentemente nel corso degli anni, mostra come in realtà gli strumenti ci siano, e siano addirittura stati disegnati per il tessuto produttivo italiano.
Il Framework Nazionale per la Cybersecurity, oltre ad essere un valido riferimento per le strategie cyber delle grandi aziende, e la sua adozione nelle linee guida della NIS ne è la prova, è da intendersi anche come una opportunità nei confronti della PMI.
Una mano tesa alle organizzazioni che, sino ad oggi, non hanno affrontato in maniera strutturata il tema della sicurezza cibernetica, magari perché hanno valutato la realizzazione di un ISMS (Information Security Management System, Sistema di Gestione della Sicurezza delle Informazioni) ed il mantenimento di una certificazione ISO:IEC 27001 troppo onerosi o, ai loro occhi, privi di sufficiente valore.
Esistono alternative, e sono a portata di tutte le tipologie di aziende che sentono il problema della cyber security e della protezione dei dati. Il Framework Nazionale per la Cybersecurity e la Data Protection è una di queste.
