Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO STATO DELL'ARTE

Framework per la valutazione dei controlli di sicurezza: quali sono e come usarli

Le aziende devono rafforzare le loro difese contro le violazioni dei dati, i crimini informatici e le frodi e per valutare la loro maturità di sicurezza IT è opportuno che adottino un framework per la valutazione dei controlli di sicurezza. Ecco i migliori e i consigli per applicarli al meglio

22 Mar 2019
V

Massimo Valeri

Senior Consultant in ambito Risk Management & Data Protection


Le valutazioni dei controlli di sicurezza sono diventate strumenti fondamentali per le organizzazioni a causa del crescente numero di attacchi informatici. Sempre più spesso, le organizzazioni devono rafforzare le loro difese contro le violazioni dei dati, i crimini informatici e le frodi, nonché per garantirsi una postura di sicurezza più robusta.

In questo contesto, framework come NIST, CIS/SANS 20 o ISO 27001 si sono distinti come soluzioni di best practice per le organizzazioni, allo scopo di valutare la loro maturità di sicurezza IT e impostare obiettivi per migliorare le procedure utilizzate per proteggere i dati sensibili, eseguire la gestione delle modifiche e fornire accesso alle risorse critiche.

Anche utilizzando il più semplice di tali framework, l’implementazione dei controlli di sicurezza può risultare dispendiosa. I CISO o i direttori di sicurezza spesso non sanno da dove iniziare, anche con le più elementari autovalutazioni sui controlli di sicurezza.

L’enorme volume di controlli individuali all’interno di molti dei framework di controllo della sicurezza informatica rende poi l’implementazione del framework molto onerosa in termini di tempo, confonde e, in molti casi, fa sì che il personale di sicurezza IT perda concentrazione nella protezione delle aree critiche dell’azienda.

L’importanza di un framework di sicurezza

Le complessità in merito alla gestione delle informazioni e dei dati che devono essere gestiti all’interno di un’organizzazione incrementano in maniera vertiginosa ogni giorno. Anche i requisiti legali evolvono nel tempo per andare incontro alle garanzie di libertà degli individui (come nel caso del GDPR).

Le necessità di conservazione per statistiche e conformità diventano sempre più ampie (basti pensare alla conservazione a norma dei documenti digitali). Le tecnologie evolvono rapidamente e le tecniche di attacco e i crimini informatici crescono quotidianamente ampliando sempre di più il proprio ambito di applicazione (sistemi finanziari, e-commerce, infrastrutture critiche).

In questo scenario, spesso le organizzazioni aziendali approcciano il problema della sicurezza solo da un punto di vista tecnico, non considerando quanto segue:

  • l’approccio tecnico risulta parziale e incompleto: è un approccio non formale al problema e rappresenta una reazione ex post ad un evento accaduto (all’azienda o a terzi);
  • le parti interessate non sono formalmente coinvolte;
  • i proprietari delle informazioni e dei dati non sono definiti;
  • non si ha coscienza di quali sono le informazioni gestite e quanto queste sono critiche per l’azienda;
  • la sola conformità a requisiti o leggi non è sufficiente

Partendo da queste difficoltà, alcuni standard come NIST, CIS/SANS 20 o ISO 27001 si sono distinti come guide per le organizzazioni che vogliono implementare le misure tecnologiche e organizzative nell’ambito della sicurezza delle informazioni.

NIST Special Publication 800-53, Revision 5

L’Istituto Nazionale degli Standard e della Tecnologia (NIST) ha emesso la Pubblicazione Speciale 800-53 come catalogo di 20 gruppi di controllo di sicurezza e privacy.

Le cosiddette famiglie di controllo della sicurezza e della privacy delineate dal NIST 800-53 sono flessibili, customizzabili e possono essere implementate dalle organizzazioni come parte della loro strategia complessiva di gestione del rischio. I controlli coprono aree come il controllo degli accessi, la formazione sulla consapevolezza della sicurezza, le valutazioni formali del rischio, la risposta agli incidenti o il monitoraggio continuo a supporto della gestione del rischio organizzativo.

L’ultima revisione di questa pubblicazione di base del NIST rappresenta uno sforzo per sviluppare i controlli di sicurezza e privacy di prossima generazione che saranno necessari per raggiungere obiettivi specifici, fra cui:

  • fornire alle organizzazioni pubbliche e private orientamenti e misure di salvaguardia per rendere i sistemi di informazione più resistenti agli attacchi informatici;
  • proteggere la riservatezza, l’integrità e la disponibilità del sistema informativo delle organizzazioni;
  • limitare il loro impatto negativo quando si verificano attacchi cibernetici;
  • rendere questi sistemi di informazione più resistenti e resilienti in generale

Il NIST Framework è altamente strutturato, quando si tratta di pianificazione e implementazione. Il Framework Core è diviso in Funzioni (Identify, Protect, Detect, Respond e Recover), quindi in 22 Categorie correlate (ad esempio, Gestione delle risorse, Gestione dei rischi ecc.) – molto simile alle sezioni presenti nella ISO 27001, Allegato A), 98 Sottocategorie (molto simili ai controlli della norma ISO 27001, Allegato A), e per ciascuna sottocategoria vengono fatti diversi riferimenti ad altri quadri normativi, come quelli di ISO 27001, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC.

In questo modo, è molto semplice vedere quali sono i requisiti per la sicurezza informatica e scoprire come implementarli.

I livelli di implementazione del framework (parziale, consapevole del rischio informatico, replicabile e adattivo) spiegano quanto deve essere profonda l’implementazione della sicurezza informatica. In questo modo, un’azienda può facilmente decidere fino a che punto spingersi con la loro implementazione, tenendo conto dei requisiti delle varie parti interessate.

In relazione alle categorie e sottocategorie del Framework Core, viene creato un profilo (attuale, di destinazione) che rappresenta la posizione in cui si trova l’organizzazione e dove vuole essere. In questo modo, è molto facile stabilire dove sono le lacune, e quindi scegliere i piani d’azione che possono essere sviluppati per colmarle. Inoltre, i profili potrebbero essere utilizzati per stabilire i requisiti minimi per altre organizzazioni, ad esempio fornitori o partner, e tale tecnica purtroppo non esiste nella ISO 27001.

Nel complesso, il NIST Cybersecurity Framework consente sia al top management, ma anche agli ingegneri e al personale IT di comprendere facilmente cosa debba essere implementato e dove rintracciare le lacune in termini di sicurezza informatica.

I controlli critici di sicurezza CIS

Sviluppato dal SANS Institute, i CIS Critical Security Controls sono una serie raccomandata di azioni per la difesa informatica che forniscono modi specifici e attuabili per fermare gli attacchi più pervasivi e pericolosi di oggi.

Il framework consta di 20 controlli in totale, che indagano aree prioritarie come la sicurezza delle configurazioni hardware e software, la difesa da malware, il recupero dei dati, il monitoraggio e controllo degli account, la gestione e risposta agli incidenti, test di penetrazione ed esercizi di Red Team.

Se la struttura del NIST è troppo complessa per contesti con una politica di sicurezza essenzialmente inesistente, il CSC è progettato con l’idea di concentrarsi sui controlli più critici, quindi costituisce il miglior punto di partenza nei casi in cui la sicurezza informatica è un’area poco presidiata.

A differenza di framework di controllo più completi come il NIST Cybersecurity Framework o il PCI DSS, i 20 Critical Security Controls sono stati sviluppati per fornire alle organizzazioni un numero più piccolo e prioritario di controlli attuabili che dovrebbero essere implementati per ottenere risultati immediati. Piuttosto che implementare dozzine di controlli, questo approccio aiuta le organizzazioni a concentrarsi su ciò che è prioritario per stabilire una linea di base per la protezione e la difesa informatica.

Con la stratificazione del NIST Cyber-Security Framework, il numero dei controlli da considerare aumenta, benché questi siano meno critici. Mentre il framework CSC ha 20 controlli, il NIST Framework ha 98 controlli e il NIST 800-53 ne ha 256 ed è lo standard più adatto, fra questi, a definire un livello di maturità. La cosa interessante è che tutte queste strutture si sovrappongono l’una all’altra. I controlli CSC (Critical Security Controls) possono essere mappati a partire dal Cyber Security Framework e dal NIST 800-53 e, a sua volta, i controlli del NIST Framework possono essere mappati sulla 800-53. Ciò significa che il lavoro svolto su un solo controllo non viene mai sprecato, ma può essere riutilizzato anche applicando altri standard.

Lo standard ISO/IEC 27001

Sviluppato dall’International Standards Organization (ISO), lo standard ISO 27001 fornisce alle organizzazioni i requisiti su come gestire e proteggere le loro informazioni aziendali sensibili con un cosiddetto Information Security Management System (ISMS).

L’ISMS è un framework di gestione del rischio che aiuta a identificare, analizzare e affrontare i rischi di informazioni di un’organizzazione per proteggersi da minacce informatiche e violazioni dei dati, simili nella progettazione ai sistemi di gestione per la garanzia della qualità (serie ISO 9000) e protezione ambientale (serie ISO 14000).

A differenza del NIST 800-171, che è specifico per le agenzie federali negli Stati Uniti, o PCI DSS, che è specifico per le organizzazioni che elaborano pagamenti con carta di credito, lo standard ISO 27001 si applica a tutti i tipi di organizzazioni, pubbliche o private, profit o non profit, indipendentemente dalle dimensioni o dall’industria. Si basa su un processo di pianificazione in sei fasi che prevede la collaborazione tra diversi reparti all’interno di un’organizzazione:

  • definire una politica di sicurezza;
  • definire l’ambito dell’ISMS;
  • effettuare una valutazione del rischio;
  • gestire i rischi identificati;
  • selezionare gli obiettivi di controllo e i controlli da implementare;
  • preparare una dichiarazione di applicabilità.

Sia il NIST che la ISO 27001 offrono una metodologia su come implementare la sicurezza delle informazioni in un’organizzazione. Entrambi gli standard sono tecnologicamente neutri ed hanno lo scopo di conseguire benefici aziendali pur rispettando i requisiti legali e normativi e le esigenze di tutte le parti interessate.

La somiglianza maggiore è che entrambi sono basati sulla gestione del rischio: ciò significa che entrambi richiedono che le salvaguardie siano implementate solo se vengono rilevati determinati rischi di sicurezza informatica.

Uno dei maggiori vantaggi della ISO 27001 è che le aziende possono ottenere la relativa certificazione: questo significa che una società può dimostrare ai propri clienti, partner, azionisti, agenzie governative che può effettivamente mantenere le proprie informazioni al sicuro. Inoltre, è uno standard riconosciuto a livello internazionale, ragion per cui se una società americana desiderasse certificare la propria affidabilità in termini di sicurezza nei confronti dei vari stakeholder, la ISO 27001 potrebbe allora fungere da soluzione più adatta rispetto al NIST Framework.

Per di più, ISO 27001 si concentra sulla protezione di tutti i tipi di informazioni, non solo delle informazioni memorizzate o elaborate nei sistemi IT. È vero che le informazioni cartacee hanno sempre meno importanza, ma per alcune società tali informazioni potrebbero comunque comportare rischi significativi.

A differenza del Cybersecurity Framework, ISO 27001:

  • definisce chiaramente quali documenti siano obbligatori e quale sia il minimo livello di misure da implementare;
  • definisce un approccio di sistema e un insieme di requisiti che hanno delle relazioni specifiche tra loro;
  • stabilisce che cosa deve essere soddisfatto e non come questo debba essere soddisfatto.

Infine, mentre il NIST Framework si concentra solo su come pianificare e attuare la sicurezza informatica, ISO 27001 adotta un approccio molto più ampio: la sua metodologia si basa sul ciclo Plan-Do-Check-Act (PDCA), il che significa costruire un sistema di gestione che non solo progetta e implementa la cyber security, ma mantiene e migliora anche l’intero sistema di gestione delle informazioni.

Questo aspetto è rilevante perché la pratica ha dimostrato che non è sufficiente pianificare e implementare un sistema, in quanto, senza misurazione, revisione, audit, azioni correttive e miglioramenti costanti, tale sistema tenderebbe a deteriorarsi gradualmente nel tempo fino a perdere il proprio scopo.

Conclusioni

Se non si è sicuri di quale framework di conformità della sicurezza applicare alla propria organizzazione, occorre tener presente che tali standard sono tutti progettati per scopi diversi, industrie o aree geografiche differenti:

  • il NIST Special Publication 800-53 propone un catalogo di 20 diversi gruppi di controllo sulla privacy e sulla sicurezza per aiutare le agenzie e le organizzazioni federali degli Stati Uniti a gestire meglio i loro rischi;
  • i 20 controlli critici di sicurezza CIS sono indipendenti dal tipo di settore e dalla geografia e forniscono un approccio tecnico basato su priorità, allo scopo di ottenere risultati immediati e di grande impatto;
  • lo standard ISO 27001 è un approccio meno tecnico e più basato sulla gestione del rischio che fornisce raccomandazioni di best practice per aziende di ogni tipo e dimensione in sei fasi definite;
  • lo standard di conformità PCI DSS delinea le 12 norme sulla sicurezza dei dati di best practice per le organizzazioni che elaborano e memorizzano i dettagli delle carte di pagamento.

In conclusione, se da un lato il NIST Cybersecurity Framework appare consigliabile quando si tratta di strutturare le aree di sicurezza che devono essere implementate e quando si tratta di definire esattamente i profili di sicurezza che devono essere raggiunti, la ISO 27001, dall’altro, è più apprezzabile qualora si voglia ottenere un quadro olistico della situazione, ad esempio allo scopo di progettare un sistema entro il quale la sicurezza può essere gestita a lungo termine.

I Critical Security Controls condividono l’approccio del framework NIST, ma su un perimetro più ristretto e prioritario.

Dati i differenti approcci ed obiettivi, i risultati migliori potrebbero essere raggiunti se la progettazione dell’intera sicurezza informatica fosse impostata in base alla norma ISO 27001 e utilizzare invece il Framework NIST Cybersecurity quando si tratta di gestione dei rischi e attuazione delle particolari misure di salvaguardia della sicurezza informatica.

Indipendentemente dal framework di conformità utilizzato nell’ambito della propria organizzazione, un programma di conformità dedicato può aiutare l’organizzazione a gestire i rischi, migliorare la sicurezza e a dimostrare impegno per la qualità e il miglioramento continuo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5