NIST Cybersecurity Framework:
cos’è e come è cambiato nel tempo

Il NIST Cybersecurity Framework (NIST CSF) è uno strumento potente per organizzare e migliorare i programmi di cybersecurity all’interno di una organizzazione.

Si tratta di un insieme di linee guida e di best practice che aiutano le imprese a costruire e migliorare la loro postura di sicurezza informatica attraverso una serie di raccomandazioni e standard che sono utili non solo per identificare e rilevare gli attacchi informatici, ma anche per prepararsi a rispondere agli incidenti cyber, a prevenirli e nel caso a mettere in atto azioni di recupero e ripristino.

È considerato lo standard di riferimento per la sicurezza informatica.

Il NIST CSF è stato redatto per rispondere alla mancanza di standard uniformi in materia di cybersecurity.

Il framework fornisce un insieme uniforme di regole, linee guida e standard che possono essere utilizzati dalle organizzazioni in vari settori ed è abbastanza flessibile da integrarsi con i processi di sicurezza esistenti all’interno di qualsiasi organizzazione e industria.

Insieme alla SP 800-53Security and Privacy Controls for Information Systems and Organizations”, è di fatto un documento fondamentale per chi si occupa di sicurezza informatica.

La struttura del framework si basa su cinque funzioni principali: Identify, Protect, Detect, Respond e Recover. Queste funzioni sono ulteriormente suddivise in categorie e sottocategorie che dettagliano le migliori pratiche di sicurezza, le strategie di risposta agli incidenti e le tecniche efficaci di recupero da ransomware.

La storia del NIST Cybersecurity Framework inizia ufficialmente il 12 febbraio 2013, con l’emanazione dell’Executive Order 13636, che incaricava NIST di collaborare con il settore privato degli Stati Uniti per identificare gli standard volontari esistenti e le best practices industriali, integrandoli in un Cybersecurity Framework.

La prima versione del framework, NIST CSF Version 1.0, fu pubblicata nel 2014 e successivamente aggiornata nel 2018.

Nel 2023 è stata rilasciata una bozza della Versione 2.0, rilasciata ufficialmente il 26 febbraio di quest’anno, dopo un periodo di consultazione pubblica iniziato nel febbraio 2022.

La nuova versione mantiene la struttura e la metodologia della precedente versione 1.1, ma con alcune modifiche significative.
In particolare, il titolo è stato aggiornato a “Cybersecurity Framework 2.0” per riflettere l’applicazione globale del framework, non più limitata alle infrastrutture critiche statunitensi.

Inoltre, è stata aggiunta una nuova funzione, “Govern” (GV), che sottolinea l’importanza della governance nella gestione del rischio di cybersecurity.

Nella nuova versione, dunque, il framework si basa su sei funzioni principali (Identify, Protect, Detect, Respond, Recover e Govern) per organizzare le attività di cybersecurity in modo sequenziale e integrato.

La versione 2.0 include anche nuovi riferimenti ad altri framework e risorse come il NIST Privacy Framework e il NIST Artificial Intelligence Risk Management Framework.

I 5 elementi del NIST Cybersecurity Framework (+1)

Come già accennato, la struttura del framework si basa su cinque funzioni principali, a loro volta ulteriormente suddivise in categorie e sottocategorie per dettagliare le pratiche e le strategie di protezione, difesa e risposta agli attacchi cyber.

Vediamoli in dettaglio.

Questa funzione riguarda la comprensione e la gestione dei rischi legati alla sicurezza informatica attraverso la gestione degli asset, la valutazione dei rischi e lo sviluppo di strategie di gestione del rischio.

L’obiettivo di questa funzione è quello di aumentare la consapevolezza organizzativa riguardo agli asset e ai rischi, migliorando la gestione degli asset.

Si suddivide a sua volta in tre categorie:

  • Asset Management, per l’identificazione e la gestione degli asset fisici e software;
  • Risk Assessment, per valutare i rischi al fine di determinare le potenziali minacce;
  • Risk Management Strategy, per sviluppare strategie per gestire i rischi identificati.

Questa funzione si concentra sull’implementazione di misure di salvaguardia per proteggere i servizi infrastrutturali critici, inclusi controllo degli accessi, gestione delle identità e protezione dei dati.

Ha l’obiettivo di garantire che informazioni critiche e sistemi siano adeguatamente protetti contro gli accessi non autorizzati e altre minacce.

Anche in questo caso, si suddivide in tre categorie principali:

  • Access Control, per garantire che solo le persone autorizzate possano accedere ai sistemi;
  • Identity Management, per la gestione delle identità e l’autenticazione degli utenti;
  • Data Security Protection, per la protezione dei dati sensibili attraverso cifratura e altre tecniche di sicurezza.

Questa funzione prevede il monitoraggio continuo degli eventi di sicurezza informatica, inclusi rilevamento delle intrusioni e registrazione degli eventi di sicurezza per identificare tempestivamente potenziali incidenti per poter prendere misure preventive o correttive.

Si suddivide in due categorie principali:

  • Anomalies and Events, per l’dentificazione delle anomalie che potrebbero indicare un potenziale incidente di sicurezza;
  • Continuous Monitoring, per il monitoraggio costante dei sistemi per rilevare attività sospette.

Questa funzione mira a prendere azioni in risposta a un incidente di sicurezza informatica, coordinando le risorse e analizzando l’incidente stesso, per minimizzare i danni e recuperare rapidamente.

Si suddivide in tre categorie:

  • Response Planning, per la pianificazione della risposta agli incidenti;
  • Communications, che prevede il coordinamento con risorse esterne come forze dell’ordine o team di risposta agli incidenti informatici;
  • Analysis, per capire la natura e portata di un incidente.

Questa funzione si concentra sul ripristino delle attività normali dopo un incidente di sicurezza informatica per assicurare un rapido ritorno alla normalità e implementare miglioramenti, sulla base delle lezioni apprese, per prevenire futuri incidenti.

Si suddivide in due categorie principali:

  • Recovery Planning, per la pianificazione dei processi di recupero;
  • Improvements, per implementare quanto appreso dagli incidenti per migliorare la resilienza futura.

Come anticipato, nella versione 2.0 del framework è stata inserita la funzione Govern, fondamentale perché di fatto guida l’implementazione delle altre cinque funzioni e si applica a tutte le tecnologie utilizzate dall’organizzazione, inclusi IT, IoT, OT, e vari ambienti tecnologici come cloud, mobile e AI.

In questo caso abbiamo sei categorie:

  • Organizational Context, che include missione, aspettative degli stakeholder e requisiti legali, normativi e contrattuali legati alla gestione del rischio di cybersecurity;
  • Risk Management Strategy, per stabilire priorità, vincoli, tolleranza al rischio e supportare le decisioni sul rischio operativo;
  • Roles, Responsibilities and Authorities, per definire e comunicare ruoli, responsabilità e autorità in materia di cybersecurity;
  • Policies, Processes, and Procedures, che stabilisce, comunica e applica le politiche, i processi e le procedure di cybersecurity;
  • Oversight, che utilizza i risultati delle attività di gestione del rischio di cybersecurity per informare e adeguare la strategia di gestione del rischio;
  • Cybersecurity Supply Chain Risk Management, che gestisce e migliora i processi di gestione del rischio della catena di approvvigionamento informatico.

Nella fase di implementazione del NIST, le organizzazioni possono definire profili e livelli dell’implementazione stessa.

Per quanto riguarda NIST, si parla dunque di Tiers, livelli di implementazione che corrispondono, di fatto, al rigore della governance del rischio informatico e delle pratiche di gestione dell’organizzazione, fornendo un contesto su come vengono percepiti i rischi di cybersecurity e sui processi adottati per gestirli.

Fanno parte del framework quattroimplementation tier” che corrispondono ai livelli del maturity model aziendale in materia di cybersecurity.

I Tier aiutano le organizzazioni a valutare e comunicare la loro postura di cybersecurity e a individuare aree di miglioramento: ogni tier rappresenta un insieme specifico di pratiche e risultati di cybersecurity, permettendo alle organizzazioni di allineare i loro sforzi di sicurezza informatica con gli obiettivi aziendali e la tolleranza al rischio.

Soprattutto, i Tier forniscono un benchmark per valutare le capacità di cybersecurity di un’organizzazione, identificando le aree che necessitano di miglioramento.

E ancor di più, i Tiers stabiliscono coerenza e responsabilità, permettendo alle organizzazioni di usare un linguaggio comune quando discutono delle pratiche di cybersecurity con stakeholder esterni e facilitando la misurazione e la reportistica dei risultati di cybersecurity.

Ma vediamo in dettaglio i quattro Tieri.

In questo caso, le organizzazioni hanno una consapevolezza limitata dei rischi di cybersecurity e adottano un approccio ad hoc, senza un programma formale di cybersecurity.

Al Tier 2, le organizzazioni iniziano a sviluppare una strategia di gestione del rischio informatico più comprensiva, con un programma di cybersecurity di base in via di implementazione.

Le organizzazioni hanno un programma di cybersecurity formale, applicato in modo coerente, con strategie di mitigazione dei rischi e misurazioni regolari dei risultati di cybersecurity.

Le organizzazioni hanno una postura di cybersecurity matura e adattiva, con un approccio proattivo e basato sul rischio, migliorando continuamente le pratiche di cybersecurity e rispondendo efficacemente agli incidenti informatici.

NIST si basa sull’assunto che la gestione del rischio informatico è fondamentale per proteggere le risorse aziendali e garantire la continuità operativa.

Ma come si può implementare efficacemente un piano di gestione del rischio informatico?

Vediamo in sintesi.

In primo luogo è fondamentale identificare gli obiettivi aziendali, i rischi e gli asset critici dell’organizzazione, riconoscere i rischi di sicurezza esistenti e le potenziali minacce per stabilire il punto di partenza delle operazioni di gestione del rischio informatico e determinare cosa proteggere.

Si va poi di più nello specifico con le valutazioni del rischio informatico, che quantificano l’impatto e la probabilità dei diversi rischi, dando anche una dimensione finanziaria ai rischi, prioritizzando quelli che possono causare maggiori danni all’organizzazione.

Ma quantificare il rischio non basta. È importante anche determinare qual è il grado di rischio che l’organizzazione può accettare. Questo consente di nuovo di focalizzarsi sui rischi più urgenti, sempre tenendo presenti gli obiettivi aziendali complessivi.

È poi necessario sviluppare strategie di mitigazione del rischio, che aiutano a ridurre i rischi identificati, attraverso controlli tecnici, miglioramenti dei processi e formazione, così come un piano di incident response, essenziale per gestire incidenti informatici o violazioni dei dati.

Deve includere passaggi per il contenimento, l’eradicazione delle minacce, il recupero e la comunicazione.

Su questo punto specifico, le best practice del NIST offrono una struttura per un processo coordinato e ripetibile.

Si passa poi al monitoraggio continuo di sistemi, reti e controlli per rilevare e rispondere a nuove minacce e vulnerabilità.

In tutto questo percorso, fondamentali sono la formazione e il lavoro sulla consapevolezza dei dipendenti, il cui ruolo è vitale nell’ambito della cybersecurity e che dunque devono essere allineati e aggiornati sulle migliori pratiche, le minacce e il corretto trattamento delle informazioni sensibili.

Parimenti, è fondamentale anche effettuare una valutazione regolare dei vendor e partner terzi per garantire che le loro pratiche siano allineate con gli standard di sicurezza dell’organizzazione.

Tutto questo, deve essere comunicato con regolarità agli stakeholder, perché possano valutare i percorsi in essere e scegliere con consapevolezza le azioni future.

NIST Cybersecurity Framework (CSF) è ampiamente riconosciuto come strumento essenziale per guidare le pratiche di sicurezza informatica.

La versione 2.0 del framework ha ulteriormente consolidato la sua posizione come guida preziosa per la sicurezza informatica.

Uno dei principali vantaggi dell’adozione del NIST CSF è la sua capacità di allinearsi strettamente con gli obiettivi aziendali, garantendo che le misure di cybersecurity contribuiscano alla performance e alla resilienza complessiva dell’azienda.
Inoltre, la nuova funzioneGovern” mette in evidenza l’allineamento strategico tra cybersecurity e gestione del rischio, offrendo una guida più sostanziale e completa su analisi, risposta, mitigazione e recupero degli incidenti.

In Italia, NIST è stato tradotto e adottato come “Framework Nazionale per la Cybersecurity e la Data Protection“.

Questa versione, sviluppata dal CIS-Sapienza e dal CINI, riprende il NIST CSF v.1.1 con alcune varianti per includere le specifiche del GDPR, aggiungendo sottocategorie pertinenti alla protezione dei dati personali.

Il nostro Paese dovrebbe dunque, attraverso l’Agenzia per la Cybersicurezza Nazionale (ACN), implementare il NIST CSF 2.0 in una versione italiana, seguendo l’esempio della versione precedente.