la guida

NIST Cybersecurity Framework: una roadmap per la sicurezza delle infrastrutture



Indirizzo copiato

Il NIST Cybersecurity Framework è uno strumento utilissimo nelle mani degli esperti di sicurezza informatica per impostare e implementare un’infrastruttura informatica che presenti delle ragionevoli e adeguate misure di sicurezza. Una strategia per usarlo al meglio

Pubblicato il 30 set 2021

Simone Bonavita

Executive Director, ISLC (UNIMI)

Alessandro Cortina

International Research Fellow, ISLC (UNIMI)



Golden Power

Il NIST Cybersecurity Framework potrebbe vista come un ragionevole roadmap da seguire per garantire scientificità e metodicità all’approccio con sui si affronterebbe le attuali sfide cyber security.

Una guida sempre più necessaria. Il mondo della sicurezza informatica diventa, giorno dopo giorno, sempre più grande e complesso. Mettere in sicurezza, da un punto di vista informatico, una realtà già esistente è sempre una sfida impegnativa per via dei molteplici fattori con cui bisogna scontrarsi: consapevolezza della gravità dei rischi informatici, cultura aziendale, budget, complessità dell’infrastruttura.

In che modo, dunque, un esperto di sicurezza informatica dovrebbe approcciarsi alla sfida di rendere sicura da zero un’infrastruttura informatica societaria, indipendentemente dalla sua grandezza?

Il NIST Cybersecurity Framework fornisce appunto qualche risposta.

Cos’è il NIST Cybersecurity Framework

Andiamo, di seguito, ad analizzare i concetti e gli aspetti che sono alla base del suddetto framework.

I “componenti” del framework

Primo concetto da analizzare è quello dei componenti del framework che sono: il framework core, gli implemantion tiers e i profiles.

Il Core racchiude l’insieme delle attività e dei risultati per esse desiderati classificati in diverse categorie. L’obiettivo sostanziale di questo componente è quello di favorire la comunicazione e la collaborazione tra team multidisciplinari evitando un linguaggio tecnico in favore di uno più semplice e intuitivo. Il Core è costituito da tre parti: Funzioni, Categorie e Sottocategorie.

Le Funzioni sono 5 e descritte ad alto livello: Identify, Protect, Detect, Respond, e Recover. Utilità di queste 5 funzioni è che esse possono essere utilizzate non solamente in un discorso prettamente informatico, ma sono applicabili anche in contesti di gestione del rischio in generale. Per ognuna di queste, proseguendo, vi sono assegnate diverse categorie per un totale di 23.

Le Categorie vengono utilizzate per riportare i possibili obiettivi che da un punto di vista della sicurezza informatica un’organizzazione dovrebbe perseguire. A tal fine, queste sono state sono progettate senza essere eccessivamente dettagliate in modo tale da fornire un raggio d’azione il più ampio possibile: vengono infatti affrontati tematiche quali, a titolo esemplificativo e non esaustivo, la sicurezza fisica, la sicurezza logica, la sicurezza dei dati personali e anche i risultati di business da tenere sempre in considerazione. A loro volta, infine, le categorie presentano delle sottocategorie.

Le Sottocategorie rappresentano il livello di astrazione più profondo del Core. Ci sono 108 sottocategorie, che sono dichiarazioni outcome-driven che forniscono considerazioni per creare o migliorare un programma di cybersecurity. È bene considerare un elemento: poiché il Framework è, come detto, outcome-driven, ossia quindi che la “guida” viene data dai risultati, esso non impone come un’organizzazione debba raggiungere tali risultati, ne segue che vengono permesse implementazioni basate sul rischio che sono personalizzate per le esigenze dell’organizzazione specifica. Per rendere il tutto più chiaro facciamo un esempio.

Consideriamo la funzione “Identify”. Per la suddetta, tra le varie categorie vi è quella di “Business Environment” che, a sua volta, presenta diverse sottocategorie. A titolo esemplificativo una di queste è: “Priorities for organizational mission, objectives, and activities are established and communicated”. Come si può notare dunque, le sottocategorie sono delle vere e proprie “attestazioni” dei risultati raggiunti dall’organizzazione. Ogni sottocategoria, infine, è corredata da tutt’insieme di riferimenti a documenti tecnici aggiuntivi, detti Informative References, che possono essere utilizzati, a discrezione dell’organizzazione, come elementi di riferimento da seguire per raggiungere gli obiettivi prefissati nelle sottocategorie. Di seguito è proposta un’immagine riepilogativa di questi concetti ripresa dal settore del sito del NIST dedicato al Framework.

Implementaion tiers del NIST Cybersecurity Framework

Passiamo ora agli implementation tiers. I Tier descrivono il livello con cui i processi di gestione del rischio informatico di un’organizzazione catturano e implementano le caratteristiche definite nel Framework. I livelli vanno da Partial (Tier 1) ad Adaptive (Tier 4) e descrivono:

  • Quanto positivamente, con un crescente grado di rigore, le decisioni sul rischio informatico sono integrate in decisioni di rischio più ampie; e
  • Il grado con cui l’organizzazione condivide e riceve informazioni di riguardanti la sicurezza informatica da entità esterne.

Questi livelli, infine, non rappresentano e non dovrebbero essere interpretati come, necessariamente, i livelli di maturità raggiunti da un’organizzazione ma dovrebbero indicare il livello desiderato dall’organizzazione, assicurandosi che il suddetto soddisfi Subcategories 1.1 gli obiettivi organizzativi, riduca il rischio informatico a livelli accettabili per l’organizzazione, e sia ragionevolmente implementabile.

Figura – fonte: https://www.nist.gov/cyberframework/online-learning/components-framework

I profile del NIST Cybersecurity Framework

Ultimo elemento da analizzare è quello riguardante i Framework Profiles. I Profile racchiudono al loro interno:

  • I requisiti e gli obiettivi organizzativi di un’organizzazione;
  • La propensione al rischio dell’organizzazione;
  • Le risorse utilizzate rispetto ai risultati desiderati del Core.

I profile, dunque, possono essere visti come una fotografia dello stato corrente dell’infrastruttura dell’organizzazione. Ne segue che questi possono essere utilizzati sia per effettuare delle attività descrittive dello status attuale della suddetta, sia possono essere creati dei profili “target” che rappresentano dei possibili stati futuri migliori rispetto a quelli in essere che l’organizzazione intende raggiungere. Un modo con cui un’organizzazione realizzare i profile è quello di determinare i propri requisiti relativamente alla sicurezza della propria struttura informatica, gli obiettivi della missione organizzativa e le metodologie operative che si vorrebbero implementare rispetto alle sottocategorie del Core.

A tali risultanze si andrebbe a confrontare quello che è, invece, lo stato attuale dell’infrastruttura dell’organizzazione per determinare i vari disallineamenti tra stato attuale e stato desiderato e tentare di comprendere al meglio, dunque, quelli che potrebbero essere gli interventi da effettuare per raggiungere lo stato desiderato. In questo modo, inoltre, si permetterebbe alle organizzazioni di creare un piano di implementazione dei miglioramenti andando a classificare, ad esempio, i vari interventi secondo una logica prioritaria. La priorità di realizzare una miglioria rispetto che a un’altra, la dimensione del gap tra stato attuale e desiderato per uno specifico aspetto e, infine, il costo stimato delle azioni correttive sono elementi che risultano essere di aiuto alle organizzazioni per pianificare e preventivare le attività di miglioramento della sicurezza informatica della loro infrastruttura.

Il supporto della letteratura e dei framework internazionali

Per garantire che l’approccio adottato sia scientifico e metodico sarebbe opportuno che esso sia basato su teorie e convenzioni largamente confermate e adottate a livello di letteratura, oppure, che faccia affidamento su approcci descritti in standard e/o framework internazionali. Se dei primi si possono trovare innumerevoli esempi di lavori realizzati nel corso degli anni più o meno efficaci e realizzabili nel mondo reale ([2]), è ragionevolmente sui secondi che l’esperto di sicurezza informatica può fare maggior affidamento per trovare una guida pratica con cui approcciarsi a uno specifico lavoro. Ben noti nel settore sono, a titolo esemplificativo, gli standard ISO della famiglia 27000 o anche pubblicazioni del National Institute of Standards and Technology (NIST) statunitense come la NIST Special Publication 800-53, arrivata oramai al suo quinto aggiornamento nel settembre del 2020, e il NIST Cybersecurity Framework, aggiornato al 2018. In particolare, quest’ultimo documento può essere uno strumento utilissimo nelle mani degli esperti di sicurezza informatica per impostare e implementare un’infrastruttura informatica che presenti delle ragionevoli e adeguate misure di sicurezza. Prima di addentrarci nel merito degli aspetti tecnici del framework ripercorriamo brevemente la storia di questo progetto.

I lavori riguardanti la realizzazione del framework iniziarono nel 2013 dopo la pubblicazione dell’executive order 13636 del febbraio 2013 da parte del governo statunitense. Con tale provvedimento si volle dare un impulso per incentivare la condivisione delle informazioni relative alle minacce informatiche, e per la definizione di una metodologia implementabile in contesti reali per ridurre i rischi informatici delle infrastrutture critiche. Quest’ultimo compito fu affidato al NIST, il quale avrebbe dovuto realizzare un framework che rispettasse i seguenti requisiti:

  • Identificare standard di sicurezza e linee guida applicabili in tutti i settori delle infrastrutture critiche;
  • Fornire un approccio prioritario, flessibile, ripetibile, performance-based ed efficiente per quanto riguarda i costi (cost-effective);
  • Aiutare i proprietari e gli operatori di infrastrutture critiche a identificare, valutare e gestire il rischio informatico;
  • Consentire l’innovazione tecnica e tenere conto delle differenze organizzative;
  • Fornire una guida che sia neutrale dal punto di vista tecnologico e che permetta ai settori delle infrastrutture critiche di beneficiare di un mercato competitivo per prodotti e servizi;
  • Includere una guida per poter misurare l’efficacia, le prestazioni dell’implementazione del framework;
  • Identificare le aree di miglioramento che dovrebbero essere oggetto di miglioramenti futuri in collaborazione con specifici settori e organizzazioni di sviluppo degli standard.

Le funzioni del NIST Cybersecurity Framework

Dopo aver analizzato le tre componenti principali del Framework, approfondiamo in questo paragrafo quelle che sono le cinque funzioni brevemente introdotte nel precedente paragrafo.

Lo scopo di queste cinque funzioni è quello di fornire una guida agli operatori del settore e fissare quelle che sono, a livello astratto, le attività principali da eseguire al fine di intraprendere un efficace programma di miglioramento della sicurezza informatica di un’infrastruttura informatica. Volendo fare una similitudine a fini esemplificativi, tali funzioni potrebbero essere paragonate alle attività di identificazione, raccolta, acquisizione e conservazione delle evidenze digitali descritte nello standard ISO/IEC 27037 relativo all’ambito della digital forensics. Come nello Standard, infatti, vengono indicate le varie fasi attraverso le quali un operatore forense si dovrebbe muovere al fine di trattare nel modo corrette le possibili fonti di prova digitali, in modo similare nel framework si cerca di guidare l’operatore di fase in fase in un processo ciclico che, per dare i suoi frutti, dovrà essere periodicamente applicato.

  • La prima funzione indicata nel Framework è quella identificazione (identify function). Come in molti contesti legati alla gestione del rischio (di qualsiasi natura), infatti, anche nell’ambito della sicurezza informatica mettere a fuoco quello che è il contesto organizzativo comprendendo elementi quali: l’ambito applicativo dell’organizzazione, l’ambiente esterno, gli asset da tutelare – siano intesi non solo quelli più immediati come i dispositivi informativi in sé, ma anche a titolo esemplificativo i vari prodotti e/o servizi erogati dall’organizzazione, le risorse umane, il patrimonio intellettuale e la reputazione – rappresenta un passo fondamentale per la buona riuscita di un programma per la messa in sicurezza di un’infrastruttura informatica. Un medicinale ad ampio spettro è generalmente buono, ma in determinati casi sono quelli specifici che fanno la differenza. Allo stesso modo, adottare delle soluzioni di sicurezza generali che non entrano nel merito del contesto organizzativo ma che implementano delle misure di protezione generali avranno un’efficacia limitata e inferiore a soluzioni ad hoc pensate specificatamente per un determinato scenario nel quale sono stati analizzati tutti i fattori del caso.
  • La seconda funzione indicata nel Framework è quella di protezione (protect function). In questa fase si vanno a identificare quelle soluzioni che hanno il ruolo di impedire il verificare di un incidente di sicurezza informatico o, quantomeno, di mitigarne gli effetti negativi. Ad esempio, dei possibili esempi di risultati desiderati relativamente alle Categorie di questa funzione sono la responsabilizzazione e la sensibilizzazione del personale dell’organizzazione nei confronti delle tematiche e dei pericoli relativi alla sicurezza informatica tramite programmi di formazione sull’argomento, e l’implementazione di misure di sicurezza, in linea con la strategia di gestione del rischio dell’organizzazione, al fine di tutelare la confidenzialità, integrità e disponibilità dell’informazioni gestite all’interno dell’infrastruttura.
  • La terza funzione è quella di rilevamento (detect function), nella quale vengono indicate delle metodologie volte a rilevare e identificare degli eventi eventi potenzialmente configurabili come incidenti informatici. AD esempio, un risultato desiderato in questo ambito sarebbe quello per cui all’interno dell’organizzazione si fosse sempre in grado di rilevare eventuali eventi anomali e stabilire il loro potenziale impatto sull’infrastruttura.
  • Quarta funzione è quella di risposta (respond function), che intuitivamente riguarda quell’insieme di attività che dovrebbero essere intraprese al verificarsi di un incidente di sicurezza. Obiettivo di queste attività e, dunque, ridurre il più possibile l’impatto che, con i relativi effettivi negativi, l’incidente ha provocato all’interno dell’infrastruttura organizzativa. Risultati desiderati per questa funzione potrebbero essere i seguenti: vengono adottate attività di mitigazione dell’incidente per prevenire che l’impatto, e gli eventuali danni, dell’incidente si espandano e colpiscano una porzione più ampia dell’infrastruttura; vengano adottate delle migliorie per quanto riguarda le misure di sicurezza dell’infrastruttura
  • Infine, quinta e ultima funzione è quella di ripristino (recover function). Una volta che, infatti, l’incidente è stato rilevato e gestito bisognerà ripristinare lo stato dell’infrastruttura a una situazione di normalità. Al fine di raggiungerò questo stato è necessario implementare delle soluzioni che influiscano sulla resilienza dell’infrastruttura e che permettano di effettuare delle attività di ripristino. A tal proposito, un risultato desiderato per questo ambito potrebbe essere quello di definire e realizzare un recovery plan, ossia un piano in cui vengono descritte delle procedure per la gestione delle attività di ripristino dei sistemi informatici in seguito a degli incidenti di sicurezza.

Come è possibile notare, in conclusione, tali funzioni sono realizzate a un alto livello di astrazione al fine di guidare gli operatori del settore ad una facile identificazione di quelle che sono le macro-aree in cui intervenire. Inoltre, una corretta suddivisione delle attività in queste varie Funzioni permette anche alle organizzazioni di poter distribuire e allocare le proprie risorse in modo più preciso, contribuendo così anche alla specializzazione del personale in un ristretto insieme di attività favorendo, in tal modo, la crescita e il raffinamento delle capacità degli operatori per quelle mansioni per cui sono stati assegnati.

Conclusioni

Affrontare una sfida che già si preannuncia complessa con però una metodologia e un insieme di strumenti ben definiti non possono che essere un valido alleato per l’operatore del mondo della sicurezza informatica in modo tale da poter svolgere un lavoro in maniera precisa e strutturata e con delle solide basi tecnico-scientifiche che giustificano le modalità di esecuzione e realizzazione delle attività svolte.

Note

  1. Per dei generali approfondimenti sul punto si veda: Moulos, V., et al. “A robust information life cycle management framework for securing and governing critical infrastructure systems.” Inventions 3.4 (2018): 71; Gupta, A., and Singh, N.. “Securing Critical Information Assets, Sensitive Business Data and Privacy”, in “The New Normal. The New Normal: Challenges of Managing Business, Social and Ecological Systems in the Post COVID 19 Era”, di Chaturvedi, H., Kumar Dey, A., Bloomsbury Publishing, 2021; Brotherston, L., Berlin A., “Defensive Security Handbook: Best Practices for Securing Infrastructure”, O’Reilly Media, Inc., 2017.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3