Seguire un cybersecurity framework, ovvero un riferimento per le strategie di data protection, aiuta le aziende a districarsi in un ambito, quello della sicurezza cibernetica, non sempre facile da capire e, sopratutto, da tramutare in azioni concrete. Fortunatamente, questo riferimento in Italia esiste, ed è il Framework Nazionale per la Cybersecurity e la Data Protection.
Cos’è il Framework Nazionale per la Cybersecurity e la Data Protection?
Il Framework Nazionale per la Cybersecurity è un insieme di linee guida, frutto della collaborazione tra mondo accademico, enti pubblici e imprese private. Presentato nel 2015, prende spunto dal Cybersecurity Framework del NIST, il National Institute of Standards and Technology americano.
Il cybersecurity framework è stato creato per aiutare le aziende italiane a prevenire e affrontare i rischi legati a cybersecurity e data protection.
Perché il cybersecurity framework è importante per la data protection?
Non si può parlare di cybersecurity senza considerare la protezione dei dati (data protection). Infatti, gli attacchi informatici hanno spesso come obiettivo il furto di dati sensibili.
In questo contesto, i vantaggi nell’utilizzo del cybersecurity framework sono diversi.
Per prima cosa, permette alle aziende a identificare e classificare i dati, migliorando così le procedure di data protection (con riferimento al GDPR) e limitando violazioni della privacy, furti e leakage di dati sensibili.
Poi, aiuta le aziende italiane a prevenire e affrontare i rischi legati alla cybersecurity in generale, come diffusione di malware e ransomware, e attacchi DDoS, garantendo la continuità operativa anche in caso di incidente.
Infine, attraverso la formazione, il personale diventa la prima difesa per la sicurezza dei dati aziendali.
C’è da aggiungere che una scarsa attenzione alla data protection non rappresenta solo un rischio informatico ma ha ripercussioni negative anche sulla reputazione dell’azienda, portando alla perdita di clienti e causando danni economici. Pertanto, prestare attenzione alla cybersecurity è importante non solo per la tutela dei dati, ma anche per l’immagine il rendimento dell’azienda.
Come si usa il Framework Nazionale?
Il cybersecurity framework italiano può essere usato in diversi modi, a seconda delle necessità dell’azienda. Per esempio, è utile per:
– identificare i rischi legati alla cybersecurity;
– valutare i livelli di cybersecurity in un determinato momento
– implementare misure di sicurezza;
– monitorare e valutare l’efficacia delle misure adottate.
Poiché, l’obiettivo del documento è dare alle aziende una metodologia da seguire, il framework indica tre fasi da seguire:
- Contestualizzazione: applicare il framework alle specificità dell’azienda attraverso protocolli di contestualizzazione,
- Misura: definire la divergenza fra lo stato effettivo e lo stato desiderato,
- Valutazione: l’analisi dei risultati a seguito dell’implementazione.
Nella pratica, le 3 fasi si trasformano in una procedura in 9 passi:
- Identificare una contestualizzazione del Framework;
- Definire priorità e ambito, nonché gli obiettivi da raggiungere;
- Identificare sistemi e asset che l’organizzazione ritiene vitali e critici;
- Determinare il profilo corrente, ovvero il livello di maturità dell’azienda in fatto di data protection e sicurezza;
- Analizzare il rischio;
- Determinare il profilo target, cioè il livello di implementazione e di maturità che si vuole conseguire
- Determinare il gap rispetto al profilo target
- Definire e attuare una roadmap per raggiungere il profilo target
- Misurare le performance delle azioni implementate.
Per definire un programma di azione, le aziende possono valutare le diverse attività in base ai livelli di priorità indicati dal framework:
– Alta: sono interventi che riducono sensibilmente i fattori di rischio cyber. Hanno dunque la precedenza e devono essere realizzati anche se ciò comporta difficoltà;
– Media: questi interventi possono ridurre i fattori di rischio e generalmente sono più semplici da realizzare;
– Bassa: si tratta di interventi che riducono i fattori di rischio, la cui realizzazione è però molto complessa (cambiamenti a livello di organizzazione o di infrastruttura)
A tutto ciò, il framework aggiunge anche una lista di 15 controlli considerati essenziali per la cybersecurity.
I 15 controlli essenziali per la cybersecurity
I 15 controlli essenziali per la sicurezza indicati dal Framework sono stati scelti in base a rilevanza, efficacia e facilità di implementazione. Sono raggruppati in 8 categorie:
- Inventario dispositivi e software
- Sistemi, dispositivi, software, servizi e applicazioni usate all’interno del perimetro aziendale.
- Servizi web (social network, email, ecc.) di terze parti a cui si è registrati.
- Protezione di informazioni, dati e sistemi critici per l’azienda.
- Nomina di un responsabile che coordini le attività di gestione e di protezione di informazioni e sistemi informatici.
- Governance
- Leggi e/o regolamenti rilevanti per la cybersecurity applicabili all’azienda.
- Protezione da malware
- Dispositivi dotati di software di protezione (antivirus, ecc.) aggiornato con regolarità.
- Gestione password e account
- Singoli account con password diverse e complesse; utilizzo dei sistemi di autenticazione sicuri, come l’autenticazione a due fattori.
- Personale autorizzato all’accesso, anche remoto, ai servizi informatici ha utenze personali non condivise con altri; l’accesso è protetto; gli account vecchi vengono disattivati.
- Ogni utente accede solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
- Formazione e consapevolezza
- Personale sensibilizzato e formato sui rischi e sulle pratiche da adottare.I vertici aziendali predispongono la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
- Protezione dei dati
- Configurazione iniziale di tutti i sistemi e dispositivi svolta da personale esperto. Le credenziali di accesso di default vengono sostituite.
- Periodici backup di informazioni e dati critici, conservati in modo sicuro e verificati periodicamente.
- Protezione delle reti.
- Reti e sistemi protetti da accessi non autorizzati attraverso strumenti specifici (Firewall, ecc.).
- Prevenzione e mitigazione
- In caso di incidente vengono informati i responsabili della cybersecurity che metteranno i sistemi in sicurezza.
- Tutti i software in uso sono aggiornati all’ultima versione consigliata dal produttore. Dispositivi o software obsoleti e non più aggiornabili sono dismessi.
Il cybersecurity framework è la soluzione definitiva?
Il cybersecurity framework è uno strumento decisamente utile per le aziende che vogliono migliorare la loro cybersecurity. Tuttavia, non è un modello che offre una soluzione definitiva. Difatti, lo scenario delle minacce informatiche è in continuo mutamento e le aziende devono essere in grado di adattarsi per proteggere i propri dati. Per questo il framework stesso è un documento in continua evoluzione che si propone di indicare una via alle aziende, le quali devono però saper scegliere autonomamente strumenti e procedure adeguati alle minacce note di oggi e a quelle ancora ignote del domani.