NIST Cybersecurity Framework: una roadmap per la sicurezza delle infrastrutture - Agenda Digitale

la guida

NIST Cybersecurity Framework: una roadmap per la sicurezza delle infrastrutture

Il NIST Cybersecurity Framework è uno strumento utilissimo nelle mani degli esperti di sicurezza informatica per impostare e implementare un’infrastruttura informatica che presenti delle ragionevoli e adeguate misure di sicurezza. Una strategia per usarlo al meglio

30 Set 2021
Simone Bonavita

Professore a contratto in “Sensitive Personal data Processing”, Università degli Studi di Milano

Alessandro Cortina

Cybersecurity Consultant, Dottore Magistrale in Sicurezza Informatica e Perfezionato in Criminalità Informatica e Investigazioni Digitali

Il NIST Cybersecurity Framework potrebbe vista come un ragionevole roadmap da seguire per garantire scientificità e metodicità all’approccio con sui si affronterebbe le attuali sfide cyber security.

Una guida sempre più necessaria. Il mondo della sicurezza informatica diventa, giorno dopo giorno, sempre più grande e complesso. Mettere in sicurezza, da un punto di vista informatico, una realtà già esistente è sempre una sfida impegnativa per via dei molteplici fattori con cui bisogna scontrarsi: consapevolezza della gravità dei rischi informatici, cultura aziendale, budget, complessità dell’infrastruttura.

In che modo, dunque, un esperto di sicurezza informatica dovrebbe approcciarsi alla sfida di rendere sicura da zero un’infrastruttura informatica societaria, indipendentemente dalla sua grandezza?

Il NIST Cybersecurity Framework fornisce appunto qualche risposta.

Cyber security, le strategie dei Governi e le sfide per le PMI: scenari in mutamento

Cos’è il NIST Cybersecurity Framework

Andiamo, di seguito, ad analizzare i concetti e gli aspetti che sono alla base del suddetto framework.

I “componenti” del framework

Primo concetto da analizzare è quello dei componenti del framework che sono: il framework core, gli implemantion tiers e i profiles.

Il Core racchiude l’insieme delle attività e dei risultati per esse desiderati classificati in diverse categorie. L’obiettivo sostanziale di questo componente è quello di favorire la comunicazione e la collaborazione tra team multidisciplinari evitando un linguaggio tecnico in favore di uno più semplice e intuitivo. Il Core è costituito da tre parti: Funzioni, Categorie e Sottocategorie.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Le Funzioni sono 5 e descritte ad alto livello: Identify, Protect, Detect, Respond, e Recover. Utilità di queste 5 funzioni è che esse possono essere utilizzate non solamente in un discorso prettamente informatico, ma sono applicabili anche in contesti di gestione del rischio in generale. Per ognuna di queste, proseguendo, vi sono assegnate diverse categorie per un totale di 23.

Le Categorie vengono utilizzate per riportare i possibili obiettivi che da un punto di vista della sicurezza informatica un’organizzazione dovrebbe perseguire. A tal fine, queste sono state sono progettate senza essere eccessivamente dettagliate in modo tale da fornire un raggio d’azione il più ampio possibile: vengono infatti affrontati tematiche quali, a titolo esemplificativo e non esaustivo, la sicurezza fisica, la sicurezza logica, la sicurezza dei dati personali e anche i risultati di business da tenere sempre in considerazione. A loro volta, infine, le categorie presentano delle sottocategorie.

Le Sottocategorie rappresentano il livello di astrazione più profondo del Core. Ci sono 108 sottocategorie, che sono dichiarazioni outcome-driven che forniscono considerazioni per creare o migliorare un programma di cybersecurity. È bene considerare un elemento: poiché il Framework è, come detto, outcome-driven, ossia quindi che la “guida” viene data dai risultati, esso non impone come un’organizzazione debba raggiungere tali risultati, ne segue che vengono permesse implementazioni basate sul rischio che sono personalizzate per le esigenze dell’organizzazione specifica. Per rendere il tutto più chiaro facciamo un esempio.

Consideriamo la funzione “Identify”. Per la suddetta, tra le varie categorie vi è quella di “Business Environment” che, a sua volta, presenta diverse sottocategorie. A titolo esemplificativo una di queste è: “Priorities for organizational mission, objectives, and activities are established and communicated”. Come si può notare dunque, le sottocategorie sono delle vere e proprie “attestazioni” dei risultati raggiunti dall’organizzazione. Ogni sottocategoria, infine, è corredata da tutt’insieme di riferimenti a documenti tecnici aggiuntivi, detti Informative References, che possono essere utilizzati, a discrezione dell’organizzazione, come elementi di riferimento da seguire per raggiungere gli obiettivi prefissati nelle sottocategorie. Di seguito è proposta un’immagine riepilogativa di questi concetti ripresa dal settore del sito del NIST dedicato al Framework.

Implementaion tiers del NIST Cybersecurity Framework

Passiamo ora agli implementation tiers. I Tier descrivono il livello con cui i processi di gestione del rischio informatico di un’organizzazione catturano e implementano le caratteristiche definite nel Framework. I livelli vanno da Partial (Tier 1) ad Adaptive (Tier 4) e descrivono:

  • Quanto positivamente, con un crescente grado di rigore, le decisioni sul rischio informatico sono integrate in decisioni di rischio più ampie; e
  • Il grado con cui l’organizzazione condivide e riceve informazioni di riguardanti la sicurezza informatica da entità esterne.

Questi livelli, infine, non rappresentano e non dovrebbero essere interpretati come, necessariamente, i livelli di maturità raggiunti da un’organizzazione ma dovrebbero indicare il livello desiderato dall’organizzazione, assicurandosi che il suddetto soddisfi

Subcategories 1.1
gli obiettivi organizzativi, riduca il rischio informatico a livelli accettabili per l’organizzazione, e sia ragionevolmente implementabile.

Figura – fonte: https://www.nist.gov/cyberframework/online-learning/components-framework

I profile del NIST Cybersecurity Framework

Ultimo elemento da analizzare è quello riguardante i Framework Profiles. I Profile racchiudono al loro interno:

  • I requisiti e gli obiettivi organizzativi di un’organizzazione;
  • La propensione al rischio dell’organizzazione;
  • Le risorse utilizzate rispetto ai risultati desiderati del Core.

I profile, dunque, possono essere visti come una fotografia dello stato corrente dell’infrastruttura dell’organizzazione. Ne segue che questi possono essere utilizzati sia per effettuare delle attività descrittive dello status attuale della suddetta, sia possono essere creati dei profili “target” che rappresentano dei possibili stati futuri migliori rispetto a quelli in essere che l’organizzazione intende raggiungere. Un modo con cui un’organizzazione realizzare i profile è quello di determinare i propri requisiti relativamente alla sicurezza della propria struttura informatica, gli obiettivi della missione organizzativa e le metodologie operative che si vorrebbero implementare rispetto alle sottocategorie del Core.

A tali risultanze si andrebbe a confrontare quello che è, invece, lo stato attuale dell’infrastruttura dell’organizzazione per determinare i vari disallineamenti tra stato attuale e stato desiderato e tentare di comprendere al meglio, dunque, quelli che potrebbero essere gli interventi da effettuare per raggiungere lo stato desiderato. In questo modo, inoltre, si permetterebbe alle organizzazioni di creare un piano di implementazione dei miglioramenti andando a classificare, ad esempio, i vari interventi secondo una logica prioritaria. La priorità di realizzare una miglioria rispetto che a un’altra, la dimensione del gap tra stato attuale e desiderato per uno specifico aspetto e, infine, il costo stimato delle azioni correttive sono elementi che risultano essere di aiuto alle organizzazioni per pianificare e preventivare le attività di miglioramento della sicurezza informatica della loro infrastruttura.

Le funzioni del NIST Cybersecurity Framework

Dopo aver analizzato le tre componenti principali del Framework, approfondiamo in questo paragrafo quelle che sono le cinque funzioni brevemente introdotte nel precedente paragrafo.

Lo scopo di queste cinque funzioni è quello di fornire una guida agli operatori del settore e fissare quelle che sono, a livello astratto, le attività principali da eseguire al fine di intraprendere un efficace programma di miglioramento della sicurezza informatica di un’infrastruttura informatica. Volendo fare una similitudine a fini esemplificativi, tali funzioni potrebbero essere paragonate alle attività di identificazione, raccolta, acquisizione e conservazione delle evidenze digitali descritte nello standard ISO/IEC 27037 relativo all’ambito della digital forensics. Come nello Standard, infatti, vengono indicate le varie fasi attraverso le quali un operatore forense si dovrebbe muovere al fine di trattare nel modo corrette le possibili fonti di prova digitali, in modo similare nel framework si cerca di guidare l’operatore di fase in fase in un processo ciclico che, per dare i suoi frutti, dovrà essere periodicamente applicato.

  • La prima funzione indicata nel Framework è quella identificazione (identify function). Come in molti contesti legati alla gestione del rischio (di qualsiasi natura), infatti, anche nell’ambito della sicurezza informatica mettere a fuoco quello che è il contesto organizzativo comprendendo elementi quali: l’ambito applicativo dell’organizzazione, l’ambiente esterno, gli asset da tutelare – siano intesi non solo quelli più immediati come i dispositivi informativi in sé, ma anche a titolo esemplificativo i vari prodotti e/o servizi erogati dall’organizzazione, le risorse umane, il patrimonio intellettuale e la reputazione – rappresenta un passo fondamentale per la buona riuscita di un programma per la messa in sicurezza di un’infrastruttura informatica. Un medicinale ad ampio spettro è generalmente buono, ma in determinati casi sono quelli specifici che fanno la differenza. Allo stesso modo, adottare delle soluzioni di sicurezza generali che non entrano nel merito del contesto organizzativo ma che implementano delle misure di protezione generali avranno un’efficacia limitata e inferiore a soluzioni ad hoc pensate specificatamente per un determinato scenario nel quale sono stati analizzati tutti i fattori del caso.
  • La seconda funzione indicata nel Framework è quella di protezione (protect function). In questa fase si vanno a identificare quelle soluzioni che hanno il ruolo di impedire il verificare di un incidente di sicurezza informatico o, quantomeno, di mitigarne gli effetti negativi. Ad esempio, dei possibili esempi di risultati desiderati relativamente alle Categorie di questa funzione sono la responsabilizzazione e la sensibilizzazione del personale dell’organizzazione nei confronti delle tematiche e dei pericoli relativi alla sicurezza informatica tramite programmi di formazione sull’argomento, e l’implementazione di misure di sicurezza, in linea con la strategia di gestione del rischio dell’organizzazione, al fine di tutelare la confidenzialità, integrità e disponibilità dell’informazioni gestite all’interno dell’infrastruttura.
  • La terza funzione è quella di rilevamento (detect function), nella quale vengono indicate delle metodologie volte a rilevare e identificare degli eventi eventi potenzialmente configurabili come incidenti informatici. AD esempio, un risultato desiderato in questo ambito sarebbe quello per cui all’interno dell’organizzazione si fosse sempre in grado di rilevare eventuali eventi anomali e stabilire il loro potenziale impatto sull’infrastruttura.
  • Quarta funzione è quella di risposta (respond function), che intuitivamente riguarda quell’insieme di attività che dovrebbero essere intraprese al verificarsi di un incidente di sicurezza. Obiettivo di queste attività e, dunque, ridurre il più possibile l’impatto che, con i relativi effettivi negativi, l’incidente ha provocato all’interno dell’infrastruttura organizzativa. Risultati desiderati per questa funzione potrebbero essere i seguenti: vengono adottate attività di mitigazione dell’incidente per prevenire che l’impatto, e gli eventuali danni, dell’incidente si espandano e colpiscano una porzione più ampia dell’infrastruttura; vengano adottate delle migliorie per quanto riguarda le misure di sicurezza dell’infrastruttura
  • Infine, quinta e ultima funzione è quella di ripristino (recover function). Una volta che, infatti, l’incidente è stato rilevato e gestito bisognerà ripristinare lo stato dell’infrastruttura a una situazione di normalità. Al fine di raggiungerò questo stato è necessario implementare delle soluzioni che influiscano sulla resilienza dell’infrastruttura e che permettano di effettuare delle attività di ripristino. A tal proposito, un risultato desiderato per questo ambito potrebbe essere quello di definire e realizzare un recovery plan, ossia un piano in cui vengono descritte delle procedure per la gestione delle attività di ripristino dei sistemi informatici in seguito a degli incidenti di sicurezza.

Come è possibile notare, in conclusione, tali funzioni sono realizzate a un alto livello di astrazione al fine di guidare gli operatori del settore ad una facile identificazione di quelle che sono le macro-aree in cui intervenire. Inoltre, una corretta suddivisione delle attività in queste varie Funzioni permette anche alle organizzazioni di poter distribuire e allocare le proprie risorse in modo più preciso, contribuendo così anche alla specializzazione del personale in un ristretto insieme di attività favorendo, in tal modo, la crescita e il raffinamento delle capacità degli operatori per quelle mansioni per cui sono stati assegnati.

Conclusioni

Affrontare una sfida che già si preannuncia complessa con però una metodologia e un insieme di strumenti ben definiti non possono che essere un valido alleato per l’operatore del mondo della sicurezza informatica in modo tale da poter svolgere un lavoro in maniera precisa e strutturata e con delle solide basi tecnico-scientifiche che giustificano le modalità di esecuzione e realizzazione delle attività svolte.

Note

  1. Per dei generali approfondimenti sul punto si veda: Moulos, V., et al. “A robust information life cycle management framework for securing and governing critical infrastructure systems.” Inventions 3.4 (2018): 71; Gupta, A., and Singh, N.. “Securing Critical Information Assets, Sensitive Business Data and Privacy”, in “The New Normal. The New Normal: Challenges of Managing Business, Social and Ecological Systems in the Post COVID 19 Era”, di Chaturvedi, H., Kumar Dey, A., Bloomsbury Publishing, 2021; Brotherston, L., Berlin A., “Defensive Security Handbook: Best Practices for Securing Infrastructure”, O’Reilly Media, Inc., 2017.
WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4