Non si smette mai di imparare e anche il NIST, il National Institute of Standards and Technology degli Stati Uniti, si è dovuto arrendere a queste verità, nonostante continui a mantenere un velato ma indiscutibile atteggiamento di superiorità nei confronti di tutti gli altri soggetti istituzionali che si occupano di cybersicurezza nel mondo.
Nella lotta contro il cybercrime, dopotutto, non si può pretendere di salire in cattedra e restarci. Se si vuol essere considerati un riferimento del settore, ci si deve aggiornare ed evolvere continuamente. Perché continuamente evolvono le tecnologie e, soprattutto, le capacità dei criminali informatici di sfruttarle in modo efficiente.
Cybersecurity Framework 2.0: internazionale e inclusivo
A denotare un cambio di mindset del NIST è il rilascio di una versione del suo Cybersecurity Framework (CSF), quella 2.0. Questo documento raccoglie una serie di best practice e raccomandazioni, mettendole a disposizione delle organizzazioni che desiderano migliorare la propria posizione di sicurezza informatica, diventando più consapevoli di ciò che in futuro va fatto, o meno, per minimizzare i rischi cyber.
Questa notizia non farebbe tanto rumore se non fosse che era da 10 anni che il NIST non modificava il proprio framework in maniera significativa, limitandosi ad “aggiustarlo” di tanto in tanto. Dopo un lavoro di due anni, invece, ora ha deciso di condividere un documento finalmente al passo coi tempi e “per il largo pubblico”. Il precedente era infatti stato progettato per i settori delle infrastrutture critiche, quello nuovo fornisce consigli di sicurezza alle organizzazioni di qualsiasi settore e di qualsiasi dimensione e maturità in termini di protezione dal cybercrime. Un nuovo approccio inclusivo mira a rendere il framework “made in USA” ancora più rilevante, non solo in ambito nazionale. Già la precedente versione aveva varcato i confini tradotta in 13 lingue e lo stesso ci si aspetta accadrà per quella 2.0.
La principale svolta “nascosta” tra le righe del documento riguarda l’introduzione di una nuova funzione centrale di governance per la gestione del rischio. È la sesta e si aggiunge alle cinque ereditate dalla precedente versione (identificare, proteggere, rilevare, rispondere e recuperare) per “elevarle” al di là del team di sicurezza, lasciando che pervadano l’intera struttura di ogni organizzazione.
Se svolta correttamente ed efficacemente, un’azione di governance, secondo il NIST, “stabilisce, comunica e monitora la strategia, le aspettative e le politiche di gestione del rischio di cybersecurity”. Ciò significa che permette di capire cosa si può fare per raggiungere e dare priorità ai risultati delle altre cinque funzioni, in coerenza con il contesto della mission aziendale e delle aspettative degli stakeholder.
The framework “must go on”
Quella della governance è la novità principale ma non l’unica: nel CSF 2.0 è stata inserita una ricca suite di risorse che spaziano dalle guide rapide ai casi d’uso (per esempio, imprese, PMI, gestione del rischio della catena di approvvigionamento informatico, ecc.), dagli esempi di implementazione ai cataloghi di mappatura per misurare la propria compliance al CSF stesso, fino a una lunga lista di strumenti sviluppati lavorando direttamente con le parti interessate e facendo tesoro del decennio di sfide alla sicurezza che il NIST ha alle spalle.
Si tratta di risorse varie e già adatte a diversi target ma che possono essere personalizzate o combinate a proprio piacimento. Oppure adottate in modo graduale, nel tempo, man mano che le esigenze di cybersecurity cambiano e le capacità evolvono.
È il NIST stesso a definire il proprio documento “vivo”, promettendo di continuare ad arricchirlo con nuove risorse disponibili, anche grazie ai primi feedback che riceverà nei prossimi mesi dalla community della sicurezza. L’idea, e la sua richiesta, è che gli utenti che personalizzano il CSF condividano poi esempi e successi, aiutandolo a capire come essere sempre più utile alle organizzazioni nella gestione del rischio di cybersecurity presente e futuro.