Quali sono gli standard di sicurezza del NIST?

Pubblicato: 2021-01-07

Le aziende oggi si trovano a chiedersi: "Quali sono gli standard di sicurezza del NIST e come possono essere applicabili ad essi?"

Questo non dovrebbe sorprendere: stiamo attualmente vivendo un drammatico cambiamento di atteggiamento nei confronti della minaccia della criminalità informatica e c'è un crescente riconoscimento tra le organizzazioni che gli standard di sicurezza nella sicurezza della rete non sono solo un aspetto importante di un'azienda moderna, ma in realtà vitali alla sua sopravvivenza.

Prima della pandemia, le aziende per loro stessa ammissione non erano preparate agli attacchi informatici, con solo il 23% delle organizzazioni che affermava di avere un piano di risposta agli incidenti applicato all'intera attività, secondo IBM.

Molte aziende semplicemente non sono pronte per il numero e la gravità dei moderni attacchi informatici, e non è una cosa da poco: il 93% delle aziende senza un piano di ripristino di emergenza che subiscono un grave disastro dei dati cessa l'attività entro un anno.

A causa della pandemia e dei cambiamenti che ha portato, gli attacchi informatici sono attualmente a livelli più elevati che mai e le aziende devono rispondere per proteggere se stesse e i propri clienti.

È qui che entrano in gioco framework come il NIST: le aziende sono alla ricerca di una guida sulla propria sicurezza informatica e sperano che standard come il NIST possano fornirla.

In questo blog, daremo un'occhiata a quali sono gli standard di sicurezza del NIST, li analizzeremo e determineremo quanto siano applicabili alle organizzazioni di tutto il paese che desiderano rafforzare la sicurezza aziendale.

Gli attacchi informatici in aumento stanno costando alle aziende | Quali sono gli standard di sicurezza del NIST?

Cos'è il NIST?

Il National Bureau of Standards, come era noto fino al 1988, è stato fondato nel 1901 come agenzia non di regolamentazione per fornire standard in una vasta gamma di settori, tra cui produzione, scienze ambientali, sicurezza pubblica, nanotecnologia, tecnologia dell'informazione e altro ancora.

Nel corso degli anni dalla sua fondazione, il mandato del NIST si è esteso a un numero crescente di settori, di cui la sicurezza informatica (sotto l'IT) è solo uno.

I framework NIST, compreso il suo framework di sicurezza informatica, sono intesi come linee guida volontarie per tutte le organizzazioni ad eccezione di quelle che si impegnano con contratti governativi, che sono tenute a rispettarli.

Che cos'è il NIST Cybersecurity Framework (CSF)?

Il NIST Cybersecurity Framework, o CSF ​​in breve, è stato istituito per ordine esecutivo nel 2013 sotto il presidente Obama al fine di creare un quadro di consenso per affrontare la sicurezza informatica con l'intenzione di ridurre il rischio per il governo critico e i sistemi di infrastrutture pubbliche.

La prima versione del CSF è stata pubblicata nel 2014 e poco dopo il Congresso ha approvato il Cybersecurity Enhancement Act del 2014 con il seguente scopo dichiarato:

UN ATTO Prevedere un partenariato pubblico-privato continuo e volontario per migliorare la sicurezza informatica e rafforzare la ricerca e lo sviluppo della sicurezza informatica, lo sviluppo e l'istruzione della forza lavoro, la consapevolezza e la preparazione del pubblico e per altri scopi.

Un altro ordine esecutivo è stato emesso dal presidente Trump nel 2017, ordinando a tutte le agenzie federali di utilizzare il quadro.

Nel 2015, circa il 30% delle imprese statunitensi ha utilizzato il CSF, con un ulteriore aumento al 50% nel 2020. Il successo del framework ha portato all'adozione non solo negli Stati Uniti, ma in tutto il mondo, dagli Stati Uniti Regno ad Israele.

Riepilogo del quadro NIST

Allora, quali sono gli standard di sicurezza del NIST?

Il NIST Cybersecurity Framework è suddiviso in tre componenti distinti: "Core", "Tier di implementazione" e "Profili".

Nucleo

Il Framework Core è l'insieme di attività progettate per ottenere i migliori risultati di sicurezza informatica desiderati dagli standard NIST.

Queste attività non sono una lista di controllo, ma piuttosto risultati chiave identificati dalle parti interessate come significativi nella gestione del rischio di sicurezza informatica.

Quali sono gli elementi Standard di sicurezza NIST?

Ci sono quattro elementi chiave che compongono il Framework Core. Questi sono:

  • Funzioni: le funzioni sono alcuni degli aspetti più riconoscibili del framework di sicurezza informatica NIST. Delineano le attività di sicurezza di base da una prospettiva di alto livello e aiutano le organizzazioni ad affrontare gli elementi più cruciali della sicurezza informatica. Le funzioni includono Identifica, Proteggi, Rileva, Rispondi e Recupera.
  • Categorie: le Categorie sono focalizzate sui risultati di business e sono leggermente più approfondite, coprendo gli obiettivi all'interno delle funzioni principali.
  • Sottocategorie: le sottocategorie sono il livello di astrazione più granulare nel Core. Ci sono un totale di 108 sottocategorie, che sono in genere guidate dai risultati e progettate per fornire considerazioni per stabilire o migliorare un programma di sicurezza informatica.
  • Riferimenti informativi: i riferimenti informativi si riferiscono a standard, linee guida e pratiche esistenti rilevanti per ciascuna sottocategoria.

Le cinque componenti del quadro NIST | Quali sono gli standard di sicurezza del NIST?

Categorie NIST delle cinque funzioni chiave del Cybersecurity Framework

Come abbiamo notato, ciascuna delle funzioni chiave è suddivisa in Categorie NIST e Sottocategorie NIST.

Le categorie NIST sono le seguenti:

Identificare

  • Gestione delle risorse
  • Ambiente di business
  • Governo
  • Valutazione del rischio
  • Strategia di gestione del rischio
  • Gestione del rischio della catena di approvvigionamento

Articolo correlato: Cosa succede durante un audit del rischio di sicurezza informatica?

Proteggere

  • Gestione dell'identità e controllo degli accessi
  • Consapevolezza e Formazione
  • La sicurezza dei dati
  • Processi e procedure di protezione delle informazioni
  • Manutenzione
  • Tecnologia protettiva

Rileva

  • Anomalie ed Eventi
  • Monitoraggio continuo della sicurezza
  • Processi di rilevamento

Rispondere

  • Pianificazione della risposta
  • Comunicazioni
  • Analisi
  • Mitigazione
  • Miglioramenti

Recuperare

  • Pianificazione del recupero
  • Miglioramenti
  • Comunicazioni

Livelli

I livelli di implementazione del Framework devono aiutare a illustrare la misura in cui un'organizzazione è in grado di soddisfare efficacemente le caratteristiche delineate nelle Funzioni e Categorie del Framework.

Questi livelli di implementazione non sono considerati livelli di maturità della sicurezza informatica e non intendono esserlo.

Tuttavia, le organizzazioni che soddisfano gli standard per i livelli più alti avranno inevitabilmente molte delle caratteristiche che definiscono le aziende cyber mature.

Livello 1 (parziale)

Processo di gestione del rischio: le pratiche di gestione del rischio non sono formalizzate e il rischio è gestito in modo ad hoc.

Programma integrato di gestione del rischio: consapevolezza limitata del rischio di sicurezza informatica a livello organizzativo.

Partecipazione esterna: l'organizzazione non collabora con altre entità né comprende il suo ruolo nell'ecosistema più ampio.

Livello 2 (Informato sul rischio)

Processo di gestione del rischio: le pratiche di gestione del rischio sono approvate dalla direzione e ordinate per priorità in base agli obiettivi di rischio organizzativo.

Programma integrato di gestione del rischio: consapevolezza del rischio di sicurezza informatica a livello organizzativo, ma privo di un approccio aziendale alla gestione di questo rischio.

Partecipazione esterna: l'organizzazione riconosce il proprio ruolo nell'ecosistema aziendale rispetto alle sue dipendenze o dipendenti, ma non a entrambi. Una certa collaborazione, ma potrebbe non agire in modo coerente o formale sui rischi presentati.

Livello 3 (ripetibile)

Processo di gestione del rischio: le pratiche di gestione del rischio sono formalmente approvate ed espresse attraverso la politica. Le pratiche di sicurezza informatica vengono regolarmente aggiornate in base all'applicazione del processo formale di gestione del rischio.

Programma integrato di gestione dei rischi: approccio a livello di organizzazione alla gestione dei rischi per la sicurezza e personale in possesso delle conoscenze e delle competenze per gestire i rischi per la sicurezza.

Partecipazione esterna: il ruolo dell'organizzazione nell'ecosistema più ampio è inteso come relativo ad altre aziende e può contribuire a una più ampia comprensione dei rischi da parte della comunità. Collabora e riceve regolarmente informazioni da altri.

Livello 4 (adattivo)

Processo di gestione del rischio: le pratiche di sicurezza informatica vengono adattate e sviluppate sulla base delle attività precedenti e attuali, nonché degli indicatori predittivi. È previsto il miglioramento continuo dei processi attraverso l'incorporazione di tecnologie e pratiche avanzate.

Programma integrato di gestione del rischio: la relazione tra rischio per la sicurezza e obiettivi organizzativi è chiara. La gestione del rischio di sicurezza fa parte della cultura organizzativa e le modifiche al modo in cui viene affrontata la gestione del rischio vengono comunicate in modo rapido ed efficace.

Partecipazione esterna: l'organizzazione comprende appieno il proprio ruolo nell'ecosistema più ampio e contribuisce alla comprensione dei rischi da parte della comunità. Riceve, genera e assegna la priorità alle informazioni che informano l'analisi costante dei rischi. Viene sfruttata l'analisi dei dati in tempo reale e la comunicazione è proattiva in quanto riguarda i rischi associati ai prodotti e ai servizi utilizzati.

Profilo

Il profilo quadro si riferisce all'allineamento generale di funzioni, categorie e sottocategorie con i requisiti aziendali, la tolleranza al rischio e le risorse dell'organizzazione.

Poiché aziende diverse hanno priorità diverse, non ci saranno due profili uguali, quindi determinare il profilo quadro unico che meglio si adatta all'azienda è l'ultimo aspetto chiave degli standard NIST.

Profilo attuale e profilo di destinazione

Quando le aziende stabiliscono profili per gli standard di sicurezza informatica, un modo comune ed efficace per capire dove si trovano e dove vogliono essere è creare due profili: il profilo attuale e il profilo di destinazione.

Il profilo attuale viene creato valutando la capacità dell'organizzazione di svolgere attività di sottocategoria.

Esempi di sottocategorie includono cose come "I dispositivi fisici e i sistemi all'interno dell'organizzazione vengono inventariati" (ID.AM-1) e "I dati in transito sono protetti" (PR.DS-2)".

Questi sono solo due esempi delle 108 Sottocategorie totali, ma danno un'indicazione del tipo di attività che vengono valutate.

Una volta che il profilo corrente è stato stabilito classificando la capacità dell'azienda di soddisfare ogni sottocategoria, è il momento di creare il profilo di destinazione.

Il profilo di destinazione è effettivamente dove l'azienda dovrebbe trovarsi con la sua sicurezza informatica al fine di soddisfare gli obiettivi e le priorità di gestione del rischio desiderati.

Una volta creato il profilo di destinazione, l'organizzazione può quindi confrontare i due e ottenere una chiara comprensione di dove l'azienda soddisfa i propri obiettivi di gestione del rischio e dove è necessario apportare miglioramenti.

Questo è uno dei modi più efficaci per comprendere appieno quali sono gli standard di sicurezza del NIST e quanto siano direttamente applicabili a un'organizzazione in termini di miglioramento dei propri protocolli e conformità alle raccomandazioni del NIST sul QCS.

Chi utilizza il framework di sicurezza informatica NIST?

Come abbiamo notato, il NIST è progettato prima di tutto come un framework rivolto a quelle aziende nella catena di approvvigionamento federale, che si tratti di appaltatori principali, subappaltatori o un'altra entità che deve essere conforme al NIST.

Gli standard del NIST, tuttavia, sono applicabili praticamente a qualsiasi azienda e rappresentano una fonte estremamente preziosa per determinare le attività di sicurezza informatica correnti di un'azienda e la loro capacità di portarle a uno standard accettabile, oltre a scoprire priorità nuove e sconosciute.

L'obiettivo finale del NIST è fornire un quadro non solo per le organizzazioni associate a livello federale, ma per il mondo degli affari in generale.

A tal fine, il NIST prevede di aggiornare continuamente il framework di sicurezza informatica per mantenerlo aggiornato e applicabile a chiunque, indipendentemente dal fatto che necessiti o meno della conformità NIST CSF.

E adesso?

Ci auguriamo che questo post sul blog ti abbia aiutato a comprendere quali sono gli standard di sicurezza NIST e come vengono utilizzati nelle organizzazioni.

Sebbene la conformità al NIST CSF non sia necessaria per le organizzazioni non appaltate dal governo o subappaltate da un appaltatore governativo, molte delle sue attività e protocolli si applicano a molte altre normative di conformità che devono essere seguite, come HIPAA, PCI, PII.

Per la conformità a queste normative (e molte altre), si suggerisce di utilizzare una soluzione di governance risk and compliance (GRC) in modo che le attività possano essere accuratamente monitorate e mantenute.

In Impact, offriamo una tale soluzione, con opzioni per la gestione ibrida o completa di GRC da parte dei nostri esperti, che eseguiranno una valutazione del rischio e si assicureranno che le tue politiche di sicurezza informatica siano esattamente dove devono essere per rimanere conformi.

Per ulteriori informazioni, dai un'occhiata alla nostra pagina Servizi di conformità e connettiti con uno specialista per vedere come Impact può portare la conformità della tua organizzazione in pista oggi.