Cyber Security: 3 vulnerabilità da tenere sotto controllo con il framework nazionale
Link al framework nazionale alla fine dell’articolo.
Gli attacchi nel mondo cibernetico sfruttano le vulnerabilità di un sistema complesso che possono essere di natura tecnica, organizzativa, di processo, o anche in combinazione tra loro. Le vulnerabilità organizzative e di processo sono riconducibili in buona parte alla mancanza di misure di protezione informatica, come l’esercizio di buone pratiche di gestione o misure inadeguate di protezione anti-virus e anti-spam, che possono impedire a malware di penetrare il sistema e di provocare effetti dannosi sull’infrastruttura informatica e sui servizi da essa erogati; le vulnerabilità tecniche, invece, sono riconducibili a falle di sicurezza del software applicativo o di sistema, nonché degli apparati di rete e di gestione di comunicazione dati.
Si rende necessario, pertanto, individuare e ridurre al massimo dette vulnerabilità, in particolare nel caso in cui si tratti di sistemi o reti di interesse nazionale, progettando un piano di prevenzione che faccia dell’analisi del rischio l’elemento fondamentale da cui partire per mettere a punto un insieme di interventi da porre in essere per la gestione e la mitigazione del rischio cibernetico e per la definizione di una serie di misure di sicurezza fisica, logica e organizzativa. Il risk assessment è, dunque, una fase fondamentale del più ampio risk management e può essere condotto utilizzando metodologie diverse.
Nel mondo cyber l’approccio ‘tradizionale’ mostra chiari limiti, poiché l’evoluzione del rischio è estremamente rapida e mutevole rispetto a scenari più consolidati. L’elemento di svolta si è presentato nel febbraio 2014 quando il National Institute of Standards and Technology (NIST) ha presentato la prima versione del “Framework for Improving Critical Infrastructure Cybersecurity” (NIST, 2014), come descritto in precedenza nel presente lavoro, un framework nazionale non prescrittivo, messo a punto per proporre alle organizzazioni un approccio omogeneo ed efficace all’analisi del rischio per definire interventi di cyber security finalizzati a ridurre il rischio legato alle minacce provenienti dal cyber-space.
Il framework propone una metodologia sistematica facile da adottare per il cyber risk management e rappresenta un modello da applicare nella realtà organizzativa o industriale che aiuta a comprendere, identificare i rischi e proteggere i dati strategici e come rispondere e recuperare in caso di attacco dal cyber spazio. In Italia il Framework Nazionale per la cyber security è stato prodotto dal CIS-Sapienza e il Laboratorio Nazionale di cyber security, in collaborazione con diverse organizzazioni pubbliche e private. Il Framework Nazionale per la cyber security e il Cyber Security Report 2015 sono stati elaborati in chiave nazionale allo scopo di offrire alle organizzazioni e alle PMI un approccio omogeneo per affrontare la cyber security, aumentando la resilienza delle imprese nei confronti della minaccia cyber. L’approccio proposto nel framework italiano ricalca il Framework for Improving Critical Infrastructure statunitense (NIST, 2014; NIST, 2017), ampliato e adattato al contesto italiano e propone un modello per incrementare il livello di cyber security orientato alla piccola/media impresa italiana, oltre che un pacchetto di raccomandazioni destinate al top management di grandi aziende e Operatori di infrastrutture critiche su come organizzare processi di cyber security e risk management.