I framework per la valutazione dei controlli di sicurezza hanno acquisito una importanza progressivamente crescente sia per la compliance alle normative europee e nazionali, sia per l’esigenza di contrasto alla costante estensione delle minacce informatiche a opera dei criminali digitali. Ma se non si può dimenticare il rispetto delle normative vigenti, anche tenendo conto delle sanzioni previste, il tema dell’efficacia delle protezioni è basilare per la necessaria prevenzione contro gli incidenti informatici e i data breach.
Come procedere per evitare un risultato burocratico e di sola compliance ma poco efficace nei fatti? Come coinvolgere efficacemente gli stakeholder aziendali facendoli sentire parte della soluzione?
LumIT, nella sua vision metodologica smart, esce dagli schemi più tradizionali: con il design thinking e attraverso l’intervento di esperti di security raccoglie e filtra i dati, utilizzando un approccio analitico multilivello, applicato al framework per la valutazione dei controlli di sicurezza. Il risultato è una puntuale analisi di gap di security, a cui corrisponde l’identificazione di tecnologie di protezione prioritizzate per efficacia.
Cosa è un framework per la valutazione dei controlli di sicurezza
Ricordando le vigenti normative, ovvero la Direttiva NIS n.1148/2016 e il suo recepimento nazionale (decreto legislativo 18 maggio 2018, n. 65 in vigore dal 24 giugno 2018), il Regolamento Generale di Protezione dei dati personali (GDPR) e la legge sul Perimetro Nazionale di Sicurezza Cibernetica, l’adozione di un framework per la valutazione dei controlli di sicurezza permette di identificare gli asset digitali da difendere, valutarne il grado di esposizione al rischio di minacce informatiche e prevedere protezioni capaci di contrastare un incidente informatico. Fra i numerosi framework per la valutazione dei controlli di sicurezza troviamo NIST CF, Iso 27001, NERC-CIP, HIPAA, COBIT 2019, FISMA. Il NIST CF è il più conosciuto in Italia anche in relazione alla versione localizzata per il nostro Paese dal CIS Sapienza e noto come Framework Nazionale per la Cybersecurity e la Data Protection di cui la versione 1.1 ricomprende anche i controlli per la data protection che discendono dal GDPR e i 15 controlli essenziali di sicurezza.
Come usare un framework per la valutazione dei controlli di sicurezza in modo smart
L’applicazione del framework per la valutazione dei controlli di sicurezza può essere ulteriormente valorizzata. Nella vision di LumIT la metodologia dovrebbe uscire dagli schemi tipici che mirano a un risultato di compliance o meramente burocratico, per individuare i gap di security e per introdurre soluzioni tecnologiche efficaci a copertura di tali gap. Tutto questo mediante engagement degli stakeholder, un numero contenuto di interviste ben strutturate, intervistatori esperti di settori specifici di security e di analisi, l’adozione del metodo del design thinking e l’analisi finale a cura del team. Cruciale è anche il coinvolgimento dell’organizzazione e del suo personale come parte della soluzione, in un processo evolutivo della sicurezza periodicamente rivalutato.
Il processo di analisi punta a identificare i gap di security secondo le esigenze delle normative in vigore, per trovare le più efficaci misure attuative di security.
Si inizia dal framework per la valutazione dei controlli di sicurezza, identificando con il cliente la priorità dei controlli di sicurezza rispetto a quelli di data privacy, anche in relazione al settore di mercato in cui il cliente opera. Per portare valore effettivo e un approccio differenziale si opera mediante interviste usando il design thinking su alcune persone dell’organizzazione per fotografare l’azienda e raccogliere informazioni. I dati raccolti sono rappresentati non solo bidimensionalmente, come di solito permette di fare il framework per la valutazione dei controlli di sicurezza; infatti, i risultati sono strutturati secondo le direttrici della Enterprise view, la Functional view, la Physical e la Communication view. Si arriva quindi a una rappresentazione che incrocia il livello organizzativo e l’infrastruttura IT di incidenza, identificando ruoli e responsabilità e mappando gli ambiti aziendali. La rappresentazione evidenzia le aree e le problematiche di sicurezza, gli elementi che non corrispondono agli standard ed eventuali difficoltà di comunicazione fra i reparti che non permettono di far emergere questi problemi. Dall’analisi e dalla mappa si ricava quindi una clusterizzazione dei problemi e una classificazione secondo le categorie del NIST. Il risultato intermedio è una visione generale dell’azienda per i C-level che sono chiamati alla governance di security.
Garantire l’efficacia dei risultati del framework per la valutazione dei controlli di sicurezza
Ma una volta trovati i problemi, come risolverli al meglio e senza cadere nei tranelli di effimera completezza della singola soluzione tecnologica? Soprattutto, come misurare l’efficacia delle soluzioni tecnologiche identificate?
Anche in questo caso LumIT adotta un mix fra analisi e approccio che si rivela vincente: l’identificazione delle tecnologie deve rimanere di tipo agnostico, mentre l’analisi è effettuata mediante una matrice di prioritizzazione che misura da un lato l’impatto basso, medio o alto delle tecnologie e dall’altro l’effort basso, medio e alto in termini di tempo che il personale impiega per adottare dette tecnologie. Parte della scelta può dipendere anche dall’esigenza aziendale di consolidare meno soluzioni a maggior valore. In questo modo il pull di tecnologie più efficaci emerge per definizione e per costruzione della matrice.
Il procedimento partito dal framework per la valutazione dei controlli di sicurezza si conclude con l’implementazione delle soluzioni tecnologiche più efficaci individuate e con la successiva rivalutazione.
Infatti, è bene ricordare che le organizzazioni cambiano continuamente e anche l’organizzazione della sicurezza segue questo processo vivo. È quindi fortemente suggerita la rivalutazione periodica ogni volta che cambiamenti significativi sono operati nell’organizzazione. Parola di LumIT.
