Quando un’organizzazione vuole attuare la difesa dal rischio di sicurezza informatica deve procedere in modo ordinato e strutturato per capire il proprio “stato di salute” rispetto alla “minaccia virale digitale”. La maggior parte delle imprese medio-piccole (forse anche qualche Corporate) non è consapevole di come si debba procedere e spesso si affida a questa o quella tecnologia secondo il trend del momento usandola come una “bacchetta magica”, senza avere una visione e un approccio più generale a tutti gli ambiti di rischio che invece dovrebbero essere valutati collettivamente. Solo dopo questa valutazione omnicomprensiva, l’organizzazione può valutare sensatamente e con criterio dove e come intervenire per implementare misure di protezione commisurate al rischio di sicurezza.
Per colmare il gap di strumenti a supporto nella valutazione della propria organizzazione il CIS (Cyber Intelligence. & Information Security Center) Sapienza e il CINI (Consorzio Interuniversitario Nazionale per l’Informatica) con la collaborazione di enti pubblici e imprese private, hanno dato reso disponibile da qualche anno il Framework Nazionale per la Cybersecurity. Dal febbraio 2019 il Framework è stato aggiornato alla versione 2.0 includendo anche la componente di Data Protection.
Abbiamo voluto approfondire la metodologia di adozione e utilizzo del Framework nazionale di cybersecurity con Leonardo Querzoni, Professore associato (associate professor) presso Sapienza Università di Roma che ha lavorato ad entrambe le versioni dello strumento ed a diverse contestualizzazioni.
Che cos’è il Framework nazionale per la cybersecurity per chi ancora non lo conosce?
Il Framework nazionale di cybersecurity è uno strumento metodologico e organizzativo che ha l’obiettivo di supportare le organizzazioni pubbliche e private nella gestione del rischio legato alla cyber security. L’iniziativa è nata nel 2015 come risultato del Gruppo di Lavoro (GdL) fra industria, Pubblica Amministrazione e Accademia. Il nostro team della Sapienza ha coordinato il GdL fino alla pubblicazione della prima versione nei primi mesi 2016. Nel 2019 lo abbiamo aggiornato in collaborazione con il Garante per la Protezione dei dati personali e da allora il Framework include gli elementi di valutazione dei requisiti legati al Regolamento sulla gestione dei dati personali (GDPR) in modo integrato.
Il Framework consente di attuare un metodo standard per ragionare sugli assett dell’organizzazione e valutare la loro esposizione al rischio di Cybersecurity; consente anche di valutare quanto si è pronti rispetto a quel rischio e di programmare attività di miglioramento come un piano di misure di sicurezza cadenzato nel tempo per rivalutarlo periodicamente.
Per approfondire la metodologia di analisi legata al Framework è stato considerato l’esempio di una organizzazione del settore finance, un istituto finanziario di piccole e medie dimensioni, che voglia autovalutarsi. Quali sono le peculiarità dell’ambito Finance per un istituto che si devono tenere in considerazione?
Il Framework nazionale di cybersecurity è uno strumento generale e deve essere innanzitutto contestualizzato ovvero “calato nell’ambito di utilizzo” come primo passo della sua applicazione.
Grazie all’esperienza che il team Sapienza ha maturato nella collaborazione con un gruppo di banche di dimensione medio grande, è emerso che gli aspetti maggiormente caratterizzanti dell’ambito Finance riguardano la forte regolamentazione a cui gli istituti finanziari devono sottostare con regole e norme specifiche su diversi aspetti spesso emanati da attori regolatori diversi.
In Italia il principale ente regolatore in questo ambito è la Banca d’Italia e un esempio specifico è la circolare n.285 del 17 dicembre 2013 aggiornata periodicamente e riguardante le disposizioni di vigilanza per le banche (rispetto ai rischi in ambito creditizio n.d.r.). In sostanza il rischio di compliancy è un rischio effettivo, importante e sul quale gli istituti finanziari sono strettamente controllati.
La compliancy non riguarda solo le norme e i regolamenti del governo e degli enti italiani, ma anche i regolamenti europei (ne sono esempi la DORA-Digital Operational Resilience Act e la PSD2- Payment Services Directive 2), quelli emessi dalla BCE e altri regolamenti e standard di carattere globale e legati all’offerta di alcuni servizi specifici: ad esempio le attività legate alle transazioni via web basate su carte di credito devono essere compliant con il PCIDSS-Payment Card Industry Data Security Standard, uno standard globale e potrei fare molti altri esempi.
Nel contesto finanziario non sono da dimenticare le best practice di settore a cui tutti aderiscono e che sono collettivamente riconosciute. Quindi le organizzazioni dell’ambito finance sono caratterizzate da una forte specializzazione a causa di tutti i regolamenti sopraccitati e hanno adottato reti e sistemi informativi fin dagli anni ’60. Quindi nella roadmap di digitalizzazione sono avvantaggiate rispetto alle PMI di altri settori.
Queste peculiarità e la forte strutturazione del settore Finance incidono sul primo step di contestualizzazione del Framework. Si parte dal formato Core che consta di cinque funzioni: Identify, Protect, Detect, Respond, Recover (il Framework Core è scaricabile in formato Excel dal sito dedicato n.d.r.). Per ogni funzione esistono associate righe di categorie e sottocategorie che rappresentano attività abilitanti della cyber security.
La contestualizzazione è il procedimento che permette di selezionare le righe appropriate e quindi “ritagliare” il framework sulla base dei controlli di sicurezza che meglio coincidono con i singoli requisiti dei regolamenti e delle leggi in vigore del settore Finance.
Quindi come procedere?
Si inizia dal Framework Core in formato Excel effettuando la selezione di contestualizzazione, ovvero la scelta delle di tutte e sole le righe di interesse per ciascuna delle cinque funzioni. Fra le 117 attività abilitanti (sottocategorie), non tutte sono essenziali per ogni azienda e data la caratterizzazione dell’ambito di interesse ogni riga ha o meno senso se confrontata con le caratteristiche specifiche dell’organizzazione che si analizza (norme e regolamenti obbligatori, best practice, certificazioni aziendali e ogni altro constraint proprio dell’organizzazione). Nel caso in esame, data l’importanza della compliancy dell’istituto finanziario alle norme regolatorie è necessario che la scelta del sottoinsieme delle 117 righe, sia effettuato in modo coerente e rispondente a tutti i requisiti delle norme bancarie: DORA, PSD2, PCIDSS e similari).
La contestualizzazione è completa quando oltre alla selezione, si associa una priorità per ogni sottocategoria e si associa la maturità target per ogni controllo di sicurezza corrispondente ad ogni attività abilitante. La contestualizzazione così ottenuta rappresenta un modello ottimale, un profilo target, a cui tendere. A questo punto è necessario capire il profilo attuale dell’organizzazione, ovvero in che stato di sicurezza effettivo si trovi la propria organizzazione e valutarlo mediante un assessment interno.
Fra le diverse contestualizzazioni eseguite dal team della Sapienza alcune sono a disposizione in forma di template precompilati (scaricabili qui) che indicano quali attività abilitanti includere sicuramente secondo il caso in esame.
L’assessment interno misura la propria organizzazione. In che modo si procede?
L’assessment permette di valutare che cosa è stato implementato e come. Può essere svolto scegliendo fra vari metodi: metodologie di tipo quantitativo, qualitativo, di processo. Ogni metodo può essere visto come una macchina fotografiche sullo stesso soggetto. Ma tutti giungono a delineare un profilo attuale da confrontare con il profilo target.
Nella metodologia quantitativa si distinguono due fasi: un primo passo costituito dalla raccolta di informazioni mediante questionari e un secondo passo costituito dalla valutazione del livello di implementazione per ogni controllo (si chiama maturità del controllo e può andare da 1 a 5 n.d.r.) I diversi questionari presentati ai vari uffici dell’organizzazione forniscono indicazioni da angolazioni diverse e l’unificazione delle diverse viste, insieme alla valutazione del passo due, permette di far emergere il GAP di sicurezza omnicomprensivo di tutti gli elementi.
In base alla dimensione del GAP di sicurezza è possibile pianificare il miglioramento delle protezioni di sicurezza in accordo ai budget aziendali disponibili, in che modo l’attuale profilo possa essere migliorato per arrivare al profilo target inizialmente individuato dalla contestualizzazione. Il piano permette quindi di valutare tempi e costi per introdurre controlli mancanti (implementare una attività abilitante che non esisteva n.d.r.), oppure ottimizzare la maturità dei controlli per quelle attività abilitanti già implementate, ma che non arrivava alla maturità ideale (secondo il profilo target n.d.r.). Anno dopo anno è utile rivalutare il piano ed anche l’assessment specialmente se sono avvenuti eventi di sicurezza che possono aver inciso sul modello di rischio.
La metodologia di security assessment elaborata in un modo modellizzato è consultabile sul sito del framework ed è frutto della collaborazione con il gruppo di banche, che ci hanno fatto comprendere come avessero bisogno di poter confrontare le diverse analisi anno dopo anno. Comparare i modelli di assessment consente di capire: il gap anno per anno, i costi, i piani di miglioramento, gli investimenti da fare e il ROI di quelli degli anni precedenti. La contestualizzazione condivisa fra organizzazioni potrebbe anche permettere di confrontare gli assessment e favorire la condivisione di conoscenza. Infine, una associazione di settore potrebbe decidere di implementarlo come strumento comune ai suoi affiliati. Sul sito sono disponibili anche tutorial esplicativi (parte 1 e parte 2).
