La collaborazione, consolidata sempre più negli ultimi anni, tra Hermesbay e il Centro di Ricerca di Cyber Intelligence and Information Security di La Sapienza di Roma ha portato recentemente alla pubblicazione di una nuova metodologia di cybersecurity assessment realizzata a partire da quanto previsto all’interno del Framework Nazionale per la Cybersecurity e la Data Protection.
Tale Framework, pubblicato in Italia nel 2015 e aggiornato nel 2019 alla versione 2.0 al fine di cogliere gli aspetti legati alla Data Protection espressi nel GDPR, consente di approfondire diverse dimensioni inerenti alla cybersecurity. Rappresenta, infatti, uno strumento flessibile di misura della postura di sicurezza di un’organizzazione, attuabile attraverso una serie di elementi in grado di verificare le attività in essere nel ciclo di vita del processo di gestione della cybersecurity.
L’adozione di specifici Framework risulta particolarmente opportuna in un contesto in cui il rischio legato al verificarsi di attacchi informatici, che possano compromettere la sicurezza di informazioni o operazioni, si configura come elemento centrale per la protezione di asset e processi di una organizzazione, sia pubblica, sia privata.
Sin dal momento della sua introduzione, il Framework Nazionale è stato utilizzato dalle diverse realtà come strumento per l’organizzazione della propria strategia di difesa rispetto alle minacce cibernetiche. Qualunque sia la natura del framework di cybersecurity che un’organizzazione adotta, la stessa si confronterà inevitabilmente con la necessità di valutare quanto le misure di sicurezza attualmente implementate le permettano di soddisfare i requisiti stabiliti dall’obiettivo target. Questa pratica, nota come cybersecurity assessment, permette di valutare periodicamente il progresso nell’implementazione di un programma volto all’incremento del livello di cybersecurity di una organizzazione.
La recente pubblicazione offre una nuova metodologia di cyber assessment volta a definire le modalità di misura, in termini di maturità e completamento, delle attività volte a ridurre il rischio cibernetico, identificando, allo stesso tempo, eventuali ulteriori attività da porre in essere. In questo senso, è possibile individuare un percorso che le organizzazioni possono seguire per applicare il Framework al proprio contesto di riferimento, misurare la propria postura in termini di cybersecurity e definire una roadmap di attività da attuare.
La metodologia sviluppata introduce diversi elementi innovativi attraverso tre fasi:
1. Contestualizzazione: la metodologia seleziona e valuta, in termini di Priorità e Maturità, le subcategory di interesse rispetto alla realtà di riferimento. Il risultato di tale processo di selezione e individuazione rappresenta il Profilo Target ovvero l’obiettivo desiderato cui tendere per la realizzazione dell’assessment nelle fasi successive.
2. Misura: si rileva la distanza tra lo stato attuale e lo stato desiderato (Profilo Target).
3. Valutazione: in questa fase è possibile leggere i risultati ottenuti nella fase precedente tramite una valutazione della distanza tra il Profilo Attuale e il Profilo Target. Il risultato si sostanzia in un punteggio di completamento delle azioni individuate e in un ulteriore punteggio che rappresenta il grado di maturità con cui le suddette azioni sono realizzate.
Il team di Hermesbay si è occupato in particolar modo della rimodulazione dei livelli di priorità, passaggio metodologico che si colloca tra le fasi di contestualizzazione e di misura dell’assessment. Tale contributo metodologico, approfondito nell’Allegato B della Metodologia, fornisce indicazioni per la definizione di un accurato e contestualizzato livello di priorità rispetto alle attività da porre in essere. Infatti, i livelli di priorità che vengono stabiliti nella fase di contestualizzazione, in base a quanto espresso dai “prototipi di contestualizzazione”, costituiscono una linea guida di alto livello e, dunque, raffinabile tramite personalizzazioni a seconda del contesto e delle necessità dell’organizzazione che decide di effettuare un assessment mediante l’utilizzo del Framework Nazionale per la Cybersecurity e la Data Protection.
Tanti sono gli elementi innovativi introdotti dalla nuova Metodologia. Tra questi, in particolare, la replicabilità nel tempo del processo di assessment attraverso un approccio pre-definito e la possibilità, rispettando un set di condizioni (es: settore di riferimento, controlli, baseline), di confrontare la propria postura di sicurezza con quella di altre organizzazioni comparabili.
Tale metodologia è stata rilasciata in forma gratuita e aperta, per favorire la sua adozione ed, eventualmente, la sua evoluzione, grazie al contributo, all’esperienza e alla conoscenza che tutti i suoi utilizzatori vorranno offrire.
Il lavoro condotto mira a essere un reale strumento a supporto delle Organizzazioni, sia pubbliche, sia private, per stabilire la propria strategia di protezione dei dati personali e di gestione della sicurezza cibernetica. Tale potenzialità è stata colta anche dal legislatore nel secondo DPCM del Perimetro per la sicurezza nazionale cibernetica che, nell’allegato B, definisce una sorta di contestualizzazione, ovvero una scelta delle Subcategory del Framework e relativi controlli di interesse, che i soggetti facenti parte del Perimetro devono considerare.
Siamo molto orgogliosi di aver offerto, con il nostro lavoro, un contributo che possa supportare le diverse organizzazioni del nostro sistema-Paese sia in termini di crescita digitale ed economica sia ad affrontare i rischi inerenti al cyber space, governando le attuali sfide di sicurezza.