Si è conclusa il 7 febbraio ITASEC20, una delle principali conferenze sulla sicurezza informatica in Italia. Nella giornata di giovedì 6 febbraio abbiamo partecipato allo Special Day dedicato al Framework Nazionale per la Cybersecurity e la Data Protection. Lo Special Day è stato guidato dal team dell’Università “La Sapienza” (Prof. Leonardo Querzoni, Dott. Marco Angelini e Dott. Claudio Ciccotelli) che ha descritto l’evoluzione del Framework Nazionale nelle sue diverse versioni, illustrandone, in seguito, lo stato dell’arte.

Durante la giornata si sono susseguiti vari interventi, con relatori provenienti dal settore pubblico, privato e dal mondo accademico, riguardanti esempi di applicazione del Framework Nazionale in diversi ambiti nonché progetti di ricerca e sviluppo. Prisma ha presentato la metodologia sviluppata per la modulazione dei livelli di priorità che sarà parte integrante della nuova versione del Framework Nazionale (di cui il team del Gruppo Prisma è coautore), in corso di pubblicazione. Tale documento ha visto, sin dalla sua prima versione pubblicata nel 2015, la partecipazione dell’Ing. Dott.ssa Luisa Franchina e di alcuni analisti del Gruppo Prisma. Alla fine di questo articolo, è riportato l’abstract del discorso tenuto.

La giornata si è conclusa con le riflessioni della tavola rotonda a cui hanno partecipato il Prof. Leonardo Querzoni (Università “La Sapienza”), l’Ing. Dott.ssa Luisa Franchina (Prisma), l’Ing. Rocco Mammoliti (Responsabile Sicurezza Informatica di Poste Italiane) e l’Ing. Francesco Morelli (Responsabile Tutela Aziendale di Terna).

Lo Special Day ha testimoniato il forte interesse, da parte di tutti i professionisti della sicurezza, nei confronti del Framework Nazionale per la Cybersecurity e la Data Protection che si configura sempre di più come uno strumento in grado di creare un linguaggio comune rispetto alla gestione della cybersecurity.

Nell’attesa della pubblicazione della nuova versione del Framework Nazionale, Prisma è orgogliosa di aver partecipato da protagonista a questo evento.

 

Presentazione sul Framework Nazionale di Cyber Security

Abstract

Titolo speech: Metodologia per la modulazione dei livelli di priorità a partire da una contestualizzazione

Relatori: Ing. Luisa Franchina, Dott. Andrea Lucariello, Dott. Alessandro Bruttini, Dott. Francesco Ressa

Il processo di applicazione del Framework Nazionale per la Cybersecurity e la Data Protection all’interno di un’organizzazione prevede tre fasi distinte: Contestualizzazione, Misura e Valutazione. Durante la prima fase, i livelli di priorità delle singole Subcategory vengono definiti in base a quanto espresso dai Prototipi di contestualizzazione scelti.

Tuttavia, è possibile personalizzare ulteriormente tali livelli a partire da un’analisi del contesto in cui l’organizzazione opera e delle informazioni riguardo la sua postura di sicurezza ottenute a seguito della fase di misura. Una personalizzazione di questo tipo può rivelarsi utile non solo per impostare e consentire agli assessor di realizzare un’analisi efficace, ma anche per direzionare gli sforzi, sia economici sia in termini di remediation, relativamente all’individuazione di una roadmap di intervento.

La metodologia proposta si pone a cavallo tra la fase di contestualizzazione e la fase di misura e intende fornire gli strumenti utili a esprimere un giudizio più approfondito circa il livello di priorità di ciascuna Subcategory. QueQqer Quest’ultimo si configura attraverso una specifica relazione tra due elementi: livello di severità e livello di maturità.

Il livello di severità rappresenta il grado di criticità di una specifica Subcategory e deriva dall’analisi di diversi indicatori, che possono variare a seconda del contesto di riferimento. Il livello di maturità esprime, invece, il grado di soddisfacimento delle prescrizioni previste dalla Subcategory e la qualità con cui le stesse sono state attuate.

Nel presente contributo verranno approfonditi nel dettaglio gli aspetti fondamentali che li caratterizzano nonché ipotizzate delle metriche di analisi e di applicazione dedicate.

 

Per maggiori informazioni sull’evento e sul programma delle quattro giornate, visita il sito: https://itasec.it/