Leader mondiale sicurezza informatica la guida sta subendo il suo primo restyling completo dalla sua uscita quasi un decennio fa.
Dopo aver considerato più di un anno di feedback della comunità, il National Institute of Standards and Technology (NIST) ha rilasciato una bozza del Quadro di sicurezza informatica (CSF) 2.0una nuova versione di uno strumento rilasciato per la prima volta nel 2014 per aiutare le organizzazioni a comprendere, ridurre e comunicare i rischi per la sicurezza informatica.
La bozza di aggiornamento, che il NIST ha rilasciato per un commento pubblico, riflette i cambiamenti nel panorama della sicurezza informatica e rende più facile mettere in pratica il CSF, per tutte le organizzazioni.
Sicurezza informatica – foto illustrativa. Credito immagine: Pixabay (licenza gratuita Pixabay)
“Con questo aggiornamento, stiamo cercando di riflettere l’attuale utilizzo del Cybersecurity Framework e di anticipare anche l’utilizzo futuro”, ha affermato Cherilyn Pascoe del NIST, capo sviluppatore del framework.
“Il CSF è stato sviluppato per infrastrutture critiche come le banche e le industrie energetiche, ma si è dimostrato utile ovunque, dalle scuole e dalle piccole imprese ai governi locali e stranieri. Vogliamo assicurarci che sia uno strumento utile a tutti i settori, non solo a quelli designati come critici”.
Il NIST accetta commenti pubblici sulla bozza del quadro fino al 4 novembre 2023. Il NIST non prevede di rilasciare un’altra bozza.
Un workshop previsto per l’autunno sarà annunciato a breve e servirà come un’altra opportunità per il pubblico di fornire feedback e commenti sulla bozza. Gli sviluppatori prevedono di pubblicare la versione finale di CSF 2.0 all’inizio del 2024.
Sicurezza informatica: impressione artistica. Credito immagine: jaydeep_ tramite Pixabay
Il CSF fornisce una guida di alto livello, compreso un linguaggio comune e una metodologia sistematica per la gestione del rischio di sicurezza informatica in tutti i settori e per favorire la comunicazione tra personale tecnico e non tecnico. Include attività che possono essere incorporate nei programmi di sicurezza informatica e adattate per soddisfare le esigenze particolari di un’organizzazione.
Nel decennio successivo alla sua prima pubblicazione, il CSF è stato scaricato più di due milioni di volte da utenti in più di 185 paesi ed è stato tradotto in almeno nove lingue.
Mentre le risposte al febbraio 2022 del NIST richiesta di informazioni sul QSC ha indicato che il quadro rimane uno strumento efficace per ridurre il rischio di cibersicurezza, molti intervistati hanno anche suggerito che un aggiornamento potrebbe aiutare gli utenti ad adattarsi all’innovazione tecnologica e al panorama delle minacce in rapida evoluzione.
“Molti commentatori hanno affermato che dovremmo mantenere e sviluppare gli attributi chiave del CSF, inclusa la sua natura flessibile e volontaria”, ha affermato Pascoe.
“Allo stesso tempo, molti di loro hanno chiesto maggiori indicazioni sull’attuazione del CSF e sulla garanzia che potesse affrontare i problemi di sicurezza informatica emergenti, come i rischi della catena di approvvigionamento e la diffusa minaccia del ransomware. Poiché questi problemi interessano molte organizzazioni, comprese le piccole imprese, ci siamo resi conto che dovevamo migliorare il nostro gioco”.
Sicurezza informatica: impressione artistica. Credito immagine: Ashna tramite Pixahive, dominio pubblico CC0
La bozza del CSF 2.0 riflette una serie di importanti modifiche, tra cui:
- L’ambito del framework si è ampliato, in modo esplicito, dalla protezione di infrastrutture critiche, come ospedali e centrali elettriche, alla fornitura di sicurezza informatica per tutte le organizzazioni, indipendentemente dal tipo o dalle dimensioni. Questa differenza si riflette nel titolo ufficiale del CSF, che è cambiato in “The Cybersecurity Framework”, il suo nome colloquiale, dal più restrittivo “Framework for Improving Critical Infrastructure Cybersecurity”.
- Fino ad ora, il CSF ha descritto i pilastri principali di un programma di sicurezza informatica olistico e di successo utilizzando cinque funzioni principali: identificare, proteggere, rilevare, rispondere e recuperare. A questi, il NIST ora ne ha aggiunto un sesto, la funzione di governo, che copre il modo in cui un’organizzazione può prendere ed eseguire le proprie decisioni interne per supportare la propria strategia di sicurezza informatica. Sottolinea che la sicurezza informatica è una delle principali fonti di rischio aziendale, classificandosi accanto ai rischi legali, finanziari e di altro tipo come considerazioni per la dirigenza senior.
- La bozza fornisce orientamenti migliorati e ampliati sull’attuazione del QSC, in particolare per la creazione profili, che adattano il QCS a situazioni particolari. La comunità della sicurezza informatica ha richiesto assistenza per utilizzarla per specifici settori economici e casi d’uso, in cui i profili possono aiutare. È importante sottolineare che la bozza include ora esempi di implementazione per le sottocategorie di ciascuna funzione per aiutare le organizzazioni, in particolare le piccole imprese, a utilizzare il framework in modo efficace.
Uno degli obiettivi principali di CSF 2.0 è spiegare come le organizzazioni possono sfruttare altri framework tecnologici, standard e linee guida, dal NIST e altrove, per implementare il CSF. A rafforzare quest’ultimo sforzo sarà il lancio di uno strumento di riferimento CSF 2.0, che il NIST prevede di rilasciare in poche settimane.
Sicurezza informatica – concetto artistico. Credito immagine: École polytechnique – J.Baran via FlickrCC BY-SA 2.0
Questa risorsa online consentirà agli utenti di navigare, cercare ed esportare i file Nucleo CSF dati in formati consumabili dall’uomo e leggibili dalla macchina. In futuro, questo strumento fornirà “riferimenti informativi” per mostrare le relazioni tra il CSF e altre risorse per facilitare l’utilizzo del framework insieme ad altre indicazioni per gestire il rischio di sicurezza informatica.
Pascoe ha affermato che il team di sviluppo sta incoraggiando chiunque abbia raccomandazioni sul CSF aggiornato a rispondere con commenti entro la scadenza del 4 novembre.
“Questa è un’opportunità per gli utenti di valutare la bozza di CSF 2.0”, ha affermato. “Ora è il momento di essere coinvolti se non lo sei già.”
Fonte: NIST
Da un’altra testata giornalistica. news de www.technology.org
