Cyber Security Framework Tool

Il CyberSecurityFrameworkTool è un insieme di strumenti che intendono agevolare l'adozione e la diffusione del Framework Nazionale di cyber security. Il Framework può aiutare una impresa a organizzare un percorso di gestione del rischio cyber, sviluppato nel tempo, in funzione del suo business, della sua dimensione e di altri elementi caratterizzanti e specifici dell'impresa.

Strumenti disponibili (demo)

Partendo dal Framework Core

Login non effettuato

Puoi utilizzare questi strumenti liberamente, ti verrà chiesto di effettuare il login oppure la registrazione in fase di salvataggio.

Esempio con Contestualizzazione CONTEXT-PMI

Esempio con Profilo PMI1 in CONTEXT-PMI

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Il Framework Nazionale di cyber security nasce con l'intento, innanzitutto, di costruire un linguaggio comune per confrontare le pratiche aziendali di prevenzione e contrasto dei rischi cyber. Il Framework può aiutare una impresa a organizzare un percorso di gestione del rischio cyber, sviluppato nel tempo, in funzione del suo business, della sua dimensione e di altri elementi caratterizzanti e specifici dell'impresa. L'adozione del Framework è pertanto su base volontaria.

Il Framework Nazionale si basa sul "Framework for Improving Critical Infrastructure Cybersecurity" emanato dal NIST, riprendendone i concetti base di Framework Core, Framework Implementation Tier and Framework Profiles. Ne eredita quindi il sistema di Function e Category del Framework Core che di fatto rappresenta quel terreno comune che crea il punto d'incontro tra Framework e standard aziendali sia tecnici sia di gestione del rischio.

Il Framework del NIST propone un quadro d'insieme altamente flessibile diretto principalmente alle infrastrutture critiche; quello nazionale è stato evoluto nella direzione delle caratteristiche del sistema socio-economico del nostro Paese ottenendo un Framework cross-settoriale che può essere contestualizzato su settori produttivi specifici o su tipologie di aziende con determinate caratteristiche. Questo permette di trasferire pratiche e conoscenze da un settore all'altro in modo semplice ed efficace

Il Framework nazionale è stato evoluto nella direzione delle caratteristiche del sistema socio-economico del nostro Paese ottenendo un Framework cross-settoriale che può essere contestualizzato su settori produttivi specifici o su tipologie di aziende con determinate caratteristiche. Questo permette di trasferire pratiche e conoscenze da un settore all'altro in modo semplice ed efficace, In questa direzione sono stati inseriti nel Framework Nazionale tre concetti importanti:

Questo strumento fornisce una contestualizzazione per Piccole-Medie Imprese, ovvero una contestualizzazione per tipologia di azienda quindi indipendente dal settore di business. La scelta di fornire una contestualizzazione per le PMI è legata al fatto che queste aziende possono appartenere a settori come quello alimentare, manifatturiero, logistico o meccanico che possono non essere particolarmente sensibili alle tematiche di cyber security.

L'obiettivo è quello di fornire loro degli strumenti pratici necessari per intraprendere un cammino virtuoso di rafforzamento delle loro difese cyber. Queste PMI sviluppano servizi e/o prodotti di altissima qualità realizzati spesso attraverso processi o metodologie raffinate nel tempo e che rappresentano il vero valore dell'azienda. Qualora tali asset strategici venissero compromessi da attacchi cyber, verrebbe messa a repentaglio la sopravvivenza stessa dell'azienda, spesso senza che quest'ultima possa a rendersi conto in tempo dell'accaduto.

I riferimenti informativi legano la singola Subcategory a una serie di pratiche di sicurezza note utilizzando gli standard di settore (ISO, SP800-53r4, COBIT-5, SANS20 e altri). Si noti che nella colonna Informative References, oltre a riportare gli stessi riferimenti del Framework NIST, sono stati aggiunti, in grassetto, a titolo meramente esemplificativo e non esaustivo, alcuni dei principali obblighi derivanti dalla normativa italiana in materia di privacy. Nel caso siano presenti questi obblighi, la colonna presenta, in corrispondenza della Subcategory, la norma relativa e quando considerarla (es. quando l'organizzazione tratta dati personali).

In tali casi è superfluo ricordare che, indipendentemente dal Livello di Priorità previsto, il controllo è da considerarsi obbligatorio e il relativo livello di maturità dovrà corrispondere con quello previsto dalla normativa in questione.

Vengono riportati in tale colonna anche gli obblighi per le Pubbliche Amministrazioni dettati dal Codice dell'Amministrazione Digitale (CAD) con relativo articolo.

È importante notare che qualora nella colonna sia specificata un'obbligatorietà della Subcategory, tale Subcategory va considerata come a priorità massima, dai soggetti specificati, indipendentemente da quanto indicato nella colonna Priorità.

I livelli di priorità definiscono qual è la priorità con cui si deve affrontare ogni singola Subcategory del Framework Core. Da notare che ogni organizzazione è libera di contestualizzare i propri livelli di priorità in base al tipo di business, alla dimensione, al suo profilo di rischio.

I livelli di maturità definiscono le diverse modalità con cui si può implementare ogni singola Subcategory del Framework Core. Il livello di maturità selezionato deve esser valutato attentamente dalla singola azienda in base al suo business e alla sua dimensione nonché al suo profilo di rischio. Tipicamente livelli di maturità maggiori richiedono effort maggiore, sia dal punto di vista economico che di gestione. Per alcune Subcategory non è possibile definire livelli di maturità.

Si noti che non sempre ha senso definire tre livelli di maturità crescenti, pertanto, alcune Subcategory riportano solo uno o due livelli di maturità. Si ricorda, inoltre, che le Subcategory a priorità alta sono quelle che dovrebbero essere implementate per prime e almeno al livello di maturità minimo. In base al proprio contesto di business, risk assessment e altri fattori, si devono implementare poi le Subcategory a priorità minore nella contestualizzazione e i livelli di maturità desiderati.

Creare una contestualizzazione del Framework (per un settore produttivo, per tipologie di azienda o per una azienda singola), significa selezionare le Function, Category e Subcategory del Framework Core pertinenti, specificandone livelli di priorità e di maturità adatti al contesto di applicazione.

Altre contestualizzazioni potrebbero essere fatte in modo mirato da associazioni di categoria o da enti regolatori, in modo da essere riconosciute da tutto un settore produttivo o da un settore regolato. Per quanto riguarda i settori regolati in alcuni casi le priorità nell'implementazione di alcuni controlli di sicurezza a un livello di maturità base potrebbero diventare obblighi in funzione delle loro regolamentazioni di settore.

Selezionando una Subcategory dall'elenco posto sulla sinistra vengono visualizzate in questo riquadro le caratteristiche della Subcategory selezionata. E' possibile indicare:

Creare un profilo del Framework significa selezionare le Subcategory della contestualizzazione di origine pertinenti, specificandone livelli di priorità e di maturità adatti al profilo di applicazione.

Selezionando una Subcategory dall'elenco posto sulla sinistra vengono visualizzate in questo riquadro le caratteristiche della Subcategory selezionata. E' possibile indicare:

Se si vuole creare un profilo che contiene questa Subcategory bisogna creare una nuova contestualizzazione a partire da questa, altrimenti il profilo non è conforme con la contestualizzazione.

Il cuore del Framework NIST è costituito da un insieme di 21 Category e 98 Subcategory, organizzate in 5 Function. Ogni Subcategory rappresenta un'area di raccomandazioni che l'organizzazione può decidere di implementare, se necessario riferendosi a standard o norme specifiche di settore.

Il Framework NIST fornisce, per ogni Subcategory, i riferimenti agli standard e Framework esistenti: si tratta di una mappatura parziale, ma che comunque copre la quasi totalità dei riferimenti già adottati dalle organizzazioni internazionali, quali Standard NIST, Standard ISO/IEC e COBIT.