Il National Institute of Standards and Technology (NIST), nell’ottica di stare al passo con il panorama della sicurezza informatica in continua evoluzione, ha in programma di rivedere il Cybersecurity Framework (CSF), ampiamente adottato. Prima dell’aggiornamento, il NIST ha emesso al pubblico una richiesta di informazioni (RFI) per raccogliere suggerimenti sulla valutazione e il miglioramento delle risorse di sicurezza informatica per il cybersecurity framework e la cybersecurity supply chain risk management che migliorerebbero l’efficacia del CSF e il suo allineamento con altre risorse di sicurezza informatica.
Per l’aggiornamento, il NIST richiede un contributo al pubblico che rientri in tre categorie principali: modifiche puramente al CSF stesso; relazioni e allineamento tra il CSF e le altre risorse; e modi per migliorare la sicurezza informatica nelle supply chain.
Per quanto riguarda il CSF stesso, il NIST vuole capire meglio come viene utilizzato oggi e cosa funziona e cosa no. Ad esempio, quali aree potrebbero essere migliorate? Le modifiche strutturali al CSF potrebbero aiutare? Qualche difficoltà ha impedito alle organizzazioni di utilizzare il CSF in modo più semplice o estensivo? Qualcosa dovrebbe essere aggiunto o modificato in base a ciò che abbiamo imparato?
Per quanto riguarda altre risorse del NIST, il NIST vuole trovare modi migliori per allineare il CSF con altre linee guida del NIST, come Privacy Framework, Secure Software Development Framework, Risk Management Framework, Workforce Framework for Cybersecurity (chiamato anche NICE Framework) e le sue serie sulla sicurezza informatica IoT. Il NIST chiede anche informazioni sull’allineamento del CSF con le risorse non NIST. In tutti i casi, il NIST vuole sapere se questi strumenti sono complementari e cosa li aiuterebbe a lavorare insieme in modo più efficace.
Per quanto riguarda le supply chain, il NIST ha recentemente lanciato una partnership pubblico-privato, denominata National Initiative for Improving Cybersecurity in Supply Chains (NIICS), per affrontare i rischi di sicurezza informatica della catena di approvvigionamento. Il NIST sta richiedendo informazioni che aiuteranno a identificare le esigenze di sicurezza informatica legate alla catena di approvvigionamento e ad armonizzare l’iniziativa NIICS con il CSF. Ad esempio, quali sono gli standard e le linee guida che le organizzazioni stanno attualmente utilizzando per gestire i rischi della catena di approvvigionamento della sicurezza informatica? Il NIST ha bisogno di creare un quadro dedicato che affronti la gestione del rischio della catena di approvvigionamento della sicurezza informatica o può essere affrontato attraverso un maggiore trattamento del rischio della catena di approvvigionamento nel QCS?
I commenti scritti devono essere inviati entro il 25 aprile 2022. Visitare il sito Web di CSF per visualizzare l’RFI e per i dettagli su come inviare i commenti. Le risposte a questa RFI saranno utilizzate per possibili revisioni del CSF e dell’iniziativa NIICS.
“Ogni organizzazione deve gestire il rischio di sicurezza informatica nell’ambito della propria attività, che si tratti dell’industria, del governo o del mondo accademico”, ha affermato il vicesegretario al commercio Don Graves. “È fondamentale per la loro resilienza e per la sicurezza economica della nostra nazione. Ci sono molti strumenti disponibili per aiutare e il CSF è uno dei principali framework per il mantenimento della sicurezza informatica del settore privato. Vogliamo che le organizzazioni del settore privato e pubblico contribuiscano a renderlo ancora più utile e ampiamente utilizzato, anche dalle piccole imprese”.