Il National Institute of Standards and Technology (NIST) ha annunciato il rilascio della tanto attesa Versione 2.0 del Cybersecurity Framework (CSF), il suo documento guida di riferimento per ridurre il rischio di sicurezza informatica. Questo importante aggiornamento del framework arriva dopo il suo debutto nel 2014, in risposta a un ordine esecutivo presidenziale mirato a fornire le organizzazioni a comprendere, mitigare e comunicare i rischi associati alla sicurezza informatica.
La nuova edizione 2.0 è progettata per tutti i tipi di pubblico, settori industriali e tipi di organizzazione, dalle scuole e organizzazioni non profit più piccole alle agenzie e aziende più grandi, indipendentemente dal loro grado di sofisticazione della sicurezza informatica.
L’obiettivo principale della Versione 2.0 è quello di offrire un supporto ancora più completo e personalizzato per aiutare le organizzazioni a proteggere le proprie infrastrutture digitali in un panorama sempre più complesso e minaccioso.
In risposta ai molteplici commenti ricevuti sulla bozza della nuova versione del Cybersecurity Framework (CSF), il NIST ha ampliato la guida principale e sviluppato risorse correlate per aiutare gli utenti a ottenere il massimo dal framework. Queste risorse sono state progettate su misura per fornire percorsi adatti a una vasta gamma di utenti, rendendo il framework più accessibile e semplice da implementare.
Laurie E. Locascio, Sottosegretario al Commercio per gli standard e la tecnologia e Direttore del NIST, ha sottolineato l’importanza del CSF 2.0 come uno strumento flessibile ed essenziale per affrontare le minacce alla sicurezza informatica. Il nuovo quadro non è solo un documento statico ma una suite dinamica di risorse progettate per adattarsi e crescere insieme alle organizzazioni nel tempo.
Il cuore del framework è ora strutturato attorno a sei funzioni fondamentali: identificazione, protezione, rilevamento, risposta e ripristino, alle quali si aggiunge la nuova funzione Govern nella versione 2.0 del CSF. Queste funzioni, considerate congiuntamente, offrono una visione completa del ciclo di vita per la gestione del rischio di sicurezza informatica.
Tra le principali novità della Versione 2.0 del CSF vi è un’ampia attenzione alla governance, che riflette il riconoscimento sempre maggiore del ruolo cruciale dei dirigenti senior nel prendere decisioni informate sulla strategia di sicurezza informatica. Questa enfasi sulla governance sottolinea che la sicurezza informatica è un fattore di rischio aziendale critico che richiede l’attenzione e l’azione dei massimi dirigenti, analogamente ad altre aree come finanza e reputazione.
Kevin Stine, capo della Divisione Cybersecurity applicata del NIST, ha evidenziato il processo collaborativo di sviluppo del CSF 2.0, che ha coinvolto attivamente le parti interessate e ha tenuto conto delle più recenti sfide e pratiche nel campo della sicurezza informatica. Questo aggiornamento mira a rendere il quadro ancora più pertinente e utilizzabile per una vasta gamma di utenti, sia negli Stati Uniti che all’estero.
La nuova versione del Cybersecurity Framework prevede che le organizzazioni si avvicineranno ad esso con diverse esigenze e livelli di esperienza nell’implementazione di strumenti di sicurezza informatica. Per facilitare questo processo, sono state introdotte risorse su misura per una vasta gamma di utenti, tra cui piccole imprese, gestori del rischio aziendale e organizzazioni coinvolte nella gestione delle catene di fornitura.
Un nuovo strumento di riferimento, CSF 2.0, semplifica l’implementazione consentendo agli utenti di accedere e utilizzare facilmente i dati e i dettagli essenziali del framework. Inoltre, una ricca raccolta di riferimenti informativi consente alle organizzazioni di confrontare le proprie azioni con il CSF e altri documenti rilevanti sulla sicurezza informatica, tra cui il NIST SP 800-53 Rev. 5, un catalogo di strumenti essenziali per la sicurezza informatica.
Il Cybersecurity and Privacy Reference Tool (CPRT) offre un’ampia gamma di documenti guida del NIST, tra cui il CSF, integrati con altre risorse popolari, agevolando la comunicazione tra esperti tecnici e dirigenti all’interno delle organizzazioni.
Il NIST si impegna a migliorare costantemente le proprie risorse e a rendere il CSF sempre più utile per un vasto pubblico. Il feedback della comunità è essenziale per questo processo, incoraggiando gli utenti a condividere le proprie esperienze e successi per ampliare la conoscenza e il supporto reciproco nell’affrontare i rischi legati alla sicurezza informatica.
Il CSF gode di un’ampia adozione internazionale, con traduzioni disponibili in 13 lingue e previste anche per la versione 2.0. Inoltre, il lavoro collaborativo del NIST con organizzazioni internazionali come l’ISO e l’IEC ha contribuito ad allineare numerosi documenti sulla sicurezza informatica, facilitando alle organizzazioni la creazione di quadri di sicurezza informatica e l’organizzazione dei controlli utilizzando le funzioni del CSF.
Il NIST si impegna a continuare questa collaborazione per promuovere un allineamento internazionale e migliorare la gestione dei rischi legati alla sicurezza informatica su scala globale.