NIST 2.0: integrazione con l’Enterprise Risk Management
Che cos’è il Cyber Security Framework (CSF) 2.0?
Il Framework per la Sicurezza Informatica del NIST (CSF) è uno strumento fondamentale per le aziende che desiderano comprendere e gestire i rischi legati alla sicurezza informatica.
Ideato inizialmente per i proprietari e gli operatori del settore privato statunitense, il CSF ha visto una rapida adozione sia a livello nazionale che internazionale.
Integrando gli standard e le pratiche migliori del settore, fornisce un linguaggio comune che permette a tutti i livelli dell’organizzazione di capire e affrontare i rischi in modo collaborativo.
Il NIST ha collaborato con esperti del settore privato e governativo per sviluppare questo Framework, ratificato poi dal Congresso nel 2014 e reso obbligatorio per le agenzie federali nel 2017.
Le sue cinque funzioni sono ora ampiamente utilizzate da diverse entità governative e organizzazioni per valutare e gestire i rischi informatici in modo efficace.
L’integrazione con l’Enterprise Risk Management
Uno dei capisaldi della versione 2.0 del NIST è l’integrazione tra la gestione del rischio informatico con l’Enterprise Risk Management, ovvero la gestione della totalità dei rischi aziendali.
L’integrazione con l’Enterprise Risk Management (ERM) promuove un approccio olistico alla gestione dei rischi, coinvolgendo tutte le parti interessate nell’organizzazione.
Il Framework di Gestione del Rischio (RMF) offre un processo flessibile e personalizzabile che integra la sicurezza informatica e la privacy, insieme alle attività di gestione del rischio della catena di approvvigionamento, all’interno del ciclo di vita dello sviluppo del sistema.
Il RMF si collega a una serie di standard e linee guida del NIST per supportare l’implementazione di programmi di gestione del rischio al fine di soddisfare i requisiti del Federal Information Security Modernization Act (FISMA), compresa la selezione, l’implementazione, la valutazione e il monitoraggio continuo dei controlli.
Il NIST ha aggiornato il RMF per supportare la gestione del rischio della privacy e per incorporare concetti chiave del Framework di Sicurezza Informatica e dell’ingegneria dei sistemi.
Il servizio di Enterprise Risk Management
Il servizio di Enterprise Risk Management permette di analizzare e valutare il rischio informatico all’interno di un’organizzazione.
La valutazione del rischio è un’attività fondamentale per capire quali contromisure adottare per ottimizzare le risorse e le attività di difesa, aumentandone così l’efficacia.
Il crescente processo di digitalizzazione e interconnessione tra dispositivi porta con sé un aumento della superficie di attacco e nuovi punti di acceso per gli attacchi informatici.
Adottare un approccio olistico di difesa è imprescindibile per comprendere i punti di forza e debolezza all’interno di un’infrastruttura IT.
Oggi più che mai l’approccio alla gestione dei rischi deve essere parte integrante di tutti i processi aziendali.
La Cyber Security deve poter influenzare le scelte strategiche, e per farlo va incorporata nel processo di gestione del rischio aziendale.