Edward Amoroso

[N.d.T.: questo articolo è stato pubblicato dal CEO e fondatore di TAG Ed Amoroso].

I professionisti della sicurezza informatica che lavorano per le agenzie federali degli Stati Uniti sanno di dover imparare a decodificare vari acronimi come FedRAMP, FISMA, RMF e così via. Devono farlo perché gli standard e i framework che questi acronimi rappresentano sono destinati a guidare il processo decisionale dei team del settore pubblico incaricati di proteggere dati, sistemi e reti dalle minacce informatiche.

A livello di settore, le cose si fanno più specifiche. I dipartimenti della Difesa devono fare i conti con la propria serie di acronimi locali, come CMMC. Le agenzie sanitarie hanno a che fare con acronimi come HIPAA. E le agenzie finanziarie devono fare i conti con acronimi come GLBA. Certamente questi quadri si applicheranno in generale alle organizzazioni del settore pubblico e privato, ma nessuno mette in dubbio la complessità del problema.

La sfida che abbiamo riscontrato nel nostro lavoro di ricerca e consulenza al TAG è che con così tanti standard e framework diversi, c'è un'inevitabile sovrapposizione di linee guida, mandati, requisiti e best practice. Questo crea un ambiente in cui le agenzie devono navigare non solo tra i requisiti tecnici, ma anche tra i rapporti di conformità, le aspettative di governance e le valutazioni del rischio, ognuna con le proprie tempistiche e i propri meccanismi di applicazione.

Come se non bastasse, la natura dinamica delle minacce informatiche, come gli attacchi alla catena di approvvigionamento e le vulnerabilità delle infrastrutture critiche, ha spinto a intraprendere ulteriori azioni legislative ed esecutive, come l'Ordine Esecutivo 14028 sul miglioramento della sicurezza informatica della nazione, che impone iniziative a livello governativo come l'adozione di Zero Trust e una maggiore sicurezza della catena di approvvigionamento del software, spesso verificata da organismi come il Government Accountability Office (GAO).

Data questa sfida di conformità normativa, la domanda che più spesso viene posta agli analisti TAG dai team delle agenzie del settore pubblico, sia a livello federale che locale, è la seguente: Qual è il modo migliore per sviluppare un programma di cybersecurity efficace che riduca al minimo l'attrito dovuto alla gestione di così tanti framework e standard disparati? La nostra risposta si basa su tre componenti chiave della strategia di cybersecurity che riteniamo migliori per i team del settore pubblico.

In primo luogo, suggeriamo vivamente di sviluppare un impegno verso l'automazione. I moderni obblighi normativi possono essere soddisfatti solo attraverso una disciplina formale di governance, rischio e conformità (GRC). La buona notizia è che per i team governativi sono disponibili eccellenti piattaforme commerciali, che possono essere introdotte senza troppi problemi in qualsiasi tipo di programma di conformità esistente, anche se eseguito manualmente.

In secondo luogo, raccomandiamo un approccio basato sul rischio per tutte le decisioni in materia di sicurezza. Ciò implica una buona comprensione dei problemi di sicurezza reali che sono direttamente rilevanti per l'agenzia. Forse l'esempio migliore riguarda Microsoft Active Directory (AD), che secondo TAG è forse l'aspetto più essenziale di qualsiasi programma di rischio informatico. Ogni squadra offensiva prenderà di mira AD, quindi i programmi federali devono affrontare questo tipo di rischio di base e pratico.

In terzo luogo, raccomandiamo a tutte le agenzie del settore pubblico di utilizzare il Cybersecurity Framework (CSF) del National Institute of Standards and Technology (NIST). Si basa su una serie completa di requisiti contenuti nella pubblicazione speciale (SP) 800-53 (rev. 5) del NIST e offre un'eccellente tabella di marcia ai team del settore pubblico per migliorare la sicurezza in modo graduale. Soprattutto, il NIST CSF si adatta perfettamente alla pletora di acronimi elencati in precedenza.

Nelle restanti sezioni, ci concentriamo sul NIST CSF, ora nella versione 2.0, e sosteniamo che si tratta di una scelta eccellente su cui basare un programma di conformità informatica. Spesso ci riferiamo al framework come se offrisse una "copertura globale", perché praticamente ogni requisito di sicurezza che abbiamo incontrato nella varietà di acronimi è affrontato in qualche misura nel NIST. Questo lo rende una buona scelta di base, anche per i team di sicurezza privati e non statunitensi.

Cos'è il NIST CSF 2.0?

Il NIST CSF 2.0, rilasciato nell'agosto 2023, si basa sulla versione originale del 2014 (CSF 1.0) per aiutare le organizzazioni a gestire e ridurre i rischi di cybersecurity. Il framework originale comprendeva cinque funzioni fondamentali - Identificare, Proteggere, Rilevare, Rispondere e Recuperare - che forniscono un approccio al ciclo di vita della cybersecurity. Molti programmi di cybersecurity sono stati organizzati intorno a queste funzioni, anche se il nostro coaching è che questo potrebbe non essere l'approccio migliore.

Figura 1. Rappresentazione del NIST CSF 1.0

Le funzioni del NIST CSF sono suddivise in categorie e sottocategorie più dettagliate, mappate a riferimenti informativi come le pubblicazioni speciali del NIST e gli standard ISO. Il CSF 2.0 mantiene la flessibilità e l'accessibilità del suo predecessore, consentendo alle organizzazioni di tutte le dimensioni e di tutti i settori di adattarne l'implementazione ai loro specifici ambienti di rischio, risorse e obiettivi aziendali.

Un miglioramento significativo del CSF 2.0 è l'accresciuta attenzione alla governance come nuova categoria nell'ambito della funzione "Identificare", che affronta l'importanza della leadership, della strategia di cybersecurity e delle politiche organizzative nella gestione dei rischi informatici. Un'altra aggiunta fondamentale è l'ampliamento delle linee guida per la gestione dei rischi della catena di fornitura, che riflette la crescente importanza della gestione dei rischi di terze parti nella cybersecurity.

Il NIST CSF 2.0 incorpora anche aggiornamenti per allinearsi agli standard NIST modernizzati, come gli aggiornamenti dei controlli crittografici e le considerazioni ampliate per le tecnologie emergenti come il cloud, l'intelligenza artificiale e la tecnologia operativa. Queste modifiche rendono il framework più pertinente all'attuale panorama delle minacce e ai diversi ambienti tecnologici che le organizzazioni si trovano ad affrontare.

Figura 2. Rappresentazione del NIST CSF 2.0

Rispetto al CSF 1.0, la versione 2.0 adotta una prospettiva più globale, migliorando l'applicabilità agli standard e ai framework internazionali, anche nel settore pubblico, promuovendo una maggiore interoperabilità. Inoltre, pone maggiore enfasi sulla guida all'implementazione, offrendo risorse migliorate, come profili ed esempi di implementazione, per aiutare le organizzazioni a rendere operativo il framework in modo efficace.

Mentre il CSF 1.0 ha fornito una solida base, il CSF 2.0 migliora il framework incorporando le lezioni apprese in quasi un decennio di adozione, rendendolo più completo, scalabile e in grado di affrontare le sfide di cybersecurity in continua evoluzione affrontate oggi da tutti i tipi di organizzazioni. Nella sezione che segue, analizziamo come funziona il framework nel contesto delle sfide di cybersecurity delle agenzie federali.

Mappatura dei requisiti informatici federali

La prima intuizione che speriamo di aiutare i team di conformità delle agenzie federali a comprendere è che le moderne piattaforme GRC di validi fornitori commerciali, come ServiceNow, Metric Stream e Archer, forniscono un supporto automatico per l'esecuzione di mappature da NIST CSF 2.0 ad altri framework. Si tratta di una funzione incredibilmente utile, perché sostituisce gli sforzi manuali che molti di noi ricordano di aver fatto prima che fossero disponibili tali piattaforme.

Detto questo, è utile esaminare come il NIST CSF 2.0 supporti la maggior parte dei requisiti delle agenzie federali. Tuttavia, la discussione che segue deve essere esaminata in modo teorico, perché negli Stati Uniti, con le elezioni politiche a livello federale e statale, i requisiti informatici, i mandati e le leggi applicabili cambiano rapidamente. I decreti esecutivi, ad esempio, cambiano con un semplice tratto di penna, quindi i lettori farebbero bene a non cercare mappature microscopiche in rapporti come questo.

Con il suo approccio completo alla gestione del rischio, il NIST CSF 2.0 si allinea alle direttive e agli standard federali più importanti, tra cui il Federal Information Security Modernization Act (FISMA), la circolare OMB A-130, l'Executive Order (EO) 14028 e le direttive operative vincolanti (BOD) del CISA. Integrando questi mandati nel suo framework, il CSF 2.0 consente alle agenzie di semplificare gli sforzi di conformità e di rafforzare la loro posizione complessiva di cybersecurity.

Allineamento con FISMA e NIST SP 800-53

Il FISMA, pietra miliare della legge federale sulla cybersecurity, richiede alle agenzie federali di implementare programmi di sicurezza informatica basati sul rischio. Le funzioni del NIST CSF 2.0 sopra menzionate - Identificare, Proteggere, Rilevare, Rispondere e Recuperare - si allineanodirettamente con l'enfasi posta dal FISMA sulla categorizzazione dei rischi, l'implementazione dei controlli e il monitoraggio continuo. I team di sicurezza delle agenzie federali trarranno vantaggio da questo allineamento.

Il framework si rifà anche alla Special Publication (SP) 800-53 del NIST, che specifica i controlli di sicurezza e privacy che si applicano direttamente ai sistemi federali. Ad esempio, i miglioramenti della governance contenuti nel CSF 2.0 integrano l'enfasi posta dallo SP 800-53 su politiche organizzative, ruoli e responsabilità. Utilizzando il CSF 2.0 come quadro di riferimento di livello superiore, le agenzie federali possono garantire che i loro programmi siano radicati nei requisiti dettagliati dello SP 800-53.

Conformità agli ordini e alle direttive esecutive

Il NIST CSF 2.0 supporta anche la conformità con l'Executive Order 14028, che impone miglioramenti alla sicurezza informatica federale in seguito a violazioni di alto profilo come quella di SolarWinds. L'EO 14028 enfatizza l'architettura zero trust, il miglioramento del rilevamento delle minacce e lo sviluppo di software sicuro. La maggiore attenzione del framework alla gestione del rischio della catena di fornitura e alle tecnologie emergenti è in linea con queste direttive.

Ad esempio, la CSF 2.0 prevede categorie e sottocategorie che riguardano la due diligence del fornitore, il monitoraggio continuo e la gestione sicura del ciclo di vita del software. Offre alle agenzie un modo strutturato per implementare i requisiti dello Zero Trust Maturity Model della CISA e per proteggere la catena di fornitura del software, come richiesto dalla EO 14028. (Ricordiamo ancora una volta ai lettori che i mandati delle EO possono cambiare rapidamente, soprattutto con i cambiamenti dell'amministrazione presidenziale).

Integrazione con le direttive operative vincolanti della CISA

Le direttive operative vincolanti (BOD) della CISA, come la BOD 22-01 sulle vulnerabilità note sfruttate, richiedono azioni tempestive per mitigare rischi specifici. Le funzioni CSF 2.0 Detect and Respond consentono alle agenzie di rendere operative queste direttive attraverso una migliore pianificazione della risposta agli incidenti, il rilevamento proattivo delle minacce informatiche e i processi di gestione delle vulnerabilità e delle esposizioni.

Inoltre, l'enfasi del framework sul miglioramento continuo si allinea bene con i requisiti degli OdC per un'azione rapida e misurabile. L'approccio iterativo del NIST CSF 2.0 garantisce che le agenzie possano adattare le proprie strategie in risposta all'evoluzione delle direttive CISA e delle informazioni sulle minacce. Nei prossimi anni, secondo le previsioni del TAG, un aumento significativo delle minacce provenienti dagli Stati nazionali richiederà una migliore gestione continua delle informazioni sulle minacce da parte delle agenzie federali.

Supporto per i mandati in materia di privacy e protezione dei dati

L'allineamento del NIST CSF 2.0 con i framework sulla privacy, tra cui il NIST Privacy Framework e mandati come il Privacy Act del 1974 e le linee guida CUI (Controlled Unclassified Information), consente alle agenzie di gestire i requisiti di protezione dei dati insieme agli obiettivi di cybersecurity. La categoria di governance aggiornata affronta esplicitamente la necessità di politiche e controlli che bilancino la cybersecurity con la privacy, consentendo alle agenzie di soddisfare i doppi requisiti di conformità.

Piano d'azione

Ci auguriamo che sia stato dimostrato che le agenzie federali dovrebbero prendere seriamente in considerazione l'uso del NIST CSF 2.0 come base fondamentale per il loro programma di protezione generale. Grazie alla mappatura con FISMA, EO 14028, direttive CISA e altri mandati, il NIST CSF 2.0 offre alle agenzie federali un quadro coesivo per unificare la conformità, migliorando al contempo la resilienza complessiva della sicurezza. Ci auguriamo che questa guida sia stata utile - e ci auguriamo sempre di avere vostre notizie.

Altre risorse