FRAMEWORK NAZIONALE PER LA CYBER SECURITY

Transcript

1 FRAMEWORK NAZIONALE PER LA CYBER SECURITY

2 ramework Nazionale per la Cyber Security

3 ramework Nazionale per la Cyber Security Versione 2.0 della strategia

4 Relazione al parlamento [ ] la recente presentazione del Framework Nazionale per la Cyber Security da parte del Laboratorio Nazionale Cyber - CINI (Consorzio Interuniversitario Nazionale per l Informatica): si tratta di un importante passo in avanti nel dotare le imprese italiane di ogni dimensione e settore di un quadro di autovalutazione strategica. Una progressiva adozione del Framework da parte del tessuto imprenditoriale nazionale permettera di aumentare la consapevolezza del rischio anche ai massimi livelli della governance aziendale, in base ad un approccio di sistema ed in linea con le best practices internazionalmente riconosciute.

5 Framework Nazionale per la Cyber Security: obiettivi iniziali Portare la consapevolezza del rischio cyber ai massimi livelli aziendali non più una cosa per soli tecnici portare le organizzazioni a considerare il rischio cyber come rischio economico parte del risk management Considerare il panorama economico italiano 69% del PIL prodotto da Piccole-Medie Imprese Pochissime grandi imprese nazionali

6 Framework Nazionale per la Cyber Security: obiettivi iniziali Creare qualcosa che sia riconosciuto a livello internazionale migliorare la capacità di information sharing innalzare il livello di duty of care nazionale Non reinventare la ruota non ha senso creare un nuovo framework da zero siamo partiti dal NIST Framework for Improving Critical Infrastructure Cybersecurity

7 Il Framework Nazionale è uno strumento di autovalutazione del rischio cyber

8 Il Framework Nazionale è uno strumento di autovalutazione del rischio cyber Non è uno standard (non è certificabile) Permette di definire il proprio profilo attuale e il profilo target Aiuta nella definizione della roadmap per passare dal profilo attuale al profilo target

9 NIST Framework for Improving Critical Infrastructure Cybersecurity Functions Categories Subcategories Informative References IDENTIFY Framework core Profiles PROTECT DETECT RESPOND RECOVER

10 Framework Nazionale per la Framework core Profiles Cybersecurity Functions Categories Subcategories Priority Levels IDENTIFY Maturity Levels M1 M2 M3 M4 Informative References Guide Lines PROTECT Abbiamo Aggiunto: Livelli Priorità* Livelli di Maturità* RECOVER Metodologia di contestualizzazione Linee Guida* Riferimenti normativi (privacy, CAD, altro*) DETECT RESPOND *validi per nell ambito della contestualizzazione

11

12 Vantaggi per le grandi imprese Strumento per la top management awareness Un aiuto a definire piani di spesa per la gestione del rischio cyber Gestione della catena di approvvigionamento Un aiuto nell approntare un processo evoluto di gestionedel rischio cyber Raccomandazioni e suggerimenti sulla gestione del rischio cyber

13 Vantaggi per le PMI Qualcosa da cui partire! Una contestualizzazione del Framework dedicata a loro Selezione delle subcategor y Livelli di priorità Livelli di maturità Guida all implementazione delle subcategory a priorità alta

14 Vantaggi per la nazione Fornire un linguaggio comune a diversi soggetti in modo da poter emanare regole in maniera coerente e.g.,garante Privacy, AGID, PCM, ecc. Internazionalità del framework

15 Framework Nazionale Più generale del NIST CI-Framework le contestualizzazioni permettono di creare Framework custom Viene mantenutala compliancecon il NIST CI- Framework riconosciuto internazionalmente profili di sicurezza più accurati sono definiti sui livelli di maturità Riconosciuto a livello nazionale potrebbe rafforzare la supply chain dell intero panorama nazionale Fornisce un linguaggio comune per le interazioni tra pubblico e privato

16 Il team (oltre 30 persone) Public-Private-Partnership CIS-Sapienza Laboratorio Nazionale PCM (Intelligence) CERT Nazionale CERT-PA Garante della Privacy Agid Panel di aziende

17 Il team (oltre 30 persone) Public-Private-Partnership Consultazione pubblica:

18 Framework Nazionale per la Cyber Security Dalle Contestualizzazioni ai Profile Luca Montanari, Ph.D

19 NIST Framework for Improving Critical Infrastructure Cybersecurity Functions Categories Subcategories Informative References IDENTIFY Framework core Profiles PROTECT DETECT RESPOND RECOVER

20 Framework Nazionale per la Framework core Profiles Cybersecurity Functions Categories Subcategories Priority Levels Maturity Levels M1 M2 M3 M4 Informative References Guide Lines IDENTIFY Abbiamo Aggiunto: Livelli Priorità* Livelli di Maturità* Alcune IR Linee guida PROTECT DETECT RESPOND RECOVER *validi per nell ambito della contestualizzazione

21 Contestualizzazioni Il Framework può essere customizzato tramite: la selezione delle subcategory definizione di livelli di priorità per ogni subcategory definizione livelli di maturità per ogni subcategory

22 Contestualizzazioni La singola contestualizzazione può essere valida per organizzazioni: di un dato settore economico/produttivo di una certa dimensione appartenenti a un settore regolato per pubbliche amministrazioni centrali/locali banche... Per Business Unit di IC o GI

23 Chi può dovrebbe creare contestualizzazioni del Framework Associazioni di Settore (assopetroli, federsanità, ) Un regolatore di settore La singola azienda (che potrebbe modificare una contestualizzazione fatta da altri) Un qualsiasi attore che definisce una contestualizzazione del Framework

24 CONTEXT-PMI

25 CONTEXT-PMI Nel documento del Framework Nazionale abbiamo incluso una contestualizzazione per Piccole-Medie-Imprese La contestualizzazione è il frutto di un analisi di tutte le subcategory ad opera del core team (CIS-Sapienza + aziende partecipanti al tavolo)

26 CONTEXT-PMI È caratterizzata da: 93 Subcategory su 98 3 livelli di priorità (alta, media, bassa) 3 livelli di maturità (definiti solo per le subcategory a priorità alta)

27 CONTEXT-PMI: selezione delle subcategory Il Framework core, essendo basato sul Framework del NIST per Infrastrutture Critiche contiene alcune subcategory che possono essere non rilevanti per le Piccole-Medie-Imprese.

28 CONTEXT-PMI: selezione delle subcategory possono essere non rilevanti per ragioni legate a la complessità di implementazione (rapporto costo/benefici) al business alla dimensione altro

29 Disclaimer sulla selezione delle subcategory attenzione n.1 La selezione delle Subcategory è un processo estremamente delicato, si deve tener conto che si potrebbe aumentare il livello di rischio

30 Disclaimer sulla selezione delle subcategory attenzione n.2 si deve tener conto della supply chain: una PMI che fornisce servizi a una infrastruttura critica non può usare una contestualizzazione per PMI all interno della supply chain si dovrebbe considerare il rischio percepito dall obiettivo più importante

31 Disclaimer sulla selezione delle subcategory A causa di attenzione n.1 e attenzione n.2 le singole organizzazioni che adottano una contestualizzazione devono valutare se la selezione delle subcategory trovata nella contestualizzazione vada corretta

32 CONTEXT-PMI: selezione delle subcategory

33 CONTEXT-PMI: selezione delle subcategory Richiede la creazione di un catalogo dei sistemi non di proprietà della PMI Sono dedicate a IC o a organizzazioni altamente regolate che devono riportare il loro ruolo e le dipendenze funzionali Richiede la definizione di un processo formale overhead eccessivo per le PMI Richiede uno sforzo non proporzionato ai benefici che una PMI avrebbe

34 CONTEXT-PMI: livelli di priorità Sono definiti 3 livelli: Priorità alta Subcategory da implementare immediatamente e inderogabilmente, indipendentemente dalla complessità realizzativa Priorità media Subcategory che consentono di ridurre almeno uno dei tre fattori del rischio cyber (esposizione alla minaccia, probabilità/vulnerabilità e impatto) generalmente non di difficile implementazione Priorità bassa Subcategory che consentono di ridurre almeno uno dei tre fattori del rischio cyber ma con una certa complessità realizzativa

35 CONTEXT-PMI: livelli di priorità 18 Subcategory a Priorità alta 34 Subcategory a Priorità media 41 Subcategory a Priorità bassa Non Selezionate Priorità Alta Priorità Bassa Priorità Media

36 CONTEXT-PMI: Priorità alta Conoscere la propria superficie d attacco, eventualmente ridurla Definire chi fa cosa Rispettare la legge

37 CONTEXT-PMI: Priorità alta

38 CONTEXT-PMI: Priorità alta

39 CONTEXT-PMI: Priorità alta Gestione degli accessi ai sistemi (password e privilegi) Formazione del personale Backup e configurazione di base dei sistemi Firewall

40 CONTEXT-PMI: Priorità alta Antivirus aggiornato, su tutti i sistemi censiti Definire cosa fare in caso di attacco Valutare le nuove vulnerabilità, aggiornare software e firmware (in base ai censimenti fatti, quali sistemi sono vulnerabili?),

41 CONTEXT-PMI: Priorità Media (alcune)

42 CONTEXT-PMI: Priorità Bassa (alcune)

43 CONTEXT-PMI: livelli di maturità In generale i livelli di maturità rappresentano una misura della: maturità del processo di sicurezza, maturità di attuazione di una tecnologia specifica quantità di risorse impiegate nell implementazione di una Subcategory. I livelli vanno definiti in progressione.

44 CONTEXT-PMI: livelli di maturità In CONTEXT-PMI sono definiti 3 livelli, solo per le Subcategory a priorità alta. Non necessariamente è possibile definire 3 livelli per ogni subcategory.

45 CONTEXT-PMI: livelli di maturità

46 CONTEXT-PMI: livelli di maturità

47 CONTEXT-PMI: Definizione dei profili Current Profile e Target Profile sono una selezione di Subcategory selezione del livello di maturità per le subcategory Si effettuano su di una specifica contestualizzazione

48 Flessibilità delle contestualizzazioni Attenzione: le necessità delle organizzazioni hanno maggiore importanza: alcune priorità possono non essere rispettate alcuni livelli di maturità modificati/aggiunti Se si modificano livelli di maturità o priorità si sta creando una propria contestualizzazione.

49 Aggiornamento delle contestualizzazioni Attenzione: chi assicura che la selezione di subcategory e i livelli di priorità/maturità siano validi nel tempo? Chi crea una contestualizzazione dovrebbe mantenerla nel tempo I dati sugli eventi di sicurezza dovrebbero essere utilizzati per aggiornare i livelli di priorità e maturità

50 Conclusione Per la creazione delle contestualizzazioni: selezionare le Subcategory definire livelli di priorità definire livelli di maturità aggiungere eventuali Informative References/standard di settore/obblighi Per la creazione dei profili: selezionare una contestualizzazione tra quelle disponibili selezionare le Subcategory implementate/che si intendono implementare e il livello di maturità attuale/voluto

51 Domande?