Il NIST rilascia la versione ampliata 2.0 del Landmark Cybersecurity Framework per aiutare le organizzazioni di infrastrutture critiche

Il National Institute of Standards and Technology (NIST) ha presentato la versione 2.0 del suo Cybersecurity Framework (CSF), segnando un’importante pietra miliare nella strategia di sicurezza informatica. Originariamente pensato per le organizzazioni di infrastrutture critiche, il CSF ha ottenuto un'adozione diffusa oltre l'ambito previsto, spingendo il NIST a migliorare la sua applicabilità in diversi settori e dimensioni organizzative. Il quadro aggiornato, basato sul feedback sulla sua bozza, amplia le linee guida fondamentali e introduce la funzione cruciale di “Governare”, colmando le lacune nella gestione del rischio.

Il nuovo quadro, che non viene aggiornato da circa 10 anni, arriva in un momento critico in cui le organizzazioni che gestiscono infrastrutture critiche si trovano ad affrontare gravi attacchi informatici che potrebbero paralizzare le funzioni quotidiane in molti aspetti della vita. Alcuni attacchi hanno sradicato le operazioni di terapia intensiva nei gruppi sanitari e in molti altri settori, che il nuovo quadro mira a contribuire a contrastare.

Robert Booker, Chief Strategy Officer di HITRUST, ha sottolineato l’importanza della funzione di governance, sottolineandone il ruolo chiave nella gestione del rischio nel panorama della sicurezza informatica. In particolare, il CSF 2.0 fornisce agli utenti esempi di implementazione su misura e guide rapide, facilitandone l’applicazione pratica. Inoltre, incorpora un catalogo di riferimenti ricercabili, semplificando l'allineamento con oltre 50 documenti sulla sicurezza informatica.

La direttrice del NIST, Laurie E. Locascio, ha sottolineato la natura dinamica del CSF 2.0, descrivendolo come una suite di risorse personalizzabili adattabili alle mutevoli esigenze di sicurezza informatica e alle capacità organizzative. Katherine Ledesma, della società di sicurezza informatica industriale Dragos, ha evidenziato le implicazioni del quadro per le organizzazioni con sistemi di controllo industriale (ICS) e sistemi di tecnologia operativa (OT). Ha sottolineato un cambiamento nella percezione, posizionando gli investimenti nella sicurezza informatica non solo come un centro di costo ma come un abilitatore strategico per le operazioni aziendali, particolarmente critico per settori come quello manifatturiero e dei servizi di pubblica utilità.

Ledesma ha inoltre sottolineato l’importanza di distinguere tra ambienti IT e OT all’interno del quadro del QSC, prevedendo un approccio articolato alla salvaguardia dei sistemi ICS/OT. Ha sottolineato la necessità di aggiornamenti continui e linee guida specializzate per affrontare i rischi unici associati a questi sistemi, sostenendo l’integrazione di considerazioni specifiche sull’OT in documenti più ampi di pianificazione e orientamento della sicurezza informatica.

Nel complesso, il rilascio di CSF 2.0 segna un progresso significativo nella strategia di sicurezza informatica, offrendo un quadro completo adattabile a diversi contesti organizzativi e sottolineando il ruolo critico della sicurezza informatica nel supportare la resilienza e la continuità aziendale.