Il NIST Cybersecurity Framework (CSF) è un framework volontario pubblicato dal National Institute of Standards and Technology statunitense per aiutare le organizzazioni — di qualsiasi settore e dimensione — a gestire e ridurre il rischio di cybersecurity. Nato nel 2014 su mandato dell’Executive Order 13636 del presidente Obama per proteggere le infrastrutture critiche, è diventato il riferimento de facto per la gestione del rischio cyber a livello globale. La versione corrente è CSF 2.0 (febbraio 2024), che introduce la funzione Govern e amplia l’applicabilità oltre le infrastrutture critiche.
Le sei funzioni
Il CSF 2.0 organizza le attività di cybersecurity in sei funzioni di alto livello, ciascuna suddivisa in categorie e sottocategorie di controllo:
GOVERN (nuova in CSF 2.0): stabilisce il contesto, le priorità e i vincoli organizzativi che guidano la strategia di cybersecurity. Include politiche, ruoli, responsabilità, gestione del rischio e supervisione della catena di fornitura. È la funzione trasversale che informa tutte le altre.
IDENTIFY: comprensione del contesto organizzativo per gestire il rischio. Inventario degli asset, identificazione dei rischi di business, valutazione della postura di sicurezza.
PROTECT: implementazione di salvaguardie per garantire i servizi critici. Controllo degli accessi, formazione, protezione dei dati, processi di sicurezza, tecnologie di protezione.
DETECT: identificazione tempestiva degli eventi di cybersecurity. Monitoraggio continuo, rilevamento delle anomalie, SIEM, IDS/IPS.
RESPOND: azioni da intraprendere in risposta a un incidente rilevato. Pianificazione della risposta, comunicazione, analisi, mitigazione, miglioramento post-incidente.
RECOVER: ripristino delle capacità operative dopo un incidente. Piani di recovery, comunicazione, apprendimento dall’incidente.
Tier di implementazione
Il CSF definisce quattro Tier che descrivono il livello di maturità delle pratiche di gestione del rischio cyber dell’organizzazione:
| Tier | Nome | Caratteristica |
|---|---|---|
| 1 | Partial | Pratiche ad hoc, reattive, non formalizzate |
| 2 | Risk Informed | Pratiche approvate ma non standard aziendali |
| 3 | Repeatable | Pratiche formalizzate, aggiornate regolarmente |
| 4 | Adaptive | Adattamento continuo basato su threat intelligence |
I Tier non sono livelli di maturità da raggiungere in sequenza obbligatoria: l’organizzazione sceglie il Tier target in funzione dei propri obiettivi di business e della propria propensione al rischio.
Profile: Current e Target
Un Profile è la selezione di categorie e sottocategorie del CSF rilevanti per l’organizzazione, in funzione dei requisiti di business, della tolleranza al rischio e delle risorse disponibili. Il confronto tra Current Profile (stato attuale) e Target Profile (stato desiderato) identifica i gap da colmare e orienta il piano di miglioramento.
CSF vs. ISO/IEC 27001
Il CSF e ISO/IEC 27001 sono complementari, non alternativi. ISO 27001 è uno standard certificabile con requisiti prescrittivi; il CSF è un framework flessibile e orientativo. Molte organizzazioni usano il CSF per strutturare la propria strategia e ISO 27001 come standard di certificazione. Il NIST mantiene una mappatura ufficiale tra le sottocategorie del CSF e i controlli di ISO 27001, NIST SP 800-53 e altri standard.