In un mondo estremamente interconnesso, in cui il progresso tecnologico avanza con sempre maggiore rapidità, garantire la sicurezza informatica e la sicurezza delle informazioni rappresenta un’esigenza concreta per ogni realtà organizzativa.
Il tema della Cybersecurity è ad oggi ritenuto estremamente complesso, percepito come una componente della realtà che spesso si tende a collocare su un piano differente rispetto quanto è definito il mondo reale; nonostante questa percezione sia ampiamente diffusa, il volto digitale della realtà è un riflesso proprio della stessa, e, in quanto tale, tutti, siano essi singoli od organizzazioni, sono tenuti a confrontarvisi e a non rimanervi indifferenti.
Center for Internet Security (CIS): cos’è e come funziona
Il Center for Internet Security (CIS) è un’organizzazione non profit che opera a livello internazionale, il cui obiettivo è identificare, sviluppare, convalidare, promuovere e sostenere le migliori pratiche di difesa informatica, affermandosi come guida per la comunità mondiale[1].
Il CIS utilizza un modello di crowdsourcing ben rodato per identificare e definire efficaci misure di sicurezza; ciascun membro della comunità può contribuire allo sviluppo e alla definizione di raccomandazioni, le quali sono oggetto di valutazione da parte della comunità stessa, attraverso un processo di approvazione condivisa.
CIS Controls: buone pratiche per la sicurezza informatica
I Center for Internet Security Controls (CIS Controls) [2], anche denominati Critical Security Controls (CSC), sono un insieme di linee guida formulate, redatte e promosse dal Center for Internet Security, le quali dovrebbero essere implementate da parte di ogni realtà organizzativa, di qualsiasi ambito e dimensione, allo scopo di mettere in sicurezza, per quanto possibile, la propria infrastruttura digitale. Grazie alla loro efficacia ed implementabilità, i Critical Security Controls sono stati riconosciuti come standard de facto a livello internazionale per definire strategie operative di gestione del rischio cyber.
Critical Security Controls: aree di intervento, macrocategorie e Center for Internet Security Sub-Controls
La versione 7.1 del framework [3] rappresenta ad oggi l’aggiornamento più recente delle suddette best practices; i Critical Security Controls sono articolati in venti azioni chiave, o aree di intervento, a loro volta raggruppate e suddivise in tre macrocategorie: basic, foundational, organizational.
La prima macrocategoria (basic) raggruppa i Critical Security Controls che dovrebbero essere implementati in tutte le organizzazioni, di ogni ordine e dimensione, allo scopo di predisporre il livello minimo di sicurezza in preparazione alla cyber defense.
La seconda macrocategoria (foundational) raggruppa i Critical Security Controls di natura prevalentemente tecnica che, se implementati, apporterebbero benefici tangibili in ambito di sicurezza informatica e delle informazioni, andando a prendere in considerazione come obiettivo aree di intervento utili per ogni organizzazione.
La terza ed ultima macrocategoria (organizational) raggruppa i Critical Security Controls focalizzati in particolare sul fattore umano, ovvero le persone che popolano la specifica realtà organizzativa, e sui processi correlati alla cybersecurity.
I Critical Security Controls rappresentano una preziosa fonte dalla quale attingere per lo sviluppo di una strategia di contrasto e prevenzione delle minacce informatiche [4], fornendo una chiara linea da seguire per supportare l’organizzazione nell’implementazione di una politica di cybersecurity.
Allo scopo di favorire ulteriormente l’implementazione di tali azioni chiave, il Center for Internet Security provvede ad effettuare un ulteriore livello di classificazione all’interno di ciascun Critical Security Control, andando a definire i cosiddetti Center for Internet Security Sub-Controls.
Si tratta di operazioni e strumenti che consentono di prendere in considerazione azioni specifiche e maggiormente circoscritte all’interno di ogni Critical Security Control, focalizzandosi su determinati interventi da intraprendere, allo scopo di soddisfare al meglio i requisiti e implementare i diversi Security Controls nella maniera più adatta alle proprie esigenze e risorse.
Critical Security Controls e Implementation Groups: il giusto compromesso per ogni esigenza
Con l’obiettivo di fornire un supporto appropriato per un’efficace implementazione dei Critical Security Controls, senza trascurare anche la più piccola realtà in dimensioni ed esigenze,
il Center for Internet Security ha provveduto ad esaminare trasversalmente la totalità dei Security Controls, andando ad individuare, dopo aver considerato tutti i Sub-Controls, un core set di azioni ed interventi prioritari che un’organizzazione dotata di risorse limitate e ridotte competenze in tema, con un livello di rischio basso in relazione alla tipologia di infrastruttura tecnologica e dati trattati, è in grado di attuare per una prima attività di messa in sicurezza della propria infrastruttura [5]
Tale core set viene definito Implementation Group I (IG I); il seguente raggruppamento di Sub-Controls apporta grande valore aggiunto in termini di sicurezza per l’organizzazione, andando a utilizzare tecnologie e procedure che generalmente sono già disponibili, ma non adeguatamente sfruttate, in un contesto aziendale.
Il core set di Sub-Controls caratterizzanti l’Implementation Group I è utilizzato per giungere alla definizione di un set ulteriore di Sub-Controls, il cui pool di destinazione è idealmente composto da realtà organizzative dotate di una maggiore disponibilità di risorse, personale e competenze, ma allo stesso tempo esposte ad un maggior rischio in termini di sicurezza informatica e delle informazioni.
Tale set aggiuntivo è definito Implementation Group II (IG II): si tratta di un set di
Sub-Controls focalizzato sul fornire un supporto aggiuntivo al security team dell’organizzazione; tale Implementation Group si occupa in particolare della gestione delle informazioni sensibili sia dell’organizzazione, sia dei clienti della stessa.
I restanti Sub-Controls costituiscono infine il set Implementation Group III (IG III), all’interno del quale sono inseriti i Sub-Controls volti alla riduzione dell’impatto di un eventuale attacco informatico, mosso da attori malevoli, nei confronti dell’organizzazione di grandi dimensioni, dotata di ingenti risorse e personale altamente qualificato.
Tutti i Sub-Controls compresi nell’IG I sono da intendersi inclusi in entrambi i IGs successivi;
allo stesso modo, i Sub-Controls caratterizzanti l’IG II sono da intendersi inclusi nell’IG III.
La suddivisione per Implementation Groups rappresenta un valido ed importante supporto da parte del Center for Internet Security, dotando le diverse organizzazione di una guida da seguire per canalizzare al meglio le proprie risorse, rapportandole alle proprie esigenze e dimensioni, non rendendo vano l’apporto che l’implementazione anche solo di alcuni Sub-Controls, i più adatti ed utili per la specifica organizzazione, possa avere sulla singola realtà organizzativa.
Nei prossimi articoli, si andranno ad esaminare le diverse macrocategorie sopra individuate, focalizzandosi in particolare su alcune specifiche azioni di intervento ritenute implementabili da parte di ogni realtà organizzativa, rendendo la sicurezza informatica a portata di tutti.
