Il Framework Nazionale per la Cyber Security, realizzato da CIS-Sapienza di Roberto Baldoni, dal Laboratorio Nazionale di Cyber Security e da altre organizzazioni pubbliche e private, è ora disponibile online e soggetto a consultazione pubblica.
Lo scopo del documento è quello di offrire alle organizzazioni pubbliche e private, piccole, medie e grandi, un approccio omogeneo per affrontare la cyber security, al fine di ridurre il rischio legato alla minaccia cyber. L’approccio del framework è intimamente legato ad un’analisi del rischio e non a standard tecnologici.
Il framework si fonda sul noto “Framework for Improving Critical Infrastructure Cybersecurity” (emanato dal NIST americano nel 2014 e costantemente aggiornato), ma è stato ampliato ed attualizzato al contesto italiano. Il Framework nazionale si pone infatti l’obiettivo di offrire una guida per incrementare il livello di cyber security per la Piccola Media Impresa italiana.
Offre anche raccomandazioni per il top management di grandi aziende e infrastrutture critiche su come organizzare al meglio i processi di cyber security risk management.
Il framework può aiutare una impresa ad organizzare un percorso di gestione del rischio cyber, sviluppato nel tempo, in funzione del suo business, della sua dimensione e di altri elementi caratterizzanti e specifici dell’impresa. Come avviene anche negli USA, l’adozione del framework è pensata essere assolutamente su base volontaria.
Il framework vuole fornire un linguaggio comune per esprimere e classificare in maniera omogenea i rischi cyber. Offre riferimenti documentali certi per i vari ambiti, non solo quelli riportati dal NIST (metodologie e standard internazionali) ma anche riferimenti ad obblighi normativi italiani, ad esempio, per le Pubbliche amministrazioni quelli riportati dal CAD (Codice dell’Amministrazione Digitale).
Con la consultazione in corso, sarà possibile commentare il documento, suggerire modifiche e indicare eventuali inesattezze, entro però il 10 gennaio 2016. La versione finale del Framework Nazionale per la Cyber Security sarà presentata a Roma, presso l’Aula Magna dell’Università degli Studi di Roma La Sapienza, il 4 febbraio 2016.