Perché È Importante
I framework trasformano il caos della cybersecurity in una struttura gestibile. Senza, le organizzazioni reinventano la ruota, mancano controlli ovvi e faticano a comunicare il rischio. Con essi, i programmi guadagnano vocabolario condiviso, roadmap prioritizzate e credibilità verso regolatori, assicuratori e clienti.
Il NIST CSF (2014) nasce da un Executive Order USA per gli operatori di infrastruttura critica. Il successo ha portato a un'adozione ben oltre lo scopo iniziale. ISO 27001 garantisce riconoscimento globale tramite certificazione. MITRE ATT&CK è lo standard operativo per emulazione di avversari e copertura di rilevazione. I programmi efficaci combinano più framework.
Framework Principali
NIST CSF 2.0
Struttura flessibile orientata ai risultati, organizzata in sei funzioni:
| Funzione | Scopo |
|---|---|
| Govern | Strategia di rischio, ruoli, politiche, supply chain |
| Identify | Comprensione di asset, ambiente, rischio |
| Protect | Salvaguardie (IAM, formazione, dati, piattaforma) |
| Detect | Monitoraggio continuo e rilevazione anomalie |
| Respond | Gestione degli incidenti e comunicazione |
| Recover | Ripristino e lezioni apprese |
Gli Implementation Tiers (1–4) indicano la maturità; i Profiles allineano il framework alle priorità.
ISO/IEC 27001:2022
Standard internazionale per ISMS con 93 controlli in 4 temi (Organizzativi, Persone, Fisici, Tecnologici). La certificazione richiede:
- Ambito ISMS documentato
- Valutazione e trattamento del rischio
- Statement of Applicability
- Impegno della direzione e miglioramento continuo
- Audit esterno da ente accreditato
CIS Controls v8
Diciotto controlli prioritizzati in Implementation Groups (IG1–IG3):
IG1 (igiene cyber essenziale - 56 safeguard):
Inventario e controllo asset, protezione dati,
gestione account, gestione continua delle vulnerabilita,
gestione audit log, protezione email/web,
difesa malware, backup e recovery
IG2 aggiunge 74 safeguard (rischio medio)
IG3 aggiunge 23 safeguard (rischio alto, minacce sofisticate)
MITRE ATT&CK
Base di conoscenza di tattiche (il perché) e tecniche (il come) osservate in intrusioni reali. Usata per:
- Detection engineering e mappatura regole SIEM
- Operazioni red team ed emulazione di avversari
- Threat intelligence e tracciamento campagne
- Valutazione di copertura con ATT&CK Navigator
COBIT
Framework ISACA per governance e management IT, spesso combinato con ISO 27001 e NIST CSF.
Framework Settoriali
- HITRUST CSF: sanità
- PCI DSS v4.0: dati di pagamento
- NERC CIP: rete elettrica nordamericana
- TISAX: settore automotive
- FedRAMP: cloud federale USA
- Perimetro di Sicurezza Nazionale Cibernetica: Italia
Scegliere il Framework Giusto
Criteri di selezione:
- Geografia e regolamentazione: ISO 27001 globale, NIST CSF negli USA
- Requisiti dei clienti: SOC 2 per SaaS, FedRAMP per gov USA
- Settore: PCI DSS per pagamenti, HIPAA/HITRUST per sanità
- Obiettivi di maturità: certificazione (ISO) vs flessibilità (NIST CSF)
- Risorse: CIS IG1 per piccole organizzazioni, ISO 27001 completo per le grandi
Approccio all'Implementazione
- Inventariare lo stato attuale: quali controlli esistono e operano?
- Selezionare i framework in base ai criteri.
- Mappare i controlli al catalogo del framework.
- Identificare i gap e prioritizzare per rischio.
- Costruire una roadmap con owner, milestone e budget.
- Operare e misurare.
- Auditare e migliorare, prima internamente, poi esternamente.
I Crosswalk Riducono lo Sforzo
Molti framework condividono controlli comuni. I crosswalk mappano:
- NIST CSF ↔ ISO 27001 ↔ NIST 800-53
- CIS Controls ↔ NIST CSF
- SOC 2 Trust Services Criteria ↔ NIST CSF/ISO 27001
Concetti Correlati
Come insegniamo Framework di Sicurezza
Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Framework di Sicurezza. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.
Trattato in:
Modulo 11: Ingegneria della Sicurezza e Tecnologie Emergenti
360+ ore di formazione esperta • CompTIA Security+ incluso