Disponibile la versione del Framework nazionale per la Cybersecurity, rinnovata in ottica GDPR, per organizzare i processi aziendali secondo le sfide della cybersecurity mantenendo un corretto approccio alla protezione dei dati.
Dal 2015 Il Cyber Intelligence and Information Center (CIS) de La Sapienza e il Laboratorio Nazionale di Cybersecurity del CINI, nell’ambito delle iniziative volte a sostenere la formazione in ambito Cybersecurity e lo sviluppo di strumenti metodologicamente standardizzati a sostegno delle PMI e delle imprese di qualunque dimensione, hanno sviluppato il Framework Nazionale per la Cybersecurity (Framework 1.0) ispirato al Cybersecurity Framework ideato dal NIST (National Institute of Standards and Technology), come uno strumento operativo per organizzare i processi di cybersecurity.
La sua adozione ha permesso di supportare le organizzazioni nel definire un percorso orientato alla progressiva attuazione di misure di cybersecurity e di protezione dei dati, in modo coerente con i regolamenti e le legislazioni vigenti riducendo i costi e aumentando l’efficacia. Insieme al Framework, sono stati prodotti il Cyber Security Framework Tool, come insieme di strumenti per agevolare l’adozione e la diffusione del Framework Nazionale e i Controlli Essenziali di Cybersecurity, un sottoinsieme minimale di 15 verifiche destinato a quelle imprese che per dimensioni o risorse non fossero riuscite ad implementare il Framework.
Dall’entrata in vigore del Regolamento Generale per la protezione dei dati (General Data Protection Regulation – GDPR) si è reso necessario aggiornare il Framework Nazionale e ad ITASEC19 è stata presentata la nuova versione (Framework 2.0) che oggi si chiama “Framework Nazionale per la Cybersecurity e la Data Protection”. Ce ne parla uno dei suoi curatori che lavora al framework fin dalla sua prima versione, il professor Leonardo Querzoni, professore presso “La Sapienza” Università di Roma.
L’intervista
Professore lei ha curato la realizzazione della nuova versione del framework nazionale della cybersecurity che ora è GDPR compliant. Può spiegarci cosa nella prima versione non era in linea con il GDPR?
Il Framework Nazionale per la Cybersecurity, pubblicato nel 2015 dal CIS Sapienza e dal Laboratorio Nazionale di Cybersecurity del CINI, era uno strumento completamente focalizzato sulle problematiche legate alla cybersecurity.
La protezione dei dati, oggi regolamentata in Europa dal GDPR, è un tema ortogonale alla cybersecurity, con il quale ha dei punti in comune legati al fatto che la quasi totalità dei dati personali, viene trattata attraverso strumenti informatici, quasi sempre connessi ad Internet.
Aspetti legati alla corretta protezione dei dati in rete, oltre che essere normati dal Regolamento, erano effettivamente già presenti in alcune specifiche subcategory del Framework Nazionale di Cybersecurity. Altri aspetti erano invece completamente assenti, e questo ha motivato la nostra attività di aggiornamento del Framework.
Che interventi di modifica sono stati necessari?
Gli interventi si sono indirizzati su due elementi logicamente conseguenti.
Per prima cosa abbiamo aggiornato il “framework core”, il set di attività abilitanti che sono alla base di ogni contestualizzazione del framework stesso, introducendo tutti gli elementi di data protection che non era stato possibile ricondurre a quanto già presente nella versione precedente. In particolare, il core è stato arricchito di 9 nuove subcategory e di una nuova category che complessivamente coprono gli aspetti di: identificazione di ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali; identificazione e catalogazione dei trattamenti; definizione, implementazione e documentazione dei processi legati al trattamento dei dati, inclusi quelli necessari per garantire i diritti dell’interessato; valutazione d’impatto sulla protezione dei dati personali; attività di documentazione e comunicazione alle autorità degli incidenti che si configurano come violazioni di dati personali.
Successivamente abbiamo sviluppato una “prototipo di contestualizzazione” che guida l’utilizzatore a contestualizzare il framework nella propria realtà di interesse (es. in una azienda) mantenendo una coerenza completa con gli aspetti legati a GDPR. In dettaglio, il prototipo fornisce un elenco delle subcategory del framework core che devono essere incluse nella contestualizzazione, la priorità con cui le stesse devono essere implementate ed una lista di controlli suggeriti per l’implementazione.
Aggiungo infine che il framework core, in una sezione detta “informative references”, riporta i riferimenti agli articoli del Regolamento, organizzati coerentemente alle subcategory del Framework stesso. Tali riferimenti aiutano la lettura incrociata Framework verso GDPR e viceversa.
Che competenze sono necessarie per applicarlo in questa nuova versione?
Le competenze richieste sono le stesse del precedente Framework, a cui si aggiunge naturalmente la conoscenza dei principi fondamentali del GDPR. A questo proposito, il documento che rappresenta la nuova versione riporta in una apposita sezione alcuni elementi introduttivi al Regolamento, proprio per facilitare l’adozione e l’utilizzo dello strumento metodologico. Naturalmente, tale sezione deve essere intesa come ausilio alla lettura congiunta di Framework e GDPR, e non può in alcun modo essere considerata come sostitutiva dello stesso.
Dove si può trovare, scaricare e se sono previsti supporti per una adozione corretta?
Il Framework Nazionale per la Cybersecurity e la Data Protection è disponibile, in forma completamente gratuita, sul sito web https://www.cybersecurityframework.it
Il sito fornisce, il documento che descrive il Framework e ne spiega le modalità di utilizzo, ma e’ corredato da altro materiale: strumenti tecnici in formato Excel, presentazioni e le slide del Tutorial sull’uso del Framework tenuto durante ITASEC2019. Attraverso lo stesso sito è anche possibile accedere alla precedente versione del Framework. Qualsiasi richiesta di informazione o chiarimento ulteriore, può essere indirizzata ad [email protected] . E’ una mail a cui rispondono i ricercatori del centro di ricerca CIS dell’Università di Roma “La Sapienza”.
Perchè dovrebbe essere usato questo strumento di autovalutazione e ogni quanto rinnovare le valutazioni?
Il Framework è uno strumento ad adozione completamente volontaria. Non è certificatile e non si presenta quale alternativa ad altri strumenti o standard che insistono sugli stessi temi. Il vantaggio del Framework, rispetto ad altre alternative è riassumibile in una serie di vantaggi: è uno strumento aperto, supportato dalle istituzioni, che riunisce in una visione coerente aspetti di cybersecurity con elementi di data protection; può essere adottato per diversi scopi: dalla pianificazione degli interventi migliorativi, al monitoraggio continuo; adotta un approccio risk-based che lo rende particolarmente appetibile per facilitare la collaborazione tra il board delle organizzazioni ed i responsabili degli uffici tecnici; è derivato, ed è quindi compatibile, con il Cybersecurity Framework del NIST, adottato da migliaia di organizzazioni in tutto il mondo.
La periodicità di aggiornamento delle autovalutazioni basate sul Framework dipende fortemente dalla realtà che lo adotta e dal livello di maturità con cui la stessa intende implementare i suoi contenuti. A questo proposito il Framework include uno strumento, detto “implementation tiers”, che permette di monitorare e pianificare esattamente questo aspetto.
Approfondimenti
Per approfondire sulle altre misure volte a sostenere la cyber nazionale si può consultare il resoconto dell’evento ITASEC19, e l’intervista al Prof. Baldoni prima della sua nomina a Vicedirettore del DIS con delega alla Cybersecurity e centrata sulla esigenza di coordinamento e organizzazione per la Cyber nazionale.
