Dopo che la tua organizzazione ha formato un piano generale per affrontare i problemi di sicurezza informatica e gestione dei rischi per la privacy, ha bisogno di particolari strumenti all'avanguardia per realizzare quel progetto. Gli esperti di sicurezza informatica e privacy presso il National Institute of Standards and Technology (NIST) hanno la risposta con una serie di strumenti aggiornati di misure di sicurezza per proteggere le operazioni e le risorse di un'organizzazione, così come la privacy personale degli individui.

NIST Bozza di pubblicazione speciale (SP) 800-53 Revisione 5, Controlli di sicurezza e privacy per i sistemi informativi e le organizzazioni, è una raccolta di centinaia di misure specifiche per rafforzare i sistemi, componenti di prodotti e servizi che sono alla base delle attività della nazione, governo e infrastrutture critiche. Una delle pubblicazioni di punta del NIST sulla gestione del rischio, il documento sta subendo il suo primo aggiornamento in sette anni, e l'agenzia accetta commenti pubblici sulla bozza fino al 15 maggio, 2020.

La pubblicazione offre garanzie per tutti i tipi di piattaforme, dai computer generici ai sistemi di controllo industriale e ai dispositivi Internet of Things (IoT). I suoi strumenti sono destinati a un vasto pubblico di specialisti, dagli esperti di sicurezza agli sviluppatori di sistemi ai fornitori di cloud computing.

"Il nostro obiettivo è rendere i sistemi informativi da cui dipendiamo più resistenti agli attacchi informatici, " ha detto Ron Ross del NIST, uno degli autori della pubblicazione. "Vogliamo limitare i danni di quegli attacchi quando si verificano, rendere i sistemi cyber-resilienti, e allo stesso tempo proteggere la sicurezza e la riservatezza delle informazioni".

Le tutele, o "controlli" come vengono chiamati nel titolo, venire in forme diverse, dalle soluzioni tecniche (come la crittografia) alle strategie operative (come i piani per la risposta agli incidenti di attacco informatico) agli approcci di gestione (come la conduzione di una valutazione del rischio). Del tutto, la pubblicazione organizza centinaia di controlli in 20 gruppi correlati.

L'uso di questi controlli è obbligatorio nei sistemi informativi federali, ma i controlli possono essere personalizzati in modo selettivo e implementati all'interno di qualsiasi organizzazione. Insieme ad altre pubblicazioni di supporto del NIST, il catalogo è progettato per aiutare le organizzazioni federali a identificare i controlli necessari per soddisfare i requisiti di sicurezza e privacy nel Federal Information Security Management Act (FISMA), la legge sulla privacy del 1974, Office of Management and Budget policies e alcuni Federal Information Processing Standards (FIPS).

Come può un'organizzazione incorporare questo catalogo nel suo più ampio sforzo per aumentare la sicurezza e la privacy? Ross ha affermato che il primo passo è valutare i rischi che un'organizzazione deve affrontare utilizzando strumenti come il Risk Management Framework del NIST, Quadro sulla sicurezza informatica e quadro sulla privacy. Attraverso l'uso di queste strutture, l'organizzazione può identificare dove ha bisogno di salvaguardie, e poi può rivolgersi al catalogo per trovare soluzioni specifiche.

"Un'organizzazione può utilizzare questo catalogo insieme a qualsiasi approccio alla gestione del rischio, " ha detto Ross. "Facciamo riferimento ad altre pubblicazioni del NIST per comodità dei lettori, ma l'abbiamo progettato per essere agnostico."

La quinta revisione contiene una serie di miglioramenti rispetto alle versioni precedenti di SP 800-53:

• Una completa integrazione della privacy nei controlli. Mentre nelle edizioni precedenti, la privacy è stata relegata in un'appendice, qui i comandi fanno parte del catalogo unificato, che dovrebbe rendere la vita più facile per gli utenti del NIST Privacy Framework.
• Una nuova famiglia di controlli di filiera. La filiera è uno degli aspetti più vulnerabili del commercio globale, e proteggerlo è stato l'obiettivo di altri recenti sforzi del NIST. Le edizioni precedenti prevedevano un unico controllo della catena di approvvigionamento, ma la Revisione 5 ha un'intera famiglia di controlli dedicata (Capitolo 3.20).
• Nuovo, controlli all'avanguardia, come quelli che supportano la resilienza informatica e la progettazione di sistemi sicuri, tutti basati sui dati di intelligence sulle minacce e sugli attacchi informatici più recenti.

L'aggiornamento è necessario per aiutare le organizzazioni a mantenere le proprie difese di fronte a un panorama delle minacce in continua evoluzione.

"La revisione 5 è importante perché le minacce, le vulnerabilità e la tecnologia si evolvono quotidianamente, "ha detto Domenico Cussatt, vicesegretario principale e vicedirettore delle informazioni per il Department of Veterans Affairs. "Per noi è fondamentale che i controlli rimangano aggiornati e agili".

Il NIST sta pianificando un webcast in futuro per aiutare a presentare agli utenti le garanzie nella raccolta.

"Crediamo che questo sia un insieme di controlli di livello mondiale, " ha detto Ross. "Offre il maggior numero di salvaguardie per proteggere le risorse critiche che usiamo ogni giorno".

Questa storia è stata ripubblicata per gentile concessione del NIST. Leggi la storia originale qui.