Un programma di sicurezza informatica (InfoSec) coeso richiede quadri normativi. Insieme ad altri standard e normative di settore, questi quadri aiutano a proteggere i dati delle aziende da minacce e vulnerabilità.

Notizie come la violazione dei dati del Marriott Hotel, che ha esposto le informazioni di fino a 500 milioni di ospiti, e la fuga di dati di Twitter, che ha interessato oltre 200 milioni di utenti, dimostrano l'importanza cruciale di un programma InfoSec affidabile.

Sebbene ogni azienda sia diversa, i quadri normativi per la sicurezza sono il punto di partenza consigliato per la creazione di un programma InfoSec. I responsabili della sicurezza informatica (Chief Information Security Officer, CISO) e altri professionisti del settore utilizzano i quadri per identificare e dare priorità alle attività che dimostrano la sicurezza informatica.

Cos'è un quadro normativo per la sicurezza?

I quadri normativi per la sicurezza sono un insieme di policy, linee guida e pratiche consigliate progettate per gestire i rischi per la sicurezza informatica di un'organizzazione. In pratica forniscono la struttura necessaria per proteggere i dati interni da minacce e vulnerabilità informatiche.

Stabilendo un insieme comune di standard, i quadri normativi facilitano la comprensione da parte dei professionisti della sicurezza informatica (InfoSec) dell'attuale stato di sicurezza di un'organizzazione e la preparazione per i prossimi audit.

I quadri per la sicurezza possono essere adattati a specifiche normative di settore, obiettivi di conformità o problematiche di sicurezza informatica. Adottando standard pertinenti, le organizzazioni possono definire attività specifiche e sviluppare un proprio approccio alla gestione dell'esposizione al rischio.

Quali sono i tipi di quadri normativi per la sicurezza informatica?

I quadri normativi informatici e per la sicurezza informatica sono suddivisi in tre tipi diversi, in base allo scopo e al livello di maturità.

1. Quadri normativi per il controllo

Questi quadri normativi costituiscono il fondamento di tutti i programmi di sicurezza, fornendo controlli e processi specifici che proteggono dalle minacce. Sebbene le organizzazioni possano impegnarsi in attività di sicurezza ad hoc, i quadri normativi per il controllo le aiutano a prevenire i rischi per la sicurezza fornendo un approccio sistematico alla conformità. Questi quadri aiutano a:

• sviluppare una strategia e un piano d'azione di sicurezza iniziali;
  
  
• identificare una serie di controlli di base;
  
  
• valutare le capacità tecniche attuali;
  
  
• dare priorità all'implementazione dei controlli.

Esempi: NIST SP 800-53, CIS Critical Security Controls.

2. Quadri normativi per i programmi

L'obiettivo principale dei quadri per i programmi è fornire una panoramica degli sforzi di sicurezza di un'organizzazione. Man mano che i programmi maturano, questi quadri normativi forniscono ai leader aziendali una migliore comprensione della postura di sicurezza complessiva dell'organizzazione. I compiti di questi quadri includono:

• valutare lo stato del programma di sicurezza attuale;
  
  
• creare un programma di sicurezza completo;
  
  
• misurare la maturità del programma e confrontarla con gli standard di settore;
  
  
• semplificare la comunicazione con i leader aziendali.

Esempi: ISO 27001, NIST CSF.

3. Quadri normativi per i rischi

I programmi di sicurezza maturi in genere includono quadri di gestione del rischio pertinenti. Questi quadri si concentrano sui controlli necessari per esaminare, analizzare e prioritizzare adeguatamente le attività di un'organizzazione rispetto ai rischi per la sicurezza in corso. Questi quadri aiutano a:

• definire i passaggi necessari per valutare e gestire i rischi;
  
  
• strutturare un programma di gestione dei rischi;
  
  
• identificare, misurare e quantificare i rischi;
  
  
• stabilire le priorità per le attività e i processi di sicurezza.

Esempi: NIST 800-39, NIST 800-37, NIST 800-30.

18 esempi di quadri normativi per la sicurezza

Il quadro normativo per la sicurezza ideale per la tua azienda si allinea alla maturità dei programmi interni, agli obiettivi strategici e agli standard normativi e di settore esterni. Di seguito sono riportati i 18 esempi di quadri e standard di sicurezza più diffusi.
 

Serie ISO 27000

La serie ISO 27000, sviluppata dall'Organizzazione internazionale per la normazione (ISO), è lo standard di sicurezza informatica riconosciuto. Sebbene sia sufficientemente flessibile da poter essere applicato a qualsiasi attività, lo standard internazionale presuppone che un'organizzazione disponga di un sistema di gestione della sicurezza delle informazioni (Information Security Management System, ISMS) per gestire i propri dati e proteggersi dai rischi.

Le due serie più importanti sono ISO 27001 (ISO/IEC 27001), che definisce i requisiti dell'ISMS, e ISO 27002, che fornisce linee guida per lo sviluppo di controlli ISMS applicabili.

Per saperne di più sugli standard ISO 27001 e sui relativi aggiornamenti, fai clic qui.
 

NIST Cybersecurity Framework (NIST CSF)

Il National Institute of Standards and Technology (NIST) ha pubblicato il Framework for Improving Critical Infrastructure Cybersecurity nel febbraio 2013, durante la gli anni della presidenza di Obama, per proteggere le infrastrutture critiche del Paese dagli attacchi informatici.

Settori critici, come la produzione di energia, l'assistenza sanitaria, le comunicazioni e i trasporti, sono obiettivi vulnerabili per gli hacker e devono rispettare elevati standard di sicurezza. Il NIST CSF si concentra sulla gestione del rischio e allinea i suoi controlli di sicurezza a cinque fasi: identificazione, protezione, rilevamento, risposta e ripristino.

Sebbene il NIST CSF sia obbligatorio solo per le agenzie federali, è flessibile e può aiutare tutte le organizzazioni a migliorare il proprio livello di sicurezza.

NIST Special Publications (NIST SP)

A differenza del NIST Cybersecurity Framework (NIST CSF), una serie di Pubblicazioni speciali (Special Publications, SP) del NIST fornisce specifiche tecniche, raccomandazioni e materiali di riferimento più approfonditi.

Sebbene le NIST SP siano state inizialmente scritte per agenzie federali e vendor di terze parti, possono aiutare qualsiasi tipo di organizzazione a sviluppare un programma di sicurezza informatica affidabile. La serie è divisa in tre categorie:

• la serie NIST SP 800 si concentra sulla sicurezza informatica;
  
  
• la serie NIST SP 500 si focalizza sulle tecnologie informatiche e sulla documentazione pertinente;
  
  
• la serie NIST SP 1800 si incentra sulle guide pratiche per la sicurezza informatica ed è relativamente nuova rispetto alle serie 800 o 500.

SOC1 e SOC2

Sia il report SOC1 che quello SOC2 sono stati creati dall'American Institute of Certified Public Accountants (AICPA) e verificano il modo in cui le aziende di servizi gestiscono i dati dei clienti e la gestione del rischio terze parti. Tuttavia, le loro somiglianze finiscono qui.

Il report SOC1 si concentra sui controlli finanziari che soddisfano obiettivi specifici, mentre il report SOC2 offre una visione più ampia dei controlli relativi ai principi di fiducia dell'AICPA: sicurezza, disponibilità, integrità dei processi, riservatezza e privacy. Esiste anche un report SOC3 meno noto che, come il report SOC2, si rivolge alle parti interessate e a un pubblico più generale.

HIPAA e HITRUST CSF

L'HIPAA e l'HITRUST CSF sono due quadri normativi per la sicurezza informatica che proteggono le informazioni sanitarie dei pazienti.

La legge sulla portabilità e la responsabilità dell'assicurazione sanitaria (Health Insurance Portability and Responsabilizzazione Act, HIPPA) del 1996 è una legislazione federale per la conformità sanitaria. Creata da avvocati e legislatori, l'HIPAA si applica alle "entità coperte", inclusi operatori sanitari, piani sanitari, compagnie assicurative e centri di compensazione sanitaria. Sebbene non esista una certificazione ufficiale, l'Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani degli Stati Uniti garantisce il rispetto dell'HIPAA.

HITRUST è invece un'organizzazione privata che ha creato il proprio quadro normativo per la conformità, l'HITRUST CSF. Questo quadro combina diverse misure di sicurezza e normative sulla privacy applicabili a qualsiasi organizzazione che gestisce dati sensibili. Tuttavia, sebbene HITRUST possa aiutare le organizzazioni a raggiungere la conformità all'HIPAA, non la sostituisce e non dimostra che un'organizzazione sanitaria sia conforme all'HIPAA.

Per saperne di più sulle differenze tra l'HIPPA e l'HITRUST CSF, fai clic qui.

PCI DSS

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza internazionale per le organizzazioni che elaborano, archiviano o trasmettono informazioni sui titolari di carte. Introdotto nel 2004 dalle principali società di carte di credito American Express, Discover, JCB, Mastercard e Visa, lo standard mira a proteggere i dati dei titolari di carta e a ridurre le frodi.

A tal fine, il PCI DSS definisce quattro livelli di conformità in base alle transazioni annuali di un'organizzazione e 12 passaggi obbligatori che aderiscono alle migliori pratiche di sicurezza.

GDPR

Il regolamento generale sulla protezione dei dati (GDPR) è un quadro normativo istituito dall'Unione Europea (UE) per tutelare la riservatezza e la sicurezza dei dati dei suoi cittadini. Entrato in vigore nel 2016, il GDPR riguarda tutte le organizzazioni che raccolgono e trattano i dati dei cittadini dell'UE, indipendentemente dalla loro ubicazione.

Per saperne di più, consulta la nostra guida completa alla conformità al regolamento generale sulla protezione dei dati (GDPR).

CIS Critical Security Controls

Le organizzazioni che sviluppano un programma di sicurezza devono tenere in considerazione considerare i Center for Internet Security (CIS) Critical Security Controls ovvero dei controlli di sicurezza critici. Questo conciso elenco di 18 controlli definisce la priorità delle azioni più essenziali che qualsiasi organizzazione può intraprendere per aumentare la protezione dai rischi per la sicurezza informatica.

A differenza dei quadri per la sicurezza più approfonditi, i controlli CIS sono pratiche generali che prevengono la maggior parte degli attacchi più recenti e costruiscono capacità di difesa informatica per il futuro.

COBIT

Il COBIT (Control Objectives for Information and Related Technologies) è un quadro normativo internazionale che colma il divario tra i processi di sicurezza e gli obiettivi aziendali. Sviluppato dall'Information Systems Audit and Control Association (ISACA), il COBIT si concentra sulla creazione di un sistema di governance IT a livello aziendale.

L'ultima versione, COBIT 2019, è adatta ad aziende di tutte le dimensioni e include sei principi e 40 processi a supporto della governance e degli obiettivi aziendali.

FISMA

Il Federal Information Security Management Act (FISMA) è un quadro normativo per le agenzie governative federali e i loro vendor di terze parti. Analogamente al NIST, il FISMA richiede alle organizzazioni di implementare controlli e processi obbligatori, condurre valutazioni dei rischi di routine e monitorare costantemente la propria infrastruttura informatica.

NERC CIP

Il programma North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) è stato creato per garantire l'affidabilità e la sicurezza del sistema elettrico del Nord America. Progettato specificamente per il settore energetico e delle infrastrutture, richiede la conformità da parte di qualsiasi ente coinvolto nella rete elettrica della regione.

Per evitare che piccoli problemi si trasformino in crisi elettriche diffuse, il NERC CIP stabilisce standard e obblighi di settore fondamentali per la salvaguardia delle operazioni. Il quadro include requisiti di sicurezza informatica, piani di risposta e ripristino in caso di incidenti e formazione del personale per garantire la continuità della fornitura di energia elettrica.

TISAX

Il Trusted Information Security Assessment Exchange (TISAX) è un meccanismo per la valutazione e lo scambio di informazioni sulla sicurezza informatica nel settore automobilistico. È lo standard leader mondiale per la gestione della sicurezza informatica nel settore automobilistico e un prerequisito per le relazioni commerciali con le principali aziende automobilistiche tedesche.

Basato su ISO 27001, il TISAX è specificamente progettato per le attività del settore automobilistico e assegna marchi alle aziende che soddisfano un livello definito di gestione della sicurezza informatica. Sono previsti tre livelli di valutazione e le organizzazioni possono scegliere tra otto obiettivi di valutazione.

SOX ITGC

I Sarbanes-Oxley Information Technology General Controls (SOX ITGC) sono un sottoinsieme della più ampia legge Sarbanes-Oxley. Stabiliscono i requisiti di rendicontazione finanziaria per le aziende che si preparano a un'offerta pubblica iniziale (Initial Public Offering, IPO) e per le società quotate in borsa in tutti i settori.

I SOX ITGC attestano l'integrità dei controlli interni di rendicontazione finanziaria, inclusi applicazioni, sistemi operativi, database e l'infrastruttura IT di supporto, oltre ai processi e ai dati associati. Inoltre, i controlli comprendono l'accesso a programmi e dati, alle modifiche dei programmi e al loro sviluppo e alle operazioni informatiche.

CCPA

Emanata nel 2018, la legge sulla privacy dei consumatori della California (California Consumer Privacy Act, CCPA) rafforza i diritti alla privacy dei consumatori residenti in California. Concentrandosi specificamente sulle modalità di raccolta e utilizzo delle informazioni personali da parte delle aziende, la CCPA trae ampio spunto dal GDPR dell'UE e offre ai consumatori un maggiore controllo sui propri dati. Il quadro normativo si applica a qualsiasi entità a scopo di lucro che soddisfi uno o più dei seguenti criteri:

• genera un fatturato lordo annuo superiore a 25 milioni di dollari;
  
  
• acquista, riceve o vende le informazioni personali di almeno 100.000 residenti, famiglie o dispositivi in ​​California;
  
  
• ricava almeno il 50% del suo fatturato annuo dalla vendita delle informazioni personali dei residenti in California.

Queste aziende devono ottemperare alle richieste dei consumatori di rivelare quali dati vengono raccolti su di loro, lo scopo della raccolta, l'elenco delle terze parti che hanno accesso ai dati e la possibilità di richiederne la cancellazione.

CPRA

La legge sulla privacy della California (California Privacy Rights Act, CPRA) del 2020 è una normativa relativamente nuova che amplia l'ambito della CCPA e rafforza i diritti alla privacy dei dati dei consumatori in California.

Sebbene la CPRA si applichi alle stesse organizzazioni della CCPA, comprende anche le aziende che realizzano almeno il 50% del loro fatturato annuo dalla vendita o dalla condivisione dei dati personali dei consumatori. Inoltre, la CPRA definisce anche una nuova categoria di dati personali sensibili, che include numeri di previdenza sociale, patenti di guida, numeri di passaporto e conti finanziari.

CMMC

Il Cybersecurity Maturity Model Certification (CMMC) è il quadro normativo del Dipartimento della difesa degli Stati Uniti d'America per la valutazione e il miglioramento della sicurezza informatica della Defense Industrial Base (DIB). Sebbene il quadro sia stato istituito nel gennaio 2020, la maggior parte dei suoi requisiti di sicurezza (110 su 171) si trova anche nel NIST SP 800-171.

Il modello prevede tre livelli di conformità: base, avanzato ed esperto. È inoltre in fase di integrazione nel Defense Federal Acquisition Regulation Supplement (DFARS). Entro il 2025, tutti i fornitori dovranno avere una certificazione CMMC per poter partecipare alle gare d'appalto.

Informazioni su OneTrust Compliance Automation

OneTrust Conformità Automation ti aiuta a gestire i cambiamenti nel panorama della sicurezza informatica e a rimanere al passo con i requisiti di conformità.

Man mano che la tua azienda cresce, potrai facilmente espandere il tuo impatto sulla conformità per applicare quadri normativi in diversi ambiti di conformità o garantire la conformità con più quadri. Compliance Automation offre copertura per oltre 29 quadri normativi, il che semplifica il conseguimento della conformità in termini di sicurezza della tua azienda.

Il nostro team interno composto da ex revisori ed esperti di InfoSec ti aiuterà a semplificare il conseguimento della conformità con indicazioni per l'implementazione di controlli per le parti interessate della tua linea di business, profondità e connettività che vanno oltre il tradizionale controllo incrociato, la raccolta automatizzata delle prove e molto altro.

Ottieni una demo per saperne di più su come OneTrust Compliance Automation può aiutarti a creare, scalare e automatizzare un programma di conformità per la sicurezza.