Questionario di Assessment della Cybersecurity Aziendale

Cosa richiede il NIST

Il NIST richiede che la missione aziendale sia chiaramente documentata e che guidi le scelte di cybersecurity. Le decisioni sulla protezione degli asset devono essere coerenti con gli obiettivi strategici dell'organizzazione, in modo che gli investimenti in sicurezza siano allineati alle reali priorità di business.

Esempi pratici

Documento di missione aziendale che include riferimenti alla cybersecurity, piano strategico con obiettivi di sicurezza, presentazione al CdA che collega missione e rischio cyber.

Cosa richiede il NIST

L'organizzazione deve identificare tutti gli stakeholder interni (dipendenti, management, CdA) ed esterni (clienti, partner, autorità di regolamentazione) e comprendere le loro aspettative in materia di cybersecurity. Questo permette di calibrare la strategia di sicurezza sulle esigenze concrete di chi dipende dall'organizzazione.

Esempi pratici

Registro degli stakeholder con le relative aspettative di sicurezza, verbali di riunioni con clienti/partner sulla cybersecurity, analisi dei requisiti di sicurezza richiesti dai clienti chiave.

Cosa richiede il NIST

Il framework richiede la piena comprensione e gestione di tutti gli obblighi legali, normativi e contrattuali in ambito cybersecurity, inclusi GDPR, NIS2, DORA e requisiti settoriali. La non conformità può comportare sanzioni significative, responsabilità civili e penali, oltre a danni reputazionali.

Esempi pratici

Registro delle normative applicabili (GDPR, NIS2, DORA, normative di settore), checklist di conformità aggiornata, consulenza legale periodica sugli obblighi cyber, procedura di monitoraggio normativo.

Cosa richiede il NIST

L'organizzazione deve sapere quali suoi servizi e capacità sono critici per le parti esterne (clienti, partner, catena di fornitura). Questo consente di stabilire priorità di protezione e comunicare in modo trasparente il livello di affidabilità e sicurezza garantito.

Esempi pratici

Elenco dei servizi critici erogati a terzi con relativi SLA di sicurezza, comunicazioni ai clienti sulla postura di sicurezza, certificazioni di sicurezza condivise con i clienti (es. ISO 27001).

Cosa richiede il NIST

Il NIST richiede di mappare le dipendenze esterne dell'organizzazione: servizi cloud, fornitori ICT, infrastrutture critiche, connettività. Comprendere da chi si dipende è essenziale per valutare i rischi di interruzione e definire piani di continuità operativa adeguati.

Esempi pratici

Mappa delle dipendenze esterne (cloud provider, ISP, fornitori critici), analisi di impatto in caso di indisponibilità di ciascun servizio esterno, piani di contingenza per le dipendenze chiave.

Cosa richiede il NIST

Gli obiettivi di gestione del rischio devono essere formalmente definiti e concordati con gli stakeholder chiave (management, CdA, responsabili di funzione). Questo garantisce un approccio condiviso e coerente alla sicurezza, evitando decisioni frammentate o conflittuali.

Esempi pratici

Documento di strategia di risk management approvato dal CdA, verbali delle riunioni di definizione degli obiettivi, risk appetite statement formale.

Cosa richiede il NIST

Il risk appetite (quanto rischio l'organizzazione è disposta ad accettare) e la risk tolerance (soglie specifiche per tipo di rischio) devono essere formalizzati in dichiarazioni scritte, comunicate a tutta l'organizzazione e riviste periodicamente. Senza questi parametri, le decisioni sulla sicurezza restano soggettive.

Esempi pratici

Dichiarazione scritta di risk appetite e risk tolerance per tipologia di rischio (es. "rischio residuo massimo accettabile: medio"), comunicazione a tutti i responsabili di funzione.

Cosa richiede il NIST

La gestione del rischio cyber non deve essere un processo isolato ma integrato nel risk management aziendale (ERM). Il CdA e il management devono vedere il rischio cyber insieme ai rischi finanziari, operativi e reputazionali, per poter prendere decisioni informate sull'allocazione delle risorse.

Esempi pratici

Risk register che include i rischi cyber accanto a quelli finanziari e operativi, reportistica integrata al CdA, framework ERM che comprende esplicitamente la cybersecurity.

Cosa richiede il NIST

Il NIST richiede che l'organizzazione definisca e comunichi una direzione strategica chiara sulle opzioni di risposta al rischio: mitigare, accettare, trasferire (assicurazione) o evitare. Questo framework decisionale consente risposte rapide e coerenti quando emergono nuovi rischi.

Esempi pratici

Matrice decisionale per la risposta ai rischi (mitigare/accettare/trasferire/evitare), linee guida per i responsabili di funzione, criteri di escalation al management.

Cosa richiede il NIST

Devono esistere canali di comunicazione strutturati per i rischi cyber a tutti i livelli dell'organizzazione, inclusi quelli provenienti dalla supply chain. Le informazioni sui rischi devono fluire dal livello operativo al management e viceversa, senza barriere o ritardi.

Esempi pratici

Canali di comunicazione definiti (es. report mensile CISO al CdA, alert interni, newsletter sicurezza), procedure di segnalazione dei rischi dalla supply chain, meeting periodici cross-funzionali.

Cosa richiede il NIST

Il framework richiede un metodo standardizzato e ripetibile per calcolare, documentare e prioritizzare i rischi di cybersecurity. Senza una metodologia uniforme, la valutazione dei rischi diventa soggettiva e non confrontabile nel tempo, rendendo impossibile misurare i progressi.

Esempi pratici

Metodologia di risk assessment documentata (es. basata su ISO 27005 o FAIR), template standardizzati per la valutazione, scala di classificazione uniforme dei rischi, strumento centralizzato di gestione.

Cosa richiede il NIST

Le opportunità strategiche (rischi positivi) derivanti dalla cybersecurity devono essere identificate e considerate. Una postura di sicurezza forte può diventare un vantaggio competitivo, un elemento differenziante nel mercato e un fattore abilitante per nuove iniziative digitali.

Esempi pratici

Analisi delle opportunità di business derivanti dalla sicurezza (es. certificazioni come vantaggio commerciale), business case per investimenti in cybersecurity, casi studio di clienti acquisiti grazie alla postura di sicurezza.

Cosa richiede il NIST

La leadership dell'organizzazione deve assumersi la responsabilità del rischio cyber e promuovere attivamente una cultura della sicurezza. Questo significa che CEO, CdA e top management non delegano la cybersecurity all'IT ma la considerano una priorità strategica, dando l'esempio con comportamenti consapevoli.

Esempi pratici

Nomina formale del CISO o responsabile della cybersecurity, ordine del giorno del CdA che include regolarmente la cybersecurity, codice etico con riferimenti alla sicurezza informatica, programma di cultura della sicurezza.

Cosa richiede il NIST

Ogni ruolo legato alla gestione del rischio cyber deve essere formalmente definito, documentato e comunicato. Le persone devono sapere esattamente cosa ci si aspetta da loro in termini di sicurezza, e le autorità decisionali devono essere chiare per evitare vuoti di responsabilità.

Esempi pratici

Organigramma con ruoli di cybersecurity, job description che includono responsabilità di sicurezza, matrice RACI per i processi di sicurezza, comunicazione formale dei ruoli a tutto il personale.

Cosa richiede il NIST

Le risorse (budget, personale, strumenti, formazione) devono essere adeguate alla strategia di rischio e ai ruoli definiti. Una policy di sicurezza senza risorse per implementarla è inefficace. Il NIST richiede un allineamento tra ambizioni di sicurezza e investimenti concreti.

Esempi pratici

Budget dedicato alla cybersecurity approvato, piano di assunzione/formazione per il team di sicurezza, inventario degli strumenti e servizi di sicurezza, gap analysis risorse vs necessità.

Cosa richiede il NIST

La cybersecurity deve essere integrata nei processi HR: dalla selezione del personale (background check), alla formazione iniziale, alla gestione degli accessi durante il rapporto di lavoro, fino alla revoca sicura degli accessi alla cessazione. Il fattore umano è il primo vettore di rischio.

Esempi pratici

Policy HR che include screening pre-assunzione, formazione obbligatoria sulla sicurezza all'onboarding, procedura di revoca accessi al termine del rapporto, clausole di riservatezza nei contratti di lavoro.

Cosa richiede il NIST

L'organizzazione deve avere una policy formale di cybersecurity basata sul proprio contesto operativo e sulla strategia di rischio. La policy deve essere comunicata a tutti i livelli e applicata in modo coerente. Senza una policy chiara, le decisioni sulla sicurezza diventano arbitrarie e incoerenti.

Esempi pratici

Policy di cybersecurity approvata dalla direzione e pubblicata sulla intranet, policy di uso accettabile delle risorse IT, policy di gestione delle password, policy di classificazione dei dati.

Cosa richiede il NIST

La policy di cybersecurity non è un documento statico: deve essere rivista e aggiornata regolarmente per riflettere cambiamenti nel panorama delle minacce, nella tecnologia, nei requisiti normativi e nella missione aziendale. Il NIST raccomanda revisioni almeno annuali o a seguito di incidenti significativi.

Esempi pratici

Registro delle revisioni della policy con date e motivazioni, procedura di aggiornamento annuale, trigger di revisione straordinaria (es. dopo un incidente o cambio normativo), comunicazione degli aggiornamenti.

Cosa richiede il NIST

I risultati della strategia di gestione del rischio cyber devono essere regolarmente rivisti per verificare se la direzione intrapresa è efficace. Metriche, KPI e report periodici consentono al management di prendere decisioni basate su dati concreti anziché su percezioni.

Esempi pratici

Dashboard di KPI di sicurezza (es. tempo medio di patching, numero di incidenti, % di compliance), report trimestrale al CdA, verbali delle revisioni strategiche con azioni correttive.

Cosa richiede il NIST

La strategia di rischio deve essere periodicamente riesaminata per assicurarsi che copra adeguatamente tutti i requisiti e i rischi dell'organizzazione, inclusi quelli emergenti. Cambiamenti nel business, nella tecnologia o nel panorama delle minacce possono rendere obsoleta una strategia precedentemente efficace.

Esempi pratici

Revisione annuale della strategia di rischio, gap analysis rispetto a nuove minacce o normative, aggiornamento del piano strategico di sicurezza in base ai risultati dell'anno precedente.

Cosa richiede il NIST

Le prestazioni complessive della gestione del rischio cyber devono essere valutate in modo sistematico. Questo include l'efficacia dei controlli, la tempestività della risposta agli incidenti, la conformità alle policy e il raggiungimento degli obiettivi di sicurezza definiti.

Esempi pratici

Audit interno/esterno della cybersecurity, metriche di performance (es. tempo di risposta agli incidenti, copertura delle vulnerabilità), benchmarking rispetto al settore, piano di miglioramento basato sui risultati.

Cosa richiede il NIST

Il NIST richiede un programma strutturato di Cyber Supply Chain Risk Management (C-SCRM) con strategia, obiettivi e processi condivisi con gli stakeholder. Gli attacchi alla supply chain sono in forte crescita e possono compromettere anche organizzazioni ben protette attraverso i loro fornitori.

Esempi pratici

Programma C-SCRM documentato con obiettivi e KPI, policy di sicurezza della supply chain approvata dal management, budget dedicato alla gestione del rischio fornitori.

Cosa richiede il NIST

I ruoli di cybersecurity per fornitori, clienti e partner devono essere chiaramente definiti e coordinati. Ogni attore della catena deve sapere di cosa è responsabile in materia di sicurezza, sia contrattualmente che operativamente.

Esempi pratici

Clausole contrattuali che definiscono responsabilità di sicurezza per ogni fornitore, matrice RACI fornitore-organizzazione, riunioni periodiche di coordinamento sulla sicurezza con partner chiave.

Cosa richiede il NIST

La gestione del rischio della supply chain non deve essere un processo separato ma integrato nei processi di risk management aziendale. I rischi provenienti dai fornitori devono essere valutati e gestiti con la stessa metodologia utilizzata per i rischi interni.

Esempi pratici

Rischi della supply chain nel risk register aziendale, valutazione dei fornitori integrata nel processo di risk assessment, reportistica unificata rischi interni + supply chain.

Cosa richiede il NIST

I fornitori devono essere censiti e classificati in base alla criticità del servizio erogato e al livello di accesso ai sistemi e dati dell'organizzazione. Un fornitore con accesso privilegiato ai sistemi critici richiede un livello di scrutinio molto più elevato di uno che fornisce servizi marginali.

Esempi pratici

Registro dei fornitori con classificazione di criticità (alta/media/bassa), criteri di classificazione documentati, revisione periodica della classificazione.

Cosa richiede il NIST

I requisiti di cybersecurity devono essere esplicitamente inclusi nei contratti con fornitori e terze parti. Clausole su standard minimi di sicurezza, obbligo di notifica delle violazioni, diritto di audit e SLA sulla risposta agli incidenti sono essenziali per una gestione efficace del rischio.

Esempi pratici

Template contrattuale con clausole di sicurezza standard, requisiti minimi di sicurezza per fornitori (es. ISO 27001, SOC 2), checklist di verifica pre-contrattuale.

Cosa richiede il NIST

Prima di instaurare rapporti formali con nuovi fornitori, il NIST richiede attività di due diligence per valutarne la postura di sicurezza. Questo include la verifica delle certificazioni, l'analisi delle pratiche di sicurezza e la valutazione della solidità dell'organizzazione del fornitore.

Esempi pratici

Procedura di due diligence pre-contrattuale, questionario di sicurezza per nuovi fornitori, verifica delle certificazioni, analisi della solidità finanziaria del fornitore.

Cosa richiede il NIST

Il monitoraggio dei rischi posti dai fornitori non si esaurisce con la due diligence iniziale ma deve proseguire per tutta la durata della relazione. I rischi devono essere periodicamente rivalutati, soprattutto a fronte di cambiamenti significativi nel fornitore o nel panorama delle minacce.

Esempi pratici

Monitoraggio continuo dei fornitori (es. security rating), audit periodici dei fornitori critici, rivalutazione del rischio a seguito di incidenti o cambiamenti significativi del fornitore.

Cosa richiede il NIST

I fornitori critici devono essere coinvolti nei piani di risposta e ripristino degli incidenti. In caso di incidente, la collaborazione tempestiva con i fornitori è spesso determinante per il contenimento e il ripristino. Esercitazioni congiunte verificano che le procedure funzionino.

Esempi pratici

Piano di incident response che include ruoli dei fornitori, esercitazioni congiunte (tabletop exercise), procedure di comunicazione di emergenza con fornitori critici.

Cosa richiede il NIST

Le pratiche di sicurezza della supply chain devono essere monitorate durante tutto il ciclo di vita dei prodotti e servizi acquistati, dall'acquisizione alla dismissione. Il NIST richiede che questo monitoraggio sia integrato nei programmi di risk management esistenti.

Esempi pratici

Monitoraggio delle patch e vulnerabilità nei prodotti dei fornitori, verifica della sicurezza durante tutto il ciclo di vita (acquisizione, utilizzo, dismissione), KPI sulla sicurezza della supply chain.

Cosa richiede il NIST

I piani di gestione del rischio devono prevedere cosa accade quando una partnership o un accordo di servizio termina. La restituzione o distruzione sicura dei dati, la revoca degli accessi e il trasferimento delle responsabilità devono essere pianificati in anticipo.

Esempi pratici

Clausole contrattuali di exit management, procedura di restituzione/distruzione dati a fine contratto, checklist di offboarding fornitori, verifica della revoca degli accessi.

Cosa richiede il NIST

Il NIST richiede un inventario accurato e aggiornato di tutti i dispositivi hardware gestiti dall'organizzazione: server, PC, dispositivi mobili, apparati di rete, IoT. Non è possibile proteggere ciò che non si conosce. L'inventario deve includere proprietario, ubicazione, stato e criticità di ogni asset.

Esempi pratici

CMDB o inventario hardware aggiornato, scansioni di rete periodiche per individuare dispositivi non censiti, etichettatura degli asset, processo di registrazione per nuovi dispositivi.

Cosa richiede il NIST

Analogamente all'hardware, deve essere catalogato tutto il software in uso, incluse piattaforme cloud e servizi SaaS. Un inventario software permette di identificare versioni obsolete, licenze non conformi e applicativi non autorizzati (shadow IT), fondamentale per la gestione delle vulnerabilità.

Esempi pratici

Inventario software con versioni e licenze, scansioni per individuare shadow IT, registro dei servizi SaaS e cloud sottoscritti, processo di approvazione per nuovo software.

Cosa richiede il NIST

Il framework richiede la mappatura dei flussi di comunicazione e dati all'interno e all'esterno dell'organizzazione. Comprendere come i dati si muovono tra sistemi, reti e partner è essenziale per identificare punti di esposizione, segmentare la rete e applicare controlli di accesso adeguati.

Esempi pratici

Diagrammi di rete aggiornati, mappatura dei flussi dati (data flow diagram), documentazione delle connessioni verso l'esterno (VPN, API, interconnessioni con partner).

Cosa richiede il NIST

Ogni servizio erogato da soggetti terzi che ha impatto sulla sicurezza deve essere inventariato. Ogni fornitore esterno rappresenta un potenziale vettore di attacco: sapere chi fornisce cosa e con quale livello di accesso è il prerequisito per gestire il rischio della supply chain.

Esempi pratici

Registro dei fornitori di servizi IT/cloud con dettaglio dei servizi erogati, livello di accesso ai dati, SLA concordati, contratti attivi.

Cosa richiede il NIST

Non tutti gli asset hanno la stessa importanza. Il NIST richiede che siano classificati in base alla criticità per la missione aziendale. Questo consente di allocare le risorse di sicurezza in modo proporzionale: i sistemi che gestiscono dati sensibili meritano protezioni più stringenti.

Esempi pratici

Matrice di classificazione degli asset (critico/importante/standard), valutazione dell'impatto in caso di compromissione, priorità di protezione e ripristino definite.

Cosa richiede il NIST

I dati sono spesso l'asset più prezioso. Il NIST richiede un inventario che descriva quali dati vengono trattati, dove sono conservati, chi ne è proprietario e quale livello di sensibilità hanno. Questo è essenziale per la protezione dei dati e la conformità al GDPR.

Esempi pratici

Registro dei trattamenti dati (richiesto dal GDPR), classificazione dei dati (pubblici, interni, riservati, segreti), mappatura dei repository dati, identificazione dei data owner.

Cosa richiede il NIST

Ogni asset deve essere gestito in modo sicuro dall'acquisizione alla dismissione. Questo significa avere processi documentati per la configurazione iniziale sicura, l'applicazione regolare di patch, la manutenzione e la dismissione sicura con cancellazione dei dati.

Esempi pratici

Procedura di lifecycle management per hardware e software, processo di hardening per nuovi sistemi, piano di patching, procedura di dismissione sicura (es. NIST SP 800-88 per la sanitizzazione).

Cosa richiede il NIST

Il NIST richiede un processo sistematico per identificare le vulnerabilità. Non basta sapere che esistono: devono essere validate, classificate per gravità (ad esempio con il sistema CVSS) e registrate per poter intervenire in modo prioritario sulle più critiche.

Esempi pratici

Scansioni di vulnerabilità periodiche (almeno trimestrali), penetration test annuali, tracciamento delle CVE rilevanti, processo di prioritizzazione e remediation delle vulnerabilità.

Cosa richiede il NIST

La threat intelligence permette di anticipare le minacce. L'organizzazione deve avvalersi di fonti informative: bollettini dei CERT nazionali, advisory dei vendor, feed di indicatori di compromissione, informazioni condivise con organizzazioni di settore (ISAC).

Esempi pratici

Iscrizione a bollettini CERT (es. CSIRT Italia), abbonamento a feed di threat intelligence, partecipazione a ISAC di settore, monitoraggio degli advisory dei vendor.

Cosa richiede il NIST

Il NIST richiede una catalogazione completa delle minacce, sia esterne (cybercriminali, hacktivisti, attori statali) sia interne (dipendenti malintenzionati, errori umani). Ogni minaccia deve essere documentata con motivazione, capacità e asset potenzialmente bersagliati.

Esempi pratici

Registro delle minacce con profili degli attaccanti rilevanti per il settore, analisi delle minacce interne (insider threat), valutazione periodica del panorama delle minacce.

Cosa richiede il NIST

Per ogni coppia minaccia-vulnerabilità, l'organizzazione deve stimare la probabilità di sfruttamento e l'impatto in caso di successo (finanziario, operativo, reputazionale, legale). Questa analisi, tipicamente in una matrice di rischio, permette decisioni informate sull'allocazione delle risorse.

Esempi pratici

Matrice probabilità/impatto per gli scenari di rischio, valutazione dell'impatto finanziario/operativo/reputazionale, scenari di attacco documentati con stime di probabilità.

Cosa richiede il NIST

Dopo aver analizzato minacce e vulnerabilità, il NIST richiede di determinare il rischio residuo e di usare questa informazione per prioritizzare le azioni. L'organizzazione deve definire il proprio risk appetite e concentrare le risorse sui rischi che superano questa soglia.

Esempi pratici

Risk register con rischio residuo calcolato per ogni scenario, confronto con il risk appetite definito, piano di trattamento prioritizzato, dashboard di risk scoring.

Cosa richiede il NIST

Per ogni rischio identificato, serve una decisione documentata: mitigare, accettare, trasferire (es. assicurazione cyber) o evitare. Ogni decisione deve essere tracciata in un piano di trattamento del rischio con responsabili, scadenze e comunicazione agli stakeholder.

Esempi pratici

Piano di trattamento del rischio con azioni, responsabili e scadenze, risk acceptance formale firmata dal management, polizze di cyber insurance, reportistica sullo stato delle azioni.

Cosa richiede il NIST

I cambiamenti all'infrastruttura IT e le eccezioni alle policy sono momenti di rischio elevato. Il NIST richiede un processo di change management che valuti l'impatto sulla sicurezza prima di implementare modifiche. Le eccezioni devono essere approvate, documentate e con scadenza.

Esempi pratici

Processo di change management con valutazione di sicurezza, registro delle eccezioni alle policy con approvazione e scadenza, revisione periodica delle eccezioni attive.

Cosa richiede il NIST

L'organizzazione deve avere un processo strutturato per ricevere, analizzare e rispondere alle segnalazioni di vulnerabilità, sia da fonti interne che esterne (ricercatori di sicurezza, vendor). Questo include una procedura di responsible disclosure.

Esempi pratici

Indirizzo email o portale per la segnalazione di vulnerabilità, procedura di responsible disclosure pubblicata, processo interno di analisi e risposta alle segnalazioni.

Cosa richiede il NIST

Prima di acquisire e utilizzare hardware e software, il NIST richiede la verifica della loro autenticità e integrità. Prodotti contraffatti o manomessi possono contenere backdoor o malware che compromettono la sicurezza dell'intera infrastruttura.

Esempi pratici

Verifica dell'autenticità dei fornitori hardware/software, controllo delle firme digitali del software, acquisto solo da canali autorizzati, verifica dell'integrità dei firmware.

Cosa richiede il NIST

I fornitori critici devono essere valutati in termini di rischio prima dell'acquisizione. La due diligence pre-contrattuale deve includere la verifica della postura di sicurezza, delle certificazioni, della stabilità finanziaria e della capacità di risposta agli incidenti.

Esempi pratici

Questionario di sicurezza pre-acquisizione, verifica delle certificazioni del fornitore, analisi del security rating, due diligence documentata prima della firma del contratto.

Cosa richiede il NIST

Il NIST richiede che i risultati delle valutazioni (audit, assessment, revisioni) vengano sistematicamente analizzati per identificare aree di miglioramento. Ogni valutazione deve produrre raccomandazioni concrete e tracciabili, con responsabili e scadenze per la loro implementazione.

Esempi pratici

Report di audit con raccomandazioni e piano di azione, tracciamento dell'implementazione delle raccomandazioni, revisione dei miglioramenti implementati.

Cosa richiede il NIST

Test di sicurezza ed esercitazioni (penetration test, red teaming, tabletop exercise) devono essere utilizzati per identificare miglioramenti. Il coinvolgimento dei fornitori in queste attività è importante per verificare la resilienza dell'intera catena del valore.

Esempi pratici

Risultati dei penetration test con azioni correttive, lezioni apprese dalle esercitazioni di sicurezza, miglioramenti implementati dopo test congiunti con fornitori.

Cosa richiede il NIST

L'operatività quotidiana è una fonte preziosa di miglioramenti. Problemi ricorrenti, near-miss, inefficienze nei processi di sicurezza devono essere catturati e analizzati sistematicamente per alimentare un ciclo di miglioramento continuo.

Esempi pratici

Registro delle lezioni apprese dall'operatività quotidiana, analisi dei near-miss, proposte di miglioramento dal team operativo, revisione periodica dei processi di sicurezza.

Cosa richiede il NIST

I piani di risposta agli incidenti e gli altri piani di cybersecurity devono essere documenti vivi: definiti, comunicati a chi deve utilizzarli, testati periodicamente e migliorati sulla base delle lezioni apprese. Un piano non testato è poco più di una dichiarazione di intenti.

Esempi pratici

Piano di incident response testato e aggiornato, piano di disaster recovery, piano di continuità operativa, registro delle revisioni e dei test effettuati con risultati.

Cosa richiede il NIST

Tutte le identità digitali (utenti, servizi, dispositivi) devono essere gestite centralmente con processi di creazione, modifica e disattivazione documentati. L'organizzazione deve avere il controllo completo su chi e cosa ha accesso ai propri sistemi.

Esempi pratici

Sistema di identity management centralizzato (Active Directory, Entra ID, ecc.), processo di provisioning/deprovisioning degli account, revisione periodica degli account attivi.

Cosa richiede il NIST

Le identità devono essere verificate e associate alle credenziali in modo proporzionato al contesto: un accesso a dati critici da una rete esterna richiede verifiche più stringenti di un accesso a risorse non sensibili dalla rete interna.

Esempi pratici

Autenticazione adattiva basata sul contesto (posizione, dispositivo, ora), livelli di verifica differenziati per accessi ad alta/bassa criticità, verifica dell'identità per il reset delle credenziali.

Cosa richiede il NIST

Il NIST richiede che tutti gli utenti, i servizi e l'hardware siano autenticati prima di accedere alle risorse. L'autenticazione multifattore (MFA) è fortemente raccomandata, in particolare per gli accessi privilegiati e remoti.

Esempi pratici

Autenticazione multifattore (MFA) attiva per tutti gli accessi critici e remoti, policy sulle password (complessità, rotazione), certificati per l'autenticazione dei servizi e dispositivi.

Cosa richiede il NIST

Le asserzioni di identità (token, certificati, credenziali federate) devono essere protette durante la trasmissione e verificate al momento dell'uso. La compromissione di un meccanismo di identità può consentire l'accesso non autorizzato a tutti i sistemi collegati.

Esempi pratici

Token di sessione protetti con crittografia, certificati digitali per la federazione delle identità, verifica dei token all'accesso alle risorse, protocolli sicuri (OAuth 2.0, SAML).

Cosa richiede il NIST

I permessi di accesso devono seguire il principio del privilegio minimo (ogni utente ha solo gli accessi strettamente necessari) e della separazione dei compiti (nessun singolo individuo ha il controllo completo su un processo critico). I permessi devono essere rivisti periodicamente.

Esempi pratici

Matrice dei permessi di accesso per ruolo, revisione trimestrale degli accessi (access review), applicazione del principio del privilegio minimo, segregazione dei compiti per processi critici.

Cosa richiede il NIST

L'accesso fisico a data center, sale server, armadi di rete e altri asset critici deve essere controllato, monitorato e registrato. Le misure di sicurezza fisica devono essere proporzionate al rischio e al valore degli asset protetti.

Esempi pratici

Badge di accesso per aree riservate, log degli accessi fisici, videosorveglianza dei data center, procedure di accompagnamento visitatori, serrature elettroniche per armadi di rete.

Cosa richiede il NIST

Tutto il personale deve ricevere formazione sulla cybersecurity adeguata al proprio ruolo. Questo include la consapevolezza del phishing, la gestione sicura delle password, il riconoscimento di comportamenti sospetti e le procedure da seguire in caso di incidente.

Esempi pratici

Formazione obbligatoria annuale sulla cybersecurity per tutti, simulazioni di phishing periodiche, materiale informativo sulla intranet, campagne di sensibilizzazione.

Cosa richiede il NIST

Le persone con ruoli specializzati (amministratori IT, sviluppatori, analisti di sicurezza) devono ricevere formazione tecnica specifica e aggiornata sulle minacce e le pratiche di sicurezza rilevanti per le loro mansioni.

Esempi pratici

Corsi tecnici per amministratori IT (es. sicurezza dei sistemi, hardening), formazione per sviluppatori su secure coding (OWASP), certificazioni di sicurezza per ruoli chiave.

Cosa richiede il NIST

I dati archiviati (su dischi, database, backup, supporti rimovibili) devono essere protetti con crittografia, controlli di accesso e meccanismi di integrità. La protezione dei dati a riposo è fondamentale per prevenire la perdita di riservatezza in caso di furto fisico o accesso non autorizzato.

Esempi pratici

Crittografia dei dischi (BitLocker, FileVault), crittografia dei database per dati sensibili, controlli di accesso ai file e ai repository, politiche di data loss prevention (DLP).

Cosa richiede il NIST

I dati in transito (su reti interne, internet, VPN) devono essere protetti con protocolli crittografici (TLS, IPsec). Il NIST richiede che le comunicazioni sensibili non possano essere intercettate o modificate durante la trasmissione.

Esempi pratici

TLS/HTTPS per tutte le comunicazioni web, VPN per le connessioni remote, crittografia delle email sensibili, IPsec per le connessioni site-to-site.

Cosa richiede il NIST

Anche i dati in uso (in memoria RAM, cache, durante l'elaborazione) devono essere protetti. Tecniche come la crittografia in memoria e il controllo degli accessi ai processi contribuiscono a proteggere i dati durante l'elaborazione attiva.

Esempi pratici

Protezione della memoria applicativa, controlli sugli accessi ai processi in esecuzione, ambienti di elaborazione sicuri per dati sensibili (es. enclave sicure, confidential computing).

Cosa richiede il NIST

I backup devono essere creati regolarmente, protetti (crittografati e con accesso limitato), conservati in modo sicuro (anche off-site) e testati periodicamente per verificarne la ripristinabilità. Un backup non testato non è un backup affidabile.

Esempi pratici

Backup automatici giornalieri con crittografia, copie off-site o in cloud separato, test di ripristino periodici (almeno semestrali), policy di retention dei backup, backup immutabili.

Cosa richiede il NIST

Il NIST richiede pratiche di configuration management: baseline di sicurezza per tutti i sistemi, processi di hardening, gestione centralizzata delle configurazioni e monitoraggio delle deviazioni. Le configurazioni errate sono tra le cause più comuni di vulnerabilità.

Esempi pratici

Baseline di configurazione sicura per server e workstation (CIS Benchmarks), gestione centralizzata delle configurazioni, monitoraggio delle deviazioni dalla baseline, processo di hardening.

Cosa richiede il NIST

Il software deve essere mantenuto aggiornato con patch di sicurezza, sostituito quando raggiunge il fine vita (end-of-life) e rimosso quando non più necessario. Il software obsoleto non riceve più aggiornamenti e diventa un bersaglio facile.

Esempi pratici

Processo di patch management con SLA (es. patch critiche entro 72h), inventario del software con date di fine supporto, piano di sostituzione per software obsoleto.

Cosa richiede il NIST

L'hardware deve essere mantenuto, sostituito quando obsoleto e dismesso in modo sicuro (con cancellazione dei dati). Il NIST richiede che il ciclo di vita dell'hardware sia gestito in modo proporzionato al rischio.

Esempi pratici

Piano di manutenzione hardware, monitoraggio dello stato di salute dei dispositivi, procedura di sostituzione per hardware obsoleto, dismissione sicura con cancellazione certificata dei dati.

Cosa richiede il NIST

I log di sicurezza devono essere generati da tutti i sistemi critici e resi disponibili per il monitoraggio continuo e le indagini forensi. I log devono essere protetti da manomissioni e conservati per un periodo adeguato alle esigenze normative e operative.

Esempi pratici

Log centralizzati tramite SIEM, policy di logging per tutti i sistemi critici, conservazione dei log per almeno 12 mesi, protezione dei log da manomissioni.

Cosa richiede il NIST

L'organizzazione deve implementare controlli per prevenire l'installazione e l'esecuzione di software non autorizzato: whitelist applicative, politiche di group policy, controlli sui diritti di installazione. Il software non autorizzato è un vettore comune di malware.

Esempi pratici

Application whitelist sui sistemi critici, policy di group policy per il blocco di installazioni non autorizzate, monitoraggio delle applicazioni in esecuzione, controllo degli script.

Cosa richiede il NIST

Lo sviluppo del software deve integrare pratiche di sicurezza (secure SDLC): revisione del codice, test di sicurezza, analisi delle dipendenze, gestione delle vulnerabilità. La sicurezza deve essere considerata fin dalla fase di progettazione, non aggiunta a posteriori.

Esempi pratici

Processo SDLC sicuro documentato, code review con focus sulla sicurezza, scansioni SAST/DAST nel CI/CD, gestione delle dipendenze e vulnerabilità nelle librerie di terze parti.

Cosa richiede il NIST

Le reti devono essere protette da accessi non autorizzati tramite firewall, segmentazione, sistemi di rilevamento intrusioni e controlli di accesso alla rete. Il NIST richiede che l'architettura di rete sia progettata per limitare la propagazione laterale in caso di compromissione.

Esempi pratici

Firewall perimetrali e interni, segmentazione di rete (VLAN, microsegmentazione), IDS/IPS, NAC (Network Access Control), DMZ per i servizi esposti.

Cosa richiede il NIST

Gli asset tecnologici devono essere protetti dalle minacce ambientali: incendi, allagamenti, interruzioni elettriche, temperature estreme. Data center e sale server devono disporre di sistemi di protezione ambientale (UPS, climatizzazione, rilevatori, sistemi antincendio).

Esempi pratici

UPS e generatori per i data center, climatizzazione ridondante, rilevatori di fumo e allagamento, sistemi antincendio, protezione da sovratensioni.

Cosa richiede il NIST

L'infrastruttura deve essere progettata per garantire la resilienza sia in condizioni normali che avverse. Ridondanza, failover automatico, distribuzione geografica e architetture ad alta disponibilità contribuiscono a mantenere l'operatività anche durante un incidente.

Esempi pratici

Architettura ad alta disponibilità (clustering, load balancing), failover automatico, distribuzione geografica dei sistemi critici, test periodici dei meccanismi di resilienza.

Cosa richiede il NIST

L'organizzazione deve mantenere una capacità di risorse (banda, calcolo, storage) sufficiente per garantire la disponibilità dei servizi anche sotto carico elevato o durante un attacco. Il capacity planning deve considerare scenari di stress e picchi anomali.

Esempi pratici

Capacity planning documentato, monitoraggio dell'utilizzo delle risorse, scalabilità automatica (autoscaling) per i servizi cloud, test di carico periodici.

Cosa richiede il NIST

Le reti devono essere monitorate in tempo reale per rilevare attività anomale, tentativi di intrusione e comunicazioni sospette. Strumenti come IDS/IPS, SIEM e NDR consentono di identificare tempestivamente potenziali incidenti di sicurezza.

Esempi pratici

SIEM con regole di correlazione attive, IDS/IPS in monitoraggio continuo, NDR (Network Detection and Response), monitoraggio del traffico DNS, alert su connessioni sospette.

Cosa richiede il NIST

L'ambiente fisico (data center, sale server, aree riservate) deve essere monitorato con sistemi di videosorveglianza, sensori di accesso e allarmi per rilevare intrusioni fisiche o eventi ambientali avversi.

Esempi pratici

Videosorveglianza h24 dei data center, sensori di temperatura/umidità, allarmi anti-intrusione, monitoraggio degli accessi fisici in tempo reale.

Cosa richiede il NIST

Le attività degli utenti e l'utilizzo della tecnologia devono essere monitorati per individuare comportamenti anomali: accessi insoliti, trasferimenti massivi di dati, uso di strumenti non autorizzati. L'analisi comportamentale (UEBA) è uno strumento efficace in questo ambito.

Esempi pratici

UEBA (User and Entity Behavior Analytics), monitoraggio degli accessi privilegiati (PAM), alert su attività anomale (accessi fuori orario, download massivi, accessi da località insolite).

Cosa richiede il NIST

Le attività e i servizi dei fornitori esterni con accesso ai sistemi dell'organizzazione devono essere monitorati. Accessi anomali, modifiche non pianificate e comportamenti sospetti da parte dei fornitori possono indicare una compromissione nella supply chain.

Esempi pratici

Monitoraggio degli accessi VPN/remote dei fornitori, log delle attività dei fornitori sui sistemi, alert su operazioni anomale da account di fornitori, revisione periodica dei log.

Cosa richiede il NIST

Hardware, software, ambienti runtime e dati devono essere monitorati per rilevare modifiche non autorizzate, malware, anomalie nelle prestazioni e indicatori di compromissione. L'integrity monitoring e l'endpoint detection sono strumenti chiave.

Esempi pratici

EDR (Endpoint Detection and Response) su tutti gli endpoint, file integrity monitoring sui sistemi critici, monitoraggio delle modifiche alle configurazioni, scansioni antimalware.

Cosa richiede il NIST

Gli eventi potenzialmente avversi devono essere analizzati in profondità per comprenderne la natura, l'origine e le attività associate. L'analisi deve andare oltre il singolo alert per ricostruire la catena degli eventi e identificare eventuali attacchi in corso.

Esempi pratici

Analisti SOC che investigano gli alert, playbook di analisi per tipologia di evento, strumenti di analisi forense, documentazione delle indagini preliminari.

Cosa richiede il NIST

Le informazioni provenienti da diverse fonti (log, alert, threat intelligence, segnalazioni) devono essere correlate per ottenere una visione completa degli eventi. La correlazione è fondamentale per distinguere i falsi positivi dalle reali minacce.

Esempi pratici

Correlazione automatica nel SIEM di log da firewall, endpoint, autenticazione e applicazioni, integrazione di fonti esterne (threat feed), dashboard di correlazione.

Cosa richiede il NIST

L'impatto potenziale e la portata di un evento avverso devono essere valutati rapidamente per determinare la gravità e l'urgenza della risposta. Questa valutazione guida le decisioni sull'escalation e sull'allocazione delle risorse di risposta.

Esempi pratici

Matrice di impatto predefinita per tipologia di evento, procedura di valutazione rapida della portata, criteri per determinare il numero di sistemi/dati coinvolti.

Cosa richiede il NIST

Le informazioni sugli eventi avversi devono essere distribuite tempestivamente al personale autorizzato e agli strumenti automatizzati. I ritardi nella comunicazione possono consentire a un attaccante di espandere la propria presenza nella rete.

Esempi pratici

Procedure di notifica interna definite (chi avvisare e come), strumenti di ticketing per gli alert, distribuzione automatica degli alert ai team competenti, canali di comunicazione d'emergenza.

Cosa richiede il NIST

Le informazioni di threat intelligence (indicatori di compromissione, TTP degli attaccanti, vulnerabilità sfruttate) devono essere integrate nell'analisi degli eventi per migliorare la capacità di rilevamento e la comprensione del contesto delle minacce.

Esempi pratici

Feed di IoC (Indicators of Compromise) integrati nel SIEM, correlazione con i TTP (Tattiche, Tecniche e Procedure) noti degli attaccanti, arricchimento degli alert con contesto di threat intelligence.

Cosa richiede il NIST

L'organizzazione deve avere criteri chiari e documentati per dichiarare un incidente di sicurezza. Non tutti gli eventi avversi sono incidenti: criteri predefiniti evitano sia la sottovalutazione che l'eccesso di escalation, garantendo risposte proporzionate.

Esempi pratici

Criteri documentati per la dichiarazione di incidente (es. soglie di gravità, tipologie di eventi), matrice di classificazione, procedura di escalation dall'evento all'incidente.

Cosa richiede il NIST

Quando un incidente viene dichiarato, il piano di risposta deve essere eseguito in modo coordinato, coinvolgendo anche le terze parti rilevanti (fornitori, CERT, autorità). Il coordinamento è essenziale per un contenimento efficace e per evitare azioni controproducenti.

Esempi pratici

Piano di incident response testato e accessibile al team, lista di contatti delle terze parti da coinvolgere (CERT, legale, fornitori critici, assicurazione), checklist di attivazione del piano.

Cosa richiede il NIST

Le segnalazioni di incidenti devono essere classificate (tipo, gravità, impatto) e validate (conferma che si tratti effettivamente di un incidente) per garantire una risposta appropriata e proporzionata. Il triage efficace evita sprechi di risorse.

Esempi pratici

Processo di triage documentato con criteri di classificazione (tipo, gravità, impatto), strumenti di ticketing per il tracciamento, SLA per la validazione iniziale degli incidenti.

Cosa richiede il NIST

Gli incidenti confermati devono essere categorizzati per tipo (malware, phishing, data breach, DDoS, ecc.) e prioritizzati in base all'impatto sul business, alla criticità degli asset coinvolti e alla portata della compromissione.

Esempi pratici

Tassonomia degli incidenti (malware, phishing, data breach, DDoS, insider), matrice di priorità basata su impatto e urgenza, criteri per la classificazione automatica.

Cosa richiede il NIST

Devono esistere procedure chiare di escalation per incidenti che superano le capacità del team di risposta iniziale, che coinvolgono asset critici, che hanno impatto legale o normativo, o che richiedono decisioni del management.

Esempi pratici

Procedura di escalation con soglie definite (es. incidenti che coinvolgono dati personali → DPO, incidenti con impatto finanziario → CFO), matrice di escalation, contatti di emergenza 24/7.

Cosa richiede il NIST

Il NIST richiede criteri predefiniti per determinare quando è sicuro avviare le attività di ripristino. Ripristinare troppo presto, prima che l'attaccante sia stato contenuto, può compromettere l'intero processo di recovery.

Esempi pratici

Checklist pre-ripristino (conferma del contenimento, verifica dell'eradicazione, approvazione del management), criteri oggettivi per il via libera al recovery.

Cosa richiede il NIST

Per ogni incidente deve essere condotta un'analisi approfondita per stabilire cosa è accaduto, come è avvenuto l'attacco, quali asset sono stati coinvolti e qual è la causa principale (root cause). Questa analisi è fondamentale per prevenire incidenti simili in futuro.

Esempi pratici

Procedura di root cause analysis, strumenti di analisi forense (forensic imaging, log analysis), template di report dell'incidente, timeline degli eventi.

Cosa richiede il NIST

Tutte le azioni svolte durante un'indagine devono essere documentate in modo dettagliato, preservando l'integrità e la provenienza dei registri. La documentazione è essenziale sia per l'apprendimento organizzativo che per eventuali procedimenti legali.

Esempi pratici

Log delle azioni investigative con timestamp e operatore, catena di custodia delle evidenze, strumenti che garantiscono l'immutabilità dei log, procedure forensi documentate.

Cosa richiede il NIST

I dati e i metadati relativi all'incidente (log, immagini forensi, artefatti di malware, timeline) devono essere raccolti e preservati secondo procedure che ne garantiscano l'integrità e la catena di custodia, anche ai fini di eventuali azioni legali.

Esempi pratici

Procedure di acquisizione forense (immagini disco, dump di memoria, cattura del traffico), storage sicuro delle evidenze, hash di integrità delle acquisizioni, registro della catena di custodia.

Cosa richiede il NIST

La portata dell'incidente (quanti sistemi coinvolti, quali dati compromessi, quale impatto sul business) deve essere stimata il prima possibile e poi validata man mano che l'indagine procede. Questa stima guida le decisioni operative e di comunicazione.

Esempi pratici

Valutazione rapida dell'estensione della compromissione (sistemi coinvolti, dati esposti, utenti impattati), aggiornamento progressivo della stima man mano che l'indagine procede.

Cosa richiede il NIST

Le parti interessate interne (management, CdA, dipendenti) ed esterne (clienti, autorità, media) devono essere notificate degli incidenti secondo procedure predefinite. Il GDPR e la NIS2 impongono obblighi specifici di notifica con tempistiche precise.

Esempi pratici

Procedura di notifica al Garante Privacy (entro 72h per data breach GDPR), template di comunicazione agli interessati, procedura di notifica alle autorità di settore (es. ACN per NIS2).

Cosa richiede il NIST

Le informazioni sull'incidente devono essere condivise in modo controllato con le parti designate: team di risposta, management, autorità competenti, partner. La condivisione deve bilanciare trasparenza e riservatezza per non compromettere le indagini.

Esempi pratici

Lista di distribuzione delle informazioni sull'incidente per ruolo, procedure di comunicazione sicura (canali crittografati), template di aggiornamento per il management e per i partner.

Cosa richiede il NIST

L'incidente deve essere contenuto il più rapidamente possibile per evitarne la propagazione. Il contenimento può includere l'isolamento di sistemi compromessi, il blocco di account, la modifica di regole firewall o la disconnessione di segmenti di rete.

Esempi pratici

Procedure di isolamento rapido dei sistemi compromessi (disconnessione dalla rete, blocco degli account), regole firewall di emergenza, strumenti di quarantena endpoint.

Cosa richiede il NIST

Dopo il contenimento, le cause dell'incidente devono essere completamente eradicate: rimozione del malware, eliminazione delle backdoor, chiusura delle vulnerabilità sfruttate, bonifica dei sistemi compromessi. L'eradicazione incompleta può portare a una ricorrenza.

Esempi pratici

Procedure di rimozione malware, bonifica dei sistemi compromessi, chiusura delle vulnerabilità sfruttate, reset delle credenziali compromesse, verifica dell'eliminazione delle backdoor.

Cosa richiede il NIST

La parte di ripristino del piano di risposta deve essere attivata una volta che il contenimento e l'eradicazione sono completati. Il piano deve definire priorità di ripristino basate sulla criticità dei sistemi e servizi per il business.

Esempi pratici

Piano di ripristino con priorità dei sistemi da recuperare, procedure dettagliate per il restore da backup, checklist di attivazione del piano, team di recovery designato.

Cosa richiede il NIST

Le azioni di ripristino devono essere selezionate, dimensionate e prioritizzate in base all'impatto sul business. I sistemi più critici per l'operatività devono essere ripristinati per primi, seguendo un ordine predefinito nel piano.

Esempi pratici

Lista dei sistemi ordinata per priorità di ripristino (business criticality), stima dei tempi di ripristino (RTO) per ciascun sistema, risorse necessarie per il recovery.

Cosa richiede il NIST

Prima di utilizzare backup o altre risorse per il ripristino, la loro integrità deve essere verificata. Un backup compromesso dall'attaccante potrebbe reintrodurre la minaccia nei sistemi appena bonificati.

Esempi pratici

Procedura di verifica dell'integrità dei backup prima del restore (hash, test di ripristino), scansione antimalware dei backup, utilizzo di backup da periodi precedenti all'attacco se necessario.

Cosa richiede il NIST

Il ripristino deve considerare le funzioni critiche e le esigenze di gestione del rischio per definire le condizioni operative post-incidente. Potrebbe essere necessario operare con funzionalità ridotte o controlli aggiuntivi mentre il ripristino completo procede.

Esempi pratici

Valutazione delle condizioni operative post-incidente, possibile operatività in modalità degradata, controlli di sicurezza aggiuntivi durante la fase di recovery, comunicazione delle limitazioni temporanee.

Cosa richiede il NIST

Gli asset ripristinati devono essere verificati per assicurarsi che siano integri, funzionanti e liberi da compromissioni residue. Il normale funzionamento deve essere confermato prima di considerare completato il ripristino di un sistema.

Esempi pratici

Checklist di verifica post-ripristino (integrità dei dati, funzionalità dei servizi, assenza di compromissioni residue), test funzionali, monitoraggio intensivo dei sistemi ripristinati.

Cosa richiede il NIST

La conclusione formale del ripristino deve essere dichiarata quando tutti i criteri predefiniti sono soddisfatti. La documentazione dell'incidente deve essere completata, incluse le lezioni apprese e le raccomandazioni per il miglioramento.

Esempi pratici

Criteri formali di chiusura del ripristino, report finale dell'incidente (timeline, impatto, azioni, costi), sessione di lessons learned, aggiornamento dei piani in base alle lezioni apprese.

Cosa richiede il NIST

Le attività di ripristino e i progressi nel ristabilire le capacità operative devono essere comunicati regolarmente alle parti interessate interne (management, dipendenti) ed esterne (clienti, partner, autorità). La trasparenza durante il ripristino mantiene la fiducia.

Esempi pratici

Aggiornamenti periodici al management e ai dipendenti sullo stato del ripristino, comunicazioni ai clienti impattati, report di avanzamento ai partner, dashboard di recovery status.

Cosa richiede il NIST

Gli aggiornamenti pubblici sul ripristino dopo un incidente devono essere gestiti con attenzione, utilizzando metodi e messaggi approvati dal management e dal team legale. La comunicazione pubblica deve bilanciare trasparenza, responsabilità e protezione dell'organizzazione.

Esempi pratici

Comunicato stampa o aggiornamento sul sito web approvato dal team legale e dal management, strategia di comunicazione pubblica pre-approvata, portavoce designato.