Il testo presenta novità sulla gestione dei cyber supply chain risk,

Il National Institute of Standards and Technology (NIST) punta a incrementare la sicurezza informatica delle infrastrutture critiche. A proposito ha reso noto una bozza aggiornata del Cybersecurity Framework. Questa fornisce nuovi dettagli sulla gestione dei cyber supply chain risk.  Chiarifica anche alcuni temi chiave e introduce la misurazione dei metodi per la protezione cibernetica. Il documento originale fu pubblicato a febbraio del 2014 a seguito di un processo di cooperazione tra industria, mondo accademico e agenzie governative. Il suo obiettivo era sviluppare una cornice volontaria per aiutare le organizzazioni nella gestione dei rischi alla sicurezza informatica legate alle infrastrutture critiche Usa. Dai ponti alle reti elettriche. Il framework, però, è stato adottato ampiamente anche da molte realtà di diversi settori, non solo nella nazione ma in tutto il mondo.

Cosa contiene la bozza del Cybersecurity Framework 1.1

La bozza del nuovo Cybersecurity Framework, l’1.1, incorpora feedback e integra i commenti dei partecipanti al Cybersecurity Framework Workshop 2016. Evento che il NIST ha organizzato a Gaithersburg in Maryland. “Abbiamo redatto questo aggiornamento per rifinire e migliorare il documento originale, rendendolo più facile da adottare”, ha detto Matt Barrett, program manager NIST per il Cybersecurity Framework -. L’aggiornamento, infatti, è pienamente compatibile con il documento originale, la cui adozione rimane flessibile e volontaria”. Per la prima volta è stato redatto anche un vocabolario, in modo da permettere ai non tecnici di capire bene il Framework e quelle che sono le loro esigenze sulla cybersecurity. Ci sono anche esempi pratici sul supply chain risk management.

Il Cybersecurity Framework 1.1 è un testo “aperto”

Si insiste, infine, anche sulla chiarificazione di alcuni temi. Tra questi ci sono “autenticazione” e “autorizzazione”. Inoltre si spiega in dettaglio cosa sono le “prove d’identità”. A tutto si aggiungono le misurazioni della sicurezza informatica. Ciò per garantire che la cyber security “ riceva adeguata considerazione in una discussione più ampia di gestione del rischio di impresa”, ha concluso Barrett. La versione 1.1 del Cybersecurity Framework, peraltro, è un documento ancora aperto. Cioè chi è interessato potrà inviare contributi per migliorarlo (entro il 10 aprile 2017). Lo scopo, infatti, è che si tratto di un testo più condiviso possibile, in modo da massimizzare la sua diffusione e adozione.

La bozza del Cybersecurity Framework 1.1 del NIST (file PDF)