Viaggio ai confini del NIST Cybersecurity Framework
Anche in tempi difficili, il Cybersecurity Framework è la bussola della cyberdifesa. Accompagnateci in un viaggio attraverso il Framework insieme agli specialisti in cybersicurezza e scoprite gli aspetti più inediti di questa architettura.
31 luglio 2025, Testo Andreas Heer, Immagine: Swisscom 4 min
Sono tempi duri per gli specialisti in cybersicurezza e i CISO. Come mostra lo Swisscom Cybersecurity Threat Radar , le aziende non devono solo proteggersi da minacce note come i ransomware. Devono anche fare i conti con strategie sempre nuove, o con nuove varianti di metodi già diffusi, come ad es. gli attacchi DDoS.
Oggi si può tuttavia contare su uno strumento d’orientamento sempre valido: il NIST Cybersecurity Framework (CSF). Questo approccio definisce la cyberdifesa sotto forma di ciclo continuo in cinque fasi:
- Identify: Identify: individuare gli ambienti e i dati da proteggere
- Protect: adottare e implementare le misure di protezione
- Detect: rilevare gli attacchi
- Respond: rispondere agli attacchi
- Recover: ripristinare gli ambienti e i dati interessati
Nella versione 2 del CSF, queste fasi sono state riunite sotto un principio fondamentale, la Governance, che guida le varie misure da adottare.
Vogliamo invitarvi in un viaggio alla scoperta del Framework, accompagnati dagli specialisti in cybersicurezza. Insieme esploreremo alcune delle caratteristiche e funzionalità meno note del Framework – e scopriremo anche qualche segreto.
1ª tappa: identificazione degli elementi da proteggere
L’obiettivo della prima tappa è farsi un quadro generale della situazione. «La cyberdifesa consiste in una serie di sfide impegnative», spiega Cyrill Peter, Head Cybersecurity Services di Swisscom B2B. «Da un lato ci sono le complessità, dall’altro le varietà delle tecniche di attacco. E questo in combinazione con l’esigenza di garantire tempi di risposta sempre più rapidi».
Se un’azienda vuole tutelarsi efficacemente in queste condizioni, deve prima sapere cosa vuole proteggere. Si tratta insomma di identificare i dati, le applicazioni e i processi critici per l’azienda in modo da dare loro la giusta priorità, afferma Marco Wyrsch, CSO di Swisscom: «Devo sapere dove sono archiviati internamente i miei dati critici, quali sono i fornitori che li conservano e quali sono le possibili minacce». Andrew Campell, Head Specialised Sales Cybersecurity di Swisscom, aggiunge: «Per soddisfare le attuali esigenze di sicurezza e garantire la necessaria protezione o Security Posture, le aziende devono agire su più fronti. Per prima cosa devono sapere a che punto si trovano. Ciò richiede l’esecuzione regolare di Security Audit e valutazioni dei rischi».
2ª tappa: implementazione delle misure di protezione
Una volta individuati gli elementi da proteggere, si procede all’attuazione di idonee misure di sicurezza. La seconda tappa del viaggio serve a gettare le fondamenta per ogni futura protezione contro gli attacchi informatici. Queste misure di protezione dovrebbero essere prese in considerazione sin dall’inizio, ad esempio nello sviluppo di software e infrastrutture, come sottolinea Stephanie Ramseyer, Security Solution Architect di Swisscom: «Il mio lavoro inizia molto prima della fase di sviluppo vera e propria. Per prima cosa riuniamo sviluppatori, product manager e responsabili di prodotto e definiamo i possibili punti deboli».
La tecnologia da sola tuttavia non basta: «Le persone svolgono un ruolo chiave nella resilienza informatica», afferma Duilio Hochstrasser, specialista di Security di Swisscom. «Ci sono da un lato le attività quotidiane dei collaboratori, e dall’altro tutto il lavoro degli esperti di security che pianificano e attuano le misure di protezione».
I collaboratori rappresentano la prima linea di difesa contro gli attacchi informatici e integrano così le misure tecniche e organizzative. Una cultura della sicurezza è quindi fondamentale, sottolinea Fawsiya Cade, Security Consultant di Swisscom: «Alla luce dell’attuale situazione mondiale e della continua trasformazione nel campo della digitalizzazione, la cultura della sicurezza sta acquisendo un’importanza sempre maggiore. Per le aziende è importante promuovere una cultura che permetta ai collaboratori di riconoscere i rischi, di agire responsabilmente e di mettere in pratica ogni giorno valide misure di sicurezza». Con questa escursione culturale siamo giunti alla terza tappa del nostro viaggio.
3ª tappa: rilevazione degli attacchi informatici
In questa tappa gioca un ruolo fondamentale il tempo. Spesso, infatti, i criminali informatici riescono a esplorare con tutta calma la rete aziendale prima di colpire. Questo cosiddetto «lateral movement» serve a individuare i dati rilevanti e ad ottenere quanti più diritti di accesso possibile per il flusso di dati e la crittografia.
«Il riconoscimento tempestivo degli attacchi informatici è oggi essenziale per una cyberdifesa efficace», commenta Oliver Stampfli, Head of Cyberdefence B2B di Swisscom. Questo permette infatti di evitare danni più gravi. «È quindi fondamentale disporre di sistemi di rilevamento adeguati», aggiunge Andrew Campbell.
4ª tappa: difesa contro agli attacchi informatici
Siamo arrivati alla tappa decisiva. Qui entrano in gioco i talenti dell’Incident Response. Le moderne strategie di cyberdifesa partono dal presupposto che i malviventi siano già penetrati all’interno del sistema. Questo paradigma dell’«Assume Breach» implica che gli attacchi informatici non possono essere completamente evitati. Ma il contenimento tecnico di un attacco è solo una parte del lavoro. Altrettanto importante è comunicare nel modo giusto. «Comunichiamo gli incidenti internamente», rivela Marco Wyrsch. «Ma coinvolgiamo anche i clienti, i fornitori e i partner interessati».
Questo presuppone tuttavia che siano disponibili i necessari canali di comunicazione. «L’Incident Response può anche avere effetti inattesi», afferma Alexander Odenthal, Group Information Security Officer di Swiss Life. «Può ad es. succedere che non funzioni più l’ambiente chat normalmente utilizzato, con ripercussioni anche sulla telefonia. È perciò importante testare questi scenari anticipatamente».
5ª tappa: ripristino dell’operatività
Si sentono sempre più spesso notizie di aziende che impiegano settimane o mesi per tornare alla normalità dopo un attacco informatico. Il successo di questa fase dipende anche dalla preparazione. Marco Wyrsch lo spiega senza giri di parole: «Testare, esercitarsi ed essere pronti».
Qui rivestono un ruolo fondamentale i backup e soprattutto il ripristino dei dati e dei sistemi. «Backup di qualità insufficiente, dati non disponibili a causa di un attacco informatico, difficoltà nel ripristino: tutti questi fattori possono creare spiacevoli sorprese», afferma Alexander Odenthal.
Tappa extra: Governance e gestione del rischio
Per raggiungere il suo obiettivo, la cyberdifesa deve essere adeguatamente guidata. Per questo nel Cybersecurity Framework 2.0 è stato integrato in ogni tappa il principio della Governance. Ciò richiede anche il coinvolgimento dei dirigenti, spiega Marco Wyrsch: «Gli investimenti nella cybersicurezza non danno frutti se i dirigenti non si attivano in prima persona per la protezione dell’azienda, assumendosi le proprie responsabilità». Ciò vale indipendentemente dal modello di gestione dell’IT, sottolinea Pascal Lamia: «Anche se l’IT è esternalizzato, la cybersicurezza deve essere discussa a livello dirigenziale. Stiamo facendo abbastanza per la nostra sicurezza informatica? Proteggiamo adeguatamente i dati dei clienti?».
È qui che entra in gioco la gestione dei rischi – per trovare una risposta a questi interrogativi prima che sia troppo tardi. Lo spiega Georgia Fotaki, Information Security Governance Manager di Swisscom: «Gestire il rischio non significa semplicemente rispondere alle minacce. Si tratta piuttosto di anticipare ciò che ci attende all’orizzonte, di adeguarci e di diventare resilienti in tutti gli ambiti».
La resilienza informatica segna il termine del nostro viaggio. Ma un’azienda non può mai abbassare la guardia troppo a lungo. La cyberdifesa richiede infatti da una continua verifica della Security Posture. Ecco perché il Cybersecurity Framework, la «mappa» del nostro viaggio, è raffigurato come un ciclo continuo.