Il panorama delle minacce non è mai stato così impegnativo. Nel 2025 le organizzazioni hanno subito in media 1.968 attacchi informatici settimanali, con un aumento del 70% rispetto al 2023, e lo stesso anno il costo medio globale delle violazioni ha raggiunto i 4,44 milioni di dollari. In questo contesto, i framework di sicurezza forniscono approcci strutturati e ripetibili che trasformano la reattività in difesa proattiva. Tuttavia, il 95% delle organizzazioni incontra notevoli difficoltà nell'implementarli (2024), spesso perché non ha un quadro completo dei framework esistenti e di come questi interagiscono tra loro.
Questa guida presenta una tassonomia in cinque categorie che comprende conformità, gestione dei rischi, cataloghi di controllo, intelligence e rilevamento delle minacce e framework architetturali. A differenza delle guide che trattano solo la conformità e la governance, attribuiamo lo stesso peso ai framework incentrati sul rilevamento come MITRE ATT&CK, MITRE D3FEND, Pyramid of Pain e Cyber Kill Chain, perché i framework hanno importanza solo se si traducono in risultati operativi in materia di sicurezza.
I framework di sicurezza sono insiemi strutturati di linee guida, best practice e standard che le organizzazioni utilizzano per identificare, gestire e ridurre i rischi legati alla sicurezza informatica, mantenendo al contempo la conformità normativa e rafforzando la resilienza contro le minacce alla sicurezza informatica. Forniscono un linguaggio comune ai team di sicurezza, ai dirigenti e ai revisori per valutare la posizione, dare priorità agli investimenti e misurare i progressi.
Con il 93% degli intervistati che identifica la sicurezza informatica come una priorità assoluta o importante nel 2025, i framework sono diventati modelli essenziali per tradurre tale priorità in azione.
Ogni framework di sicurezza, indipendentemente dalla sua categoria, condivide cinque componenti fondamentali.
Comprendere questi componenti risponde a una delle domande più comuni nel settore: quali sono alcuni degli scopi principali dei framework di sicurezza? Essi esistono per fornire una gestione strutturata dei rischi, stabilire un linguaggio comune tra i team, garantire la prontezza per gli audit e costruire la fiducia degli stakeholder.
I professionisti della sicurezza utilizzano spesso i termini "quadro normativo", "standard" e "normativa" in modo intercambiabile, e lo stesso settore contribuisce a creare confusione. Ecco come distinguerli.
Nella pratica, i confini sono sfumati. La norma ISO 27001 funge sia da standard che da quadro di riferimento. L'HIPAA è una normativa che contiene una regola di sicurezza strutturata come un quadro di riferimento. La distinzione importante è tra flessibilità e prescrizione: i quadri di riferimento guidano, gli standard specificano e le normative impongono.
La maggior parte delle guide classifica i framework di sicurezza in tre o quattro categorie. SentinelOne ne utilizza tre (normativi, volontari e specifici per settore), mentre Secureframe ne identifica quattro (conformità, basati sul rischio, basati sul controllo e programmatici). Nessuno dei due include i framework di intelligence e rilevamento delle minacce come categoria distinta, una lacuna significativa considerando quanto siano diventati fondamentali per le moderne operazioni di sicurezza.
La tassonomia in cinque categorie riportata di seguito fornisce un quadro più completo del panorama dei framework di sicurezza.
Tabella: Tassonomia del quadro di sicurezza a cinque categorie
I framework di conformità aiutano le organizzazioni a dimostrare la propria aderenza ai requisiti normativi o di settore. SOC 2 valuta le organizzazioni di servizi in base a cinque criteri di affidabilità dei servizi. ISO 27001:2022 fornisce un sistema di gestione della sicurezza delle informazioni certificabile. PCI DSS protegge i dati dei titolari di carte di credito. HIPAA protegge le informazioni sanitarie protette. La conformità al GDPR regola i dati personali nell'UE. FedRAMP autorizza cloud per le agenzie federali statunitensi.
Questi quadri rispondono alla domanda: possiamo dimostrare di rispettare le regole?
I modelli di rischio aiutano le organizzazioni a comprendere, dare priorità e comunicare i rischi legati alla sicurezza informatica. NIST CSF 2.0 fornisce una governance basata sui risultati in sei funzioni. COBIT allinea la governance IT agli obiettivi aziendali. FAIR (Factor Analysis of Information Risk) quantifica il rischio in termini finanziari, consentendo il dialogo con i consigli di amministrazione e i team finanziari.
Questi modelli rispondono alla domanda: dove dovremmo investire per ridurre al massimo il rischio?
I cataloghi di controllo offrono elenchi prioritari di misure di sicurezza specifiche. CIS Controls v8.1 organizza 18 controlli in tre gruppi di implementazione (da IG1 a IG3) in base alla maturità organizzativa. NIST SP 800-53 fornisce il catalogo di controllo più completo disponibile, con oltre 1.000 controlli suddivisi in 20 famiglie.
Questi quadri rispondono alla domanda: quali azioni specifiche dovremmo intraprendere?
Questa è la categoria che la maggior parte dei concorrenti trascura, ma che è senza dubbio la più rilevante dal punto di vista operativo per i team di sicurezza. MITRE ATT&CK le tattiche, le tecniche e le procedure (TTP) degli avversari nel mondo reale. MITRE D3FEND le contromisure difensive. La Piramide del dolore assegna priorità al rilevamento in base alla difficoltà di evasione dell'aggressore. La Cyber Kill Chain modella la progressione dell'attacco attraverso sette fasi. Il Modello a diamante analizza le intrusioni attraverso quattro vertici (avversario, capacità, infrastruttura, vittima).
Questi modelli rispondono alla domanda: come operano gli aggressori e come possiamo individuarli?
I framework architetturali definiscono i principi per la creazione di sistemi sicuri partendo da zero. Zero Trust (NIST SP 800-207) richiede una verifica rigorosa per ogni utente e dispositivo, indipendentemente dalla posizione della rete. SABSA (Sherwood Applied Business Security Architecture) adotta un approccio orientato al business per l'architettura di sicurezza.
Questi framework rispondono alla domanda: come progettiamo sistemi che siano sicuri per impostazione predefinita?
I seguenti profili coprono 15 framework in tutte e cinque le categorie tassonomiche, fornendo l'ambito, la struttura e la versione attuale di ciascuno.
Il NIST CSF è il framework di sicurezza informatica più diffuso a livello globale. Classificato come il framework più prezioso per il secondo anno consecutivo (2024-2025), è stato adottato da oltre la metà delle aziende Fortune 500 (2024).
CSF 2.0, pubblicato nel febbraio 2024, ha introdotto sei funzioni fondamentali - Governare, Identificare, Proteggere, Rilevare, Rispondere e Recuperare - rispetto alle cinque di CSF 1.1. L'aggiunta di "Governare" riflette la crescente consapevolezza che la sicurezza informatica è una questione di governance a livello dirigenziale, non solo tecnica. Gli aggiornamenti di allineamento del dicembre 2025 hanno ulteriormente perfezionato le sue linee guida.
Il NIST CSF è volontario, indipendente dal settore e progettato per essere personalizzato. È adatto a organizzazioni di qualsiasi dimensione, dalle piccole imprese agli operatori di infrastrutture critiche.
ISO 27001 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). La revisione del 2022 ha riorganizzato i controlli da 114 a 93, raggruppati in quattro temi: organizzativo, persone, fisico e tecnologico. La versione ISO 27001:2013 è stata ufficialmente ritirata nell'ottobre 2025, quindi tutte le certificazioni ora fanno riferimento all'edizione 2022.
L'adozione sta accelerando: l'81% delle organizzazioni dichiara di avere già ottenuto o di voler ottenere la certificazione ISO 27001, rispetto al 67% del 2024. La norma ISO 27001 è particolarmente rilevante per le organizzazioni con attività internazionali o clienti che richiedono una certificazione di terze parti.
Il Center for Internet Security (CIS) pubblica 18 controlli prioritari organizzati in tre gruppi di implementazione: IG1 (igiene informatica essenziale, 56 misure di sicurezza), IG2 (misure di sicurezza aggiuntive per organizzazioni di medie dimensioni) e IG3 (copertura completa per grandi imprese). La versione 8.1, rilasciata nel giugno 2024, ha aggiunto una funzione di sicurezza "Governance" per allinearsi con NIST CSF 2.0.
I controlli CIS sono il punto di partenza consigliato per le organizzazioni che implementano il loro primo framework, poiché IG1 garantisce la massima riduzione del rischio con requisiti minimi in termini di risorse.
SOC 2 è un quadro di attestazione sviluppato dall'AICPA che valuta le organizzazioni di servizi in base a cinque criteri di affidabilità: sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy. A differenza della norma ISO 27001, SOC 2 non porta a una "certificazione", ma piuttosto a una relazione di revisione (Tipo I per la progettazione, Tipo II per l'efficacia operativa nel tempo). Si colloca tra i primi tre quadri per importanza insieme alla norma ISO 27001 e SOC 1 (2025).
Lo standard PCI DSS(Payment Card Industry Data Security Standard) protegge i dati dei titolari di carte di credito. Il PCI DSS 4.0 ha reso obbligatori 47 nuovi requisiti a partire dal 31 marzo 2025, spostando lo standard verso una conformità continua piuttosto che verso valutazioni puntuali. La non conformità comporta sanzioni da 5.000 a 100.000 dollari al mese (2025), rendendolo uno dei quadri normativi con le conseguenze finanziarie più rilevanti per le organizzazioni che gestiscono dati di pagamento.
HIPAA è un quadro di riferimento per la sicurezza? HIPAA è principalmente una normativa federale, ovvero la legge sulla portabilità e la responsabilità dell'assicurazione sanitaria. Tuttavia, la sua norma sulla sicurezza contiene una struttura simile a un quadro di riferimento che comprende misure di protezione amministrative, fisiche e tecniche che le organizzazioni utilizzano per proteggere le informazioni sanitarie protette in formato elettronico (ePHI). Per i team di sicurezza informatica nel settore sanitario, la norma HIPAA sulla sicurezza funge efficacemente da quadro di riferimento fondamentale per la sicurezza.
MITRE ATT&CK è una base di conoscenze accessibile a livello globale sulle tattiche, tecniche e procedure (TTP) degli avversari basata su osservazioni reali. La versione 18 (ottobre 2025) comprende 14 tattiche, 216 tecniche e 475 sottotecniche. In particolare, la v18 ha sostituito "Rilevamenti" con "Strategie di rilevamento", fornendo indicazioni più concrete per i difensori.
La versione 19 è prevista per aprile 2026 e renderà obsoleta la tattica di evasione della difesa a favore di una categorizzazione più granulare delle tecniche.
ATT&CK è lo standard di fatto per mappare la copertura dei sistemi di rilevamento, condurre valutazioni di difesa basate sulle minacce e comunicare il comportamento degli avversari in tutto il settore.
MITRE D3FEND è un grafico di conoscenze sulle contromisure difensive organizzato in sette categorie: Modello, Rafforzamento, Rilevamento, Isolamento, Inganno, Espulsione e Ripristino. La versione 1.3.0 (dicembre 2025) include 267 tecniche difensive e aggiunge un'estensione OT (tecnologia operativa).
D3FEND integra ATT&CK mappando il lato difensivo dell'equazione: per ogni tecnica di attacco, quali contromisure possono adottare le organizzazioni? Vectra AI 12 riferimenti in D3FEND, più di qualsiasi altro fornitore.
La Cyber Kill Chain, sviluppata da Lockheed Martin, modella la progressione degli attacchi attraverso sette fasi: ricognizione, weaponization, consegna, sfruttamento, installazione, Command and Control e azioni sugli obiettivi. Mentre MITRE ATT&CK una mappatura granulare a livello tecnico, la Cyber Kill Chain offre una visione strategica del flusso degli attacchi, rendendola preziosa per comunicare le dinamiche degli attacchi a stakeholder non tecnici.
La maggior parte dei concorrenti omette completamente la Cyber Kill Chain, nonostante il suo ampio utilizzo nella pianificazione della risposta agli incidenti e nelle operazioni SOC.
La Piramide del Dolore, creata da David Bianco, definisce sei livelli di difficoltà di rilevamento: valori hash (facili da modificare per gli aggressori), indirizzi IP, nomi di dominio, artefatti di rete/host, strumenti e TTP (i più difficili da modificare). Il modello insegna ai difensori a concentrare gli investimenti nel rilevamento sulla parte superiore della piramide, ovvero i TTP, poiché sono questi a causare il maggior disturbo operativo agli avversari.
Nel dicembre 2024, il MITRE Center for Threat-Informed Defense ha pubblicato una guida operativa per "raggiungere la cima della piramide", fornendo metodi pratici per l'implementazione di rilevamenti basati su TTP.
Zero Trust è un modello architetturale basato su sette principi fondamentali, il più importante dei quali è: non fidarti mai, verifica sempre. Il NIST SP 800-207 ne fornisce la definizione autorevole. Nel gennaio 2026 la NSA ha pubblicato le Linee guida Zero Trust , che offrono un approccio graduale per le agenzie federali e le organizzazioni di difesa.
Zero Trust non Zero Trust un prodotto, ma una filosofia progettuale che richiede una verifica continua dell'identità, dello stato di salute dei dispositivi e del contesto prima di concedere l'accesso a qualsiasi risorsa.
COBIT (Control Objectives for Information and Related Technologies) allinea la governance IT agli obiettivi aziendali, rendendolo prezioso per le organizzazioni in cui la sicurezza informatica deve integrarsi con una governance aziendale più ampia. FAIR (Factor Analysis of Information Risk) è un framework di analisi quantitativa del rischio che misura il rischio informatico in termini finanziari, essenziale per presentare gli investimenti nella sicurezza informatica ai consigli di amministrazione e ai direttori finanziari.
Tabella: Confronto tra i framework di sicurezza in base a tipo, ambito, requisiti di certificazione e adeguatezza al settore
Le organizzazioni raramente implementano un unico framework in modo isolato. Il 52% mantiene la conformità con più di un framework (2025) e le aziende con un fatturato superiore a 100 milioni di dollari utilizzano in media 3,2 framework (2025).
La buona notizia è che i framework si sovrappongono in modo significativo. Le organizzazioni che implementano la norma ISO 27001 soddisfano già circa l'83% dei requisiti NIST CSF, mentre il NIST CSF copre circa il 61% dei controlli ISO 27001. I controlli CIS si allineano direttamente sia alle funzioni NIST CSF che ai controlli ISO 27001, fungendo da livello di implementazione pratico per entrambi i framework di governance.
I framework di rilevamento aggiungono una dimensione completamente diversa. MITRE ATT&CK D3FEND non sostituiscono i framework di conformità, ma verificano se i controlli specificati da NIST, ISO e CIS funzionano effettivamente contro i comportamenti reali degli avversari. Un'organizzazione può essere pienamente conforme alla norma ISO 27001 e tuttavia non disporre di una copertura di rilevamento per le tecniche ATT&CK critiche.
Anziché adottare tutto in una volta, le organizzazioni dovrebbero stratificare i framework in base alla maturità.
Questo approccio stratificato significa che ogni investimento nel quadro si basa su quello precedente, anziché creare flussi di lavoro paralleli per la conformità.
Il panorama normativo è in rapida evoluzione. La governance dell'IA, l'applicazione delle normative UE e i requisiti cloud rappresentano le aree in più rapida crescita.
La norma ISO 42001 (pubblicata nel dicembre 2023) è il primo standard internazionale per i sistemi di gestione dell'IA. Le organizzazioni che dispongono già della certificazione ISO 27001 possono ottenere la conformità alla norma ISO 42001 con una rapidità superiore del 30-40% grazie ai requisiti condivisi dei sistemi di gestione (2025).
Il profilo di sicurezza informatica dell'IA del NIST (IR 8596) ha pubblicato una bozza preliminare nel dicembre 2025, con una prima bozza pubblica prevista per la fine del 2026. Nel frattempo, MITRE ATLAS cataloga le minacce ostili ai sistemi di IA/ML, integrando ATT&CK nel dominio dell'IA.
L'urgenza è reale: il 64% delle organizzazioni valuta ora la sicurezza degli strumenti di IA prima della loro implementazione, rispetto al 37% del 2025 (WEF 2026). Inoltre, l'87% ha identificato le vulnerabilità legate all'IA come il rischio informatico in più rapida crescita del 2025 (WEF 2026). Le scadenze ad alto rischio previste dall'IA Act dell'UE arriveranno nell'agosto 2026, rendendo urgenti dal punto di vista operativo i quadri di governance dell'IA per qualsiasi organizzazione che implementi l'IA nell'UE.
La direttiva NIS2 estende i requisiti di sicurezza informatica a 18 settori critici nell'UE. A gennaio 2026, 16 dei 27 Stati membri dell'UE hanno recepito la direttiva NIS2 nella legislazione nazionale. Le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato globale. Le modifiche proposte a gennaio 2026 prevedono un'ulteriore armonizzazione e un ampliamento dell'ambito di applicazione.
Il Digital Operational Resilience Act è in vigore dal gennaio 2025 e riguarda 20 tipi di enti finanziari. Il DORA richiede l'adozione di sistemi di gestione dei rischi ICT, la segnalazione degli incidenti, test di resilienza operativa digitale e la gestione dei rischi di terze parti. Le revisioni di vigilanza inizieranno nel 2026, con multe fino al 2% del fatturato annuo globale.
La certificazione Cybersecurity Maturity Model Certification 2.0 è entrata nella Fase 1 nel novembre 2025. La Fase 2 inizierà il 10 novembre 2026 e richiederà valutazioni di terze parti per la certificazione di Livello 2. Sono interessati oltre 220.000 appaltatori, rendendo il CMMC uno dei framework più importanti per la base industriale della difesa.
Con l'accelerazione cloud da parte delle organizzazioni, i framework cloud stanno acquisendo sempre più importanza. Il CSA Cloud Matrix (CCM) fornisce controlli di sicurezza cloud. Il NIST SP 800-144 affronta cloud pubblico. I benchmark CIS Cloud offrono linee guida di rafforzamento per AWS, Azure e GCP. Questi framework integrano piuttosto che sostituire i framework generici, aggiungendo specificità cloud a modelli di governance più ampi. Anche i framework di sicurezza IoT stanno maturando in modo simile per gli ambienti tecnologici operativi.
Tabella: Tempistica di attuazione del quadro normativo 2025-2026
La scelta del framework giusto dipende da tre fattori: i requisiti normativi del proprio settore, il livello di maturità della propria organizzazione e i propri obiettivi primari in materia di sicurezza. La posta in gioco è alta: il 47% delle organizzazioni ha affermato che la mancanza di certificazioni di conformità ha ritardato i cicli di vendita e il 38% ha perso un affare a causa di garanzie di sicurezza insufficienti (2025).
Tabella: Guida alla selezione del framework per settore, dimensioni e obiettivo di sicurezza
L'implementazione di un quadro di riferimento per la sicurezza informatica richiede un approccio strutturato. Adattato dal processo in sette fasi del NIST, ecco una sequenza pratica.
Il 95% delle organizzazioni deve affrontare sfide significative nell'implementazione dei framework di sicurezza (2024). La ricerca identifica tre ostacoli principali.
Tabella: Le sfide più comuni nell'implementazione dei framework e le strategie di mitigazione
Più della metà delle organizzazioni ha uno o meno di un addetto alla sicurezza a tempo pieno (2025) e i team dedicano circa otto ore alla settimana solo alle attività di conformità. Il monitoraggio automatizzato della conformità riduce le sanzioni normative del 40% (2025), rendendo l'automazione SOC un fattore fondamentale per i team con risorse limitate.
Quando i framework non vengono implementati, o vengono implementati con delle lacune, le conseguenze sono misurabili.
Prosper Marketplace (2025). Controlli di accesso inadeguati hanno portato all'esposizione di 17,6 milioni di dati personali. La violazione è stata direttamente ricondotta a carenze nella funzione "Protect" del NIST CSF e nel CIS Control 6 (Gestione del controllo degli accessi). Una corretta implementazione dei requisiti di controllo degli accessi di entrambi i framework avrebbe ridotto significativamente la superficie di attacco.
Ransomware nel settore retail del Regno Unito campagna ransomware (2025). Il gruppo Scattered Spider ha sfruttato le lacune nella gestione dei rischi della catena di approvvigionamento dei principali rivenditori al dettaglio del Regno Unito, tra cui M&S, Co-op e Harrods. L'attacco ha messo in luce le debolezze nella gestione dei rischi di terze parti, un requisito fondamentale della funzione "Govern" del NIST CSF e uno degli obiettivi principali del DORA.
Illuminate Education (2025). Un errore nella gestione del ciclo di vita delle identità ha esposto milioni di dati relativi agli studenti. La violazione dei dati è stata ricondotta a lacune nel CIS Control 5 (Gestione degli account), dove sono rimasti account orfani e autorizzazioni eccessive dopo i trasferimenti dei dipendenti. Questo caso illustra perché la gestione delle vulnerabilità e la governance delle identità devono essere rese operative, non solo documentate.
I framework generano valore solo quando se ne misura l'impatto. Quattro metriche chiave forniscono visibilità sull'efficacia del framework.
Il panorama dei sistemi di sicurezza sta convergendo attorno a tre temi: automazione, conformità basata sull'intelligenza artificiale e fusione dei sistemi di rilevamento e conformità.
Si prevede che la spesa globale per la sicurezza informatica raggiungerà i 244 miliardi di dollari nel 2026 e Gartner prevede che le soluzioni di sicurezza preventiva rappresenteranno la metà della spesa totale per la sicurezza entro il 2030. Questo cambiamento riflette una tendenza più ampia del settore, che sta passando da una sicurezza reattiva e basata sulla conformità a una difesa proattiva e basata sui segnali.
I framework di rilevamento come MITRE ATT&CK D3FEND vengono sempre più utilizzati insieme ai framework di conformità per convalidare l'efficacia operativa. Una checklist di conformità conferma l'esistenza dei controlli. Una valutazione della copertura ATT&CK conferma che tali controlli rilevano effettivamente i comportamenti reali degli avversari. Le organizzazioni stanno colmando questa lacuna mappando le loro capacità di rilevamento delle minacce alle tecniche ATT&CK e le loro tecnologie difensive alle contromisure D3FEND.
Le operazioni SOC basate sull'intelligenza artificiale stanno accelerando questa convergenza. Le funzionalità di triage automatizzato, rilevamento delle minacce comportamentali e ricerca delle minacce sono ora in grado di convalidare i controlli del framework in tempo reale, trasformando gli artefatti di conformità statici in risultati dinamici e misurabili.
Vectra AI i framework di sicurezza dal punto di vista del rilevamento e della risposta piuttosto che della sola conformità. Con 12 riferimenti in MITRE D3FEND più di qualsiasi altro fornitore, e una mappatura approfondita MITRE ATT&CK , Vectra AI i framework collegando la copertura di rilevamento ai controlli del framework.
Attack Signal Intelligence dell'azienda Attack Signal Intelligence principi di rilevamento comportamentale radicati in framework come la Piramide del dolore e la Cyber Kill Chain. Anziché inseguire indicatori facilmente modificabili come valori hash e indirizzi IP, Attack Signal Intelligence sulle TTP al vertice della piramide, ovvero i comportamenti degli aggressori più difficili da eludere.
Questo approccio incentrato sul rilevamento garantisce che i framework si traducano in risultati misurabili in termini di sicurezza: riduzione del tempo medio di rilevamento, diminuzione dei punti ciechi negli ambienti ibridi e chiarezza dei segnali che elimina il rumore degli avvisi. È la differenza tra dimostrare di disporre di controlli e dimostrare che tali controlli bloccano effettivamente gli attacchi. Scopri di più su come il rilevamento e la risposta di rete rendono operativi i controlli del framework.
I framework di sicurezza non sono semplici esercizi burocratici, ma costituiscono le fondamenta strutturali per difendere le organizzazioni da un panorama di minacce che diventa ogni trimestre più sofisticato. La tassonomia in cinque categorie qui presentata, che abbraccia conformità, gestione dei rischi, cataloghi di controllo, intelligence e rilevamento delle minacce e architettura, fornisce una mappa completa del panorama dei framework che va oltre quanto offerto dalla maggior parte delle guide.
I programmi di sicurezza più efficaci stratificano i framework in base alla maturità, partendo dai controlli CIS per la riduzione immediata dei rischi, passando alla governance NIST CSF e convalidando l'efficacia operativa attraverso la mappatura MITRE ATT&CK D3FEND. Considerano i framework incentrati sul rilevamento alla stregua dei requisiti di conformità, poiché dimostrare di disporre di controlli è inutile se tali controlli non sono in grado di rilevare gli aggressori reali.
Con la continua evoluzione della governance dell'IA, dell'applicazione delle normative UE e dei framework cloud, le organizzazioni che avranno successo saranno quelle che renderanno operativi i propri framework, trasformando politiche statiche in risultati di sicurezza dinamici e misurabili.
Le 5 C della sicurezza informatica - Cambiamento, Conformità, Costo, Continuità e Copertura - rappresentano una prospettiva orientata alla gestione per la valutazione dei programmi di sicurezza. Il cambiamento riguarda il modo in cui le organizzazioni si adattano alle minacce in continua evoluzione. La conformità garantisce il rispetto dei requisiti normativi e strutturali. Il costo bilancia gli investimenti nella sicurezza con la riduzione del rischio. La continuità si concentra sul mantenimento delle operazioni durante e dopo gli incidenti. La copertura valuta se i controlli di sicurezza proteggono tutte le risorse, le identità e le superfici di attacco. Sebbene non si tratti di un quadro formale, le 5 C forniscono un utile modello mentale per le discussioni sulla sicurezza a livello di consiglio di amministrazione. Diverse fonti del settore definiscono modelli 5 C leggermente diversi, quindi il contesto è importante.
Il NIST CSF 2.0 di per sé non definisce i livelli di maturità. Tuttavia, il NIST fornisce quattro livelli di implementazione che descrivono l'approccio di un'organizzazione alla gestione dei rischi per la sicurezza informatica. Il livello 1 (parziale) indica una gestione dei rischi ad hoc e reattiva. Il livello 2 (informato sui rischi) significa che le pratiche di gestione dei rischi sono approvate dalla leadership, ma potrebbero non essere applicate a livello dell'intera organizzazione. Il livello 3 (ripetibile) riflette politiche formalmente stabilite che vengono aggiornate regolarmente. Il livello 4 (adattivo) descrive le organizzazioni che migliorano continuamente sulla base delle lezioni apprese e degli indicatori predittivi. Questi livelli non sono livelli di maturità prescrittivi: il NIST afferma esplicitamente che non sono intesi come un meccanismo di valutazione. Aiutano invece le organizzazioni a comprendere la loro posizione attuale e a fissare obiettivi di miglioramento.
L'HIPAA è una normativa federale, non un quadro normativo nel senso tradizionale del termine. Tuttavia, la norma di sicurezza HIPAA (45 CFR Parte 160 e Parte 164, Sottoparti A e C) contiene una struttura simile a un quadro normativo di misure di sicurezza amministrative, fisiche e tecniche che le organizzazioni utilizzano per proteggere le informazioni sanitarie protette in formato elettronico (ePHI). Le misure di sicurezza amministrative riguardano la valutazione dei rischi, la formazione del personale e la pianificazione di emergenza. Le misure di sicurezza fisiche riguardano l'accesso alle strutture e la sicurezza delle postazioni di lavoro. Le misure di sicurezza tecniche includono controlli di accesso, controlli di audit e sicurezza delle trasmissioni. In pratica, molte organizzazioni sanitarie considerano la norma di sicurezza HIPAA come il loro quadro di riferimento primario in materia di sicurezza, integrandolo con il NIST CSF per una governance più ampia.
SOC 2 è un quadro di attestazione sviluppato dall'American Institute of Certified Public Accountants (AICPA) che valuta i controlli di un'organizzazione di servizi in base a cinque criteri di affidabilità: sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy. Un rapporto SOC 2 di tipo I valuta la progettazione dei controlli in un determinato momento, mentre un rapporto di tipo II valuta l'efficacia operativa in un determinato periodo (in genere da sei a 12 mesi). SOC 2 non comporta una "certificazione" formale, ma piuttosto il parere di un revisore indipendente. È diventato un requisito quasi universale per le aziende SaaS, cloud e qualsiasi organizzazione che elabora i dati dei clienti per conto di altre aziende.
Si tratta di una domanda comune, ma che contiene un presupposto ormai superato. Il NIST CSF 1.1 prevedeva cinque funzioni: Identificare, Proteggere, Rilevare, Rispondere e Recuperare. Il NIST CSF 2.0, pubblicato nel febbraio 2024, ne prevede ora sei con l'aggiunta della funzione Governare. La funzione Governare stabilisce la strategia, le aspettative e la politica di gestione dei rischi di sicurezza informatica a livello organizzativo. Riconosce che la governance della sicurezza informatica è una responsabilità della leadership, non solo una questione tecnica. Le sei funzioni lavorano insieme in un ciclo continuo: Govern definisce la strategia, Identificare inventaria le risorse e i rischi, Proteggere implementa le misure di sicurezza, Rilevare individua le minacce, Rispondere contiene gli incidenti e Ripristinare ripristina le operazioni.
Il NIST CSF è un framework volontario basato sui risultati e incentrato sulla gestione dei rischi legati alla sicurezza informatica. Fornisce linee guida flessibili che le organizzazioni possono personalizzare in base al proprio contesto senza richiedere una certificazione esterna. La norma ISO 27001 è uno standard internazionale certificabile con requisiti di controllo prescrittivi e processi obbligatori per i sistemi di gestione. La sovrapposizione chiave è significativa: le organizzazioni che implementano la norma ISO 27001 soddisfano circa l'83% dei requisiti NIST CSF. La differenza pratica risiede nei loro casi d'uso principali. Il NIST CSF viene spesso scelto per la governance interna, l'allineamento normativo (soprattutto negli Stati Uniti) e la comunicazione dei rischi. La norma ISO 27001 è preferita quando i clienti, i partner o le autorità di regolamentazione richiedono una certificazione indipendente da parte di terzi, particolarmente comune nei mercati internazionali.
Come minimo, le organizzazioni dovrebbero condurre una revisione formale del framework ogni anno. Tuttavia, diversi fattori dovrebbero richiedere una revisione immediata: incidenti di sicurezza gravi, cambiamenti significativi dell'infrastruttura (cloud , attività di fusione e acquisizione), nuovi requisiti normativi o aggiornamenti della versione del framework. Il passaggio del PCI DSS 4.0 alla conformità continua riflette la tendenza più ampia del settore: le valutazioni puntuali stanno cedendo il passo al monitoraggio e alla convalida continui. La best practice consiste nell'integrare la revisione del quadro normativo nei cicli di governance regolari, con un monitoraggio automatizzato della conformità che garantisca una visibilità continua tra i periodi di revisione formale. La mappatura del quadro di rilevamento (come le valutazioni di copertura ATT&CK) dovrebbe essere rivista trimestralmente o dopo ogni cambiamento significativo nel panorama delle minacce o nello stack di rilevamento.