Con l'aumentare dei rischi per la sicurezza, aumentano anche le leggi e le normative necessarie per mantenere al sicuro i dati della tua organizzazione. Due misure di protezione comuni oggi sono l'ISO 27001 e il NIST CSF.

L'ISO 27001 è uno standard internazionale per migliorare i sistemi di gestione della sicurezza delle informazioni di un'organizzazione, mentre il NIST CSF aiuta a gestire e ridurre i rischi di sicurezza informatica per reti e dati.

Entrambi contribuiscono efficacemente a rafforzare la sicurezza. Tuttavia, il modo in cui approcciano la protezione dei dati è diverso per ciascun quadro di riferimento.

Qui di seguito confrontiamo le similitudini e le differenze tra l'ISO 27001 e il NIST CSF e il modo in cui lavorano insieme per garantire la sicurezza delle informazioni.
 

Che cos'è lo standard ISO 27701?

L'ISO 27001 o l'ISO/IEC 27001 è stato creato dall'Organizzazione internazionale per la normazione (Organization for Standardization, ISO) in collaborazione con la Commissione elettrotecnica internazionale (International Electrotechnical Commission, IEC).

Lo standard è riconosciuto a livello internazionale come uno dei metodi più efficaci per garantire la sicurezza delle informazioni. Descrive i requisiti per stabilire, implementare, mantenere e migliorare continuamente il sistema di gestione della sicurezza delle informazioni (Information Security Management System, ISMS) di un'organizzazione.

Secondo lo standard ISO 27001, la sicurezza delle informazioni include tre elementi fondamentali:

• riservatezza: le informazioni sono rese disponibili solo agli utenti autorizzati;
• integrità: le informazioni sono accurate e complete;
• disponibilità: gli utenti autorizzati hanno accesso alle informazioni quando necessario.
  
  

Le due fasi della certificazione ISO 27001

Il processo di certificazione ISO 27001 prevede due fasi principali.

Fase 1: revisione o audit della documentazione

Un revisore esterno esamina i processi e le policy di un'organizzazione per stabilire se sono in linea con i requisiti dello standard ISO 27001 e se è stato implementato un ISMS. 
 

Fase 2: audit della certificazione

Un revisore conduce una valutazione approfondita in loco per stabilire se l'ISMS di un'organizzazione è conforme allo standard ISO 27001.

Nel caso in cui un'organizzazione dovesse superare questa verifica della conformità, riceverà la certificazione ISO 27001. Tale certificazione è valida per tre anni, durante i quali vengono eseguiti audit di sorveglianza annuali per i primi due anni e un audit di ricertificazione nel terzo anno.
 

Che cos'è il quadro NIST CSF?

Il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) è un insieme di linee guida per tutte le organizzazioni per gestire e ridurre i rischi di sicurezza informatica.

Il NIST CSF è un quadro di riferimento su base volontaria che copre le metodologie di sicurezza informatica e aiuta a comunicare la conformità agli alle parti interessate, sia interne che esterne.
 

Cinque funzionalità del NIST CSF

Il NIST CSF è organizzato in cinque funzionalità principali, che costituiscono la colonna portante del quadro di riferimento.

1. Identificazione: sviluppa una comprensione di come l'organizzazione gestisce i rischi di sicurezza informatica per i sistemi, le persone, gli asset, i dati e le capacità. Esaminando il contesto aziendale, le risorse che supportano le funzioni critiche e i rischi di sicurezza informatica associati, puoi concentrare tutti i tuoi sforzi per allinearti alla strategia di gestione del rischio e alle tue esigenze aziendali.

2. Protezione: stabilisci misure di salvaguardia per garantire la fornitura di servizi di infrastrutture critiche e per limitare o contenere l'impatto negativo di eventi legati alla sicuezza informatica.

3. Rilevamento: implementa attività che aiutino a scoprire e identificare tempestivamente il verificarsi di eventi legati alla sicurezza informatica.

4. Risposta: pianifica le attività da svolgere quando viene rilevato un incidente di sicurezza informatica, tra cui contenere l'impatto negativo sull'organizzazione, notificare le parti interessate, sia interne che esterne, e proseguire con le attività aziendali.

5. Recupero: crea piani per il recupero e il ripristino delle funzioni colpite da un incidente di sicurezza informatica e identifica i miglioramenti raccomandati alle attività di gestione della sicurezza esistenti.

*Inoltre, la bozza proposta del NIST CSF 2.0 aggiunge la funzionalità "Govern" per sottolineare l'importanza della governance della sicurezza informatica.
 

NIST CSF e NIST 800-53 a confronto

Il NIST CSF fornisce un ambito di alto livello e un quadro flessibile che qualsiasi organizzazione può utilizzare per costruire un programma di sicurezza delle informazioni. Il NIST 800-53, invece, è una pubblicazione speciale progettata per aiutare a implementare il NIST CSF nelle aziende private che operano con il governo federale degli Stati Uniti.

Include sia i requisiti del NIST CSF che quelli dello standard ISO 27002, oltre a molti altri, rendendolo uno dei quadri di riferimento per la sicurezza informatica più dettagliati disponibili.

Di conseguenza, agenzie governative come il Federal Information Security Management Act (FISMA) e il Department of Defense Information Assurance Risk Management Framework (DIARMF) fanno molto affidamento sul NIST 800-53.
 

Similitudini tra l'ISO 27001 e il NIST CSF

L'ISO 27001 e il NIST CSF sono quadri di riferimento complementari basati su processi di gestione del rischio simili:

• identificare i rischi per le informazioni delle organizzazioni;
• implementare controlli adeguati al rischio;
• monitorare le prestazioni.

Esistono comunque molti altri punti in comune tra i due. Infatti, un'organizzazione certificata ISO 27001 soddisfa circa l'83% dei requisiti del NIST CSF. Al contrario, un'organizzazione conforme al NIST CSF è già al 61% del percorso verso la certificazione ISO 27001.
 

Differenze tra l'ISO 27001 e il NIST CSF

Nonostante le molte similitudini tra l'ISO 27001 e il NIST CSF, ci sono alcune variazioni notevoli tra i due standard. Di seguito sono riportati alcuni esempi.

Giurisdizione di riferimento: lo standard ISO 27001 è un approccio riconosciuto a livello internazionale per la creazione e il mantenimento di un ISMS, mentre il NIST è stato istituito per aiutare le agenzie e le organizzazioni federali statunitensi a gestire meglio i rischi.

Numero di requisiti: l'allegato A dell'ISO 27001 contiene 93 controlli in quattro sezioni, mentre i quadri NIST hanno diversi cataloghi di controlli e cinque funzionalità per personalizzare i controlli di sicurezza informatica.

Fase operativa e livello tecnico: lo standard ISO 27001 è relativamente meno tecnico, con maggiore enfasi sulla gestione basata sul rischio e sulle organizzazioni che hanno raggiunto la maturità operativa. Il NIST CSF è più tecnico e più adatto alle fasi iniziali di un programma di gestione del rischio di sicurezza informatica o quando si cerca di mitigare una violazione.

Costi previsti: lo standard ISO 27001 prevede una serie di audit e certificazioni più costosi. Il NIST CSF è su base volontaria e consente alle organizzazioni di implementare il quadro al proprio ritmo e con le proprie risorse.
 

Il NIST CSF e l'ISO 27001 possono lavorare insieme

L'ISO 27001 e il NIST CSF affrontano la sicurezza delle informazioni e la gestione del rischio da una prospettiva e un ambito diversi.

Come raccomandazione generale, le organizzazioni che stanno iniziando a costruire il loro programma di sicurezza informatica possono iniziare con il NIST CSF. Aiuta a delineare un quadro chiaro dello stato del loro programma di sicurezza informatica, dopodiché possono sviluppare un processo più sicuro mentre scalano e lavorano per ottenere la certificazione ISO 27001.
 

Per saperne di più, puoi richiedere una demo dello strumento Compliance Automation di OneTrust.