Come fa la tua organizzazione a sapere quale quadro di riferimento di sicurezza informatica seguire? Qual è il processo interno che utilizzi per creare un sistema conforme ai protocolli più rilevanti per la tua organizzazione? Circa l'84% delle organizzazioni utilizza un quadro di riferimento di sicurezza informatica e il 44% ne utilizza più di uno.   
 

Cinque quadri di riferimento per la gestione del rischio IT da prendere in considerazione

Innanzitutto, devi determinare quale struttura si allinea alle esigenze della tua azienda e ai requisiti del settore. Anche se un unico quadro di riferimento potrebbe non essere adatto alla tua organizzazione, un confronto incrociato a quadri concorrenti può aiutarti a decidere dove concentrare gli sforzi.  Ecco cinque quadri di riferimento da prendere in considerazione.  
 

ISO 27001 e ISO 27002 

Il catalogo ISO è uno dei principali riferimenti alla gestione del rischio per certificare le capacità e le pratiche delle organizzazioni. Uno degli standard più noti e adottati a livello internazionale all'interno della comunità della sicurezza delle informazioni è l'ISO 27001. Questo quadro di riferimento è stato recentemente revisionato nel 2022 e fornisce indicazioni specifiche e controlli di sicurezza per il trattamento di informazioni finanziarie, proprietà intellettuale, dati dei dipendenti o informazioni a te affidate da terze parti. 

ISO 27002 è una guida complementare per lo standard 27001 che consente agli istituti di stabilire un sistema di gestione della sicurezza delle informazioni (Information Security Management System, ISMS) basato su ISO/IEC 27001. Fornisce informazioni approfondite sui controlli più importanti dello standard 27001 e precisa gli obiettivi di controllo per aiutare le aziende a implementare al meglio il quadro di riferimento all'interno delle loro operazioni. 

Scopri come OneTrust GRC aiuta a rendere operativo il tuo programma di sicurezza delle informazioni.
 

Cybersecurity Maturity Model Certification (CMMC)

La certificazione sul modello di maturità per la sicurezza informatica (Cybersecurity Maturity Model Certification, CMMC) è stata pubblicata a gennaio 2020 e rivista nel 2022. La CMMC offre un modello completo basato sugli ultimi NIST SP 800-171 e NISP SP 800-172. 
 

NIST 800-53 e NIST CFS 

Il National Institute of Standards and Technology (NIST) pubblica una serie di guide dei processi e quadri di riferimento per la gestione del rischio IT. In particolare, ci soffermeremo sul NIST 800-53 e sul NIST CFS. Il NIST 800-53 documenta un solido catalogo di controlli e obiettivi in termini di sicurezza e privacy designati per i sistemi informatici federali degli Stati Uniti al fine di supportare standard di sicurezza informatica all'avanguardia. 

Il quadro di sicurezza informatica NIST (Cybersecurity Framework, CSF) è costituito da standard, linee guida e pratiche e si basa su quadri di riferimento esistenti (tra cui NIST 800-53 e ISO 27000). Tuttavia, offre anche un ambito di controllo mirato insieme a una spiegazione approfondita scritta in linguaggio semplice adatta ai dirigenti non tecnici o ai soggetti della linea di business. 
 

SOC 2 dell'AICIPA 

Sviluppato e pubblicato dall'American Institute of Certified Public Accountants (AICPA), il SOC 2 definisce i criteri per la gestione dei dati dei clienti sulla base di cinque principi fondamentali:  

• sicurezza; 
• disponibilità; 
• integrità del trattamento; 
• riservatezza; 
• privacy. 

Piuttosto che fornire un quadro di riferimento dettagliato per la gestione del rischio IT con controlli predefiniti, le organizzazioni possono definire il proprio set di controlli di sistema e organizzativi (Service and Organization Controls, SOC), incorporarli nelle proprie policy aziendali, verificarne l'efficacia e la progettazione e valutare quanto il modello di controllo soddisfi i cinque principi in base alle operazioni aziendali. 
 

Expression des besoins et identification des objectifs de sécurité (EBIOS) 

L'EBIOS, dal francese ''Expression des Besoins et Identification des Objectifs de Sécurité'' (in italiano ''Espressione dei bisogni e individuazione degli obiettivi di sicurezza'') è un quadro di riferimento per la sicurezza delle informazioni pubblicato e curato in Francia dall'Agence nationale de la sécurité des systèmes d'information (ANSSI), ovvero l'Agenzia nazionale per la sicurezza dei sistemi d'informazione, che risponde al Primo Ministro del paese.   

Il quadro EBIOS è stato sviluppato per le organizzazioni che lavorano direttamente con il Ministero della Difesa per ridurre i rischi e proteggere la gestione delle informazioni riservate o sensibili. Oggi, qualsiasi organizzazione pubblica o privata, o in collaborazione con i programmi di sicurezza informatica esistenti, può trarre vantaggio da un quadro di rischio e conformità.  

Riduci il rischio IT grazie a Compliance Automation

Nessun quadro di riferimento per la gestione del rischio IT è migliore di un altro e ognuno ha i suoi vantaggi e svantaggi. L'importante è scegliere quello che meglio riflette i tuoi obblighi di conformità e le tue esigenze aziendali per proteggere le operazioni dai rischi di sicurezza.  

Una volta creato il quadro di riferimento, devi mantenere i dati sul rischio aggiornati e contestualizzati con le informazioni attuali. Un software di automazione del rischio IT e della conformità può essere d'aiuto.   

La soluzione Tech Risk & Compliance di OneTrust offre le caratteristiche, le funzionalità e le risorse avanzate di cui il tuo team ha bisogno per stare al passo con gli ultimi aggiornamenti sulla conformità. Richiedi subito una demo a uno dei nostri collaboratori.