I limiti degli standard NIST e ISO2700x

Gli standard ed i framework di sicurezza informatica sono raccomandazioni ben organizzate per proteggere “con metodo” una infrastruttura aziendale e ridurre i rischi per la sicurezza informatica. Di standard ce ne sono a dozzine, ma i più popolari sono il framework di sicurezza informatica NIST e ISO 2700x.


Generalmente includono raccolte di politiche, concetti di sicurezza, approcci di gestione del rischio, azioni, formazione e strumenti. Ciò aiuta board ed IT-manager a comprendere le priorità ed il corretto utilizzo degli investimenti per raggiungere i livelli desiderati di sicurezza informatica.



Il grande limite degli standard è che misurano le capacità, non i risultati


Il limite maggiore dei modelli di maturità e degli standard è che misurano le capacità, ovvero “quanto stanno facendo in azienda per la sicurezza informatica”, ma non misura i risultati ottenuti con tale sforzo. Infatti, man mano che le aziende raggiungono una maggiore maturità, questi modelli, framework e standard iniziano a perdere di valore. Un esempio: intorno a un livello di maturità di 2,5, gli standard non aiutano più l’azienda ad individuare “the next step” di priorità sui sul quale concentrare il prossimo investimento.

I modelli di maturità hanno aiutato le azienda e gli IT-Manager a comprendere le priorità basiche e ad investire il primo budget disponibile di cyber-security nella giusta direzione, e ciò è ammirevole.

I dati di maturità di Gartner per tutti i settori aziendali indicano una media concentrata tra 2,6 e 3,6 per tutti i settori. Ora le aziende hanno bisogno di qualcosa di più potente: metriche basate sui risultati ottenuti nella cyber-security aziendale.



Metriche basate sui risultati ottenuti nella cyber-security aziendale


Le aziende faticano a determinare il giusto livello di protezione informatica e quindi di investimento. Nel 2020, gli audit di sicurezza tipici si concentrano sulla verifica di “presenta dei controlli”. Una valutazione di uno standard di audit per il NIST Cybersecurity Framework ha mostrato che il 73% delle domande di audit è correlato alla presenza dei controlli, non alle loro prestazioni o ai livelli di protezione.

Le metriche basate sui risultati di cyber-security ottenuti riflettono il grado di protezione raggiunto, il risultato, di un'organizzazione, non il modo in cui è protetta. Tali metriche devono essere riportate periodicamente al board per permettere decisioni di nuove azioni, di budget, quindi di governance di cybersecurity.

Esattamente come qualsiasi metrica di Business Intelligence, anche le metriche sui risultati raggiunti nella cyber-security aziendale servono per prendere decisioni data-driven, velocemente e corrette.



10 metriche di cyber-security


  1. Security rating

  2. Average vendor security rating over time

  3. Average industry security rating

  4. Intrusion attempts within a given period

  5. Patching cadence

  6. Mean time to detect

  7. Mean time to resolve

  8. Backup frequency

  9. Phishing test success rate

  10. Security awareness training scores

Scarica ora ZERO-TRUST WHITE PAPER
Per vedere tutte le tipologie di attacchi evoluti che i sistemi di difesa classici non fermano.
Trovi anche le info dettagliate sull’innovativo approccio ZERO TRUST.

La tua richiesta è stata inoltrata!