CSC 8.1: cosa è cambiato

Indice

Ad agosto 2024 il CIS (Center for Internet Security) ha pubblicato l’aggiornamento dei Critical Security Controls di cui abbiamo parlato in questo sito. Le modifiche non sono solo formali, di seguito la descrizione sui cambiamenti apportati:

La versione 8.1 dei CIS Controls (v8.1) è un aggiornamento iterativo della versione 8.0. Come parte del nostro processo di evoluzione dei CIS Controls, stabiliamo dei “principi di progettazione” che ci guidano in qualsiasi aggiornamento, sia minore che maggiore, del documento. I nostri principi di progettazione per questa revisione sono contesto, chiarezza e coerenza. Il contesto amplia la portata e l’applicabilità pratica delle Salvaguardie, incorporando esempi specifici e ulteriori spiegazioni. La chiarezza si allinea, per quanto possibile, con altri principali framework di sicurezza, preservando al contempo le caratteristiche uniche dei CIS Controls. La coerenza garantisce la continuità per gli utenti esistenti dei CIS Controls, assicurando che ci siano poche o nessuna modifica a seguito di questo aggiornamento. Ecco i principali cambiamenti che abbiamo apportato per ciascun principio di progettazione:

Contesto
Abbiamo aggiornato i CIS Controls con nuove classi di asset per meglio corrispondere alle specifiche parti dell’infrastruttura di un’impresa a cui si applica ciascuna Salvaguardia. Le nuove classi richiedono nuove definizioni, quindi abbiamo anche migliorato le descrizioni di diverse Salvaguardie per maggiore dettaglio, praticità e chiarezza.

Coesistenza
I CIS Controls sono sempre stati allineati con gli standard e i framework del settore in continua evoluzione e continueranno a farlo. Questo aiuta tutti gli utenti dei Controls ed è un principio fondamentale di come operano i Controls. Il rilascio della versione 2.0 del NIST CSF ha reso necessarie mappature e funzioni di sicurezza aggiornate.

Coerenza
Tradizionalmente, qualsiasi aggiornamento iterativo dei CIS Controls dovrebbe minimizzare le interruzioni per gli utenti. Ciò significa che nessun Gruppo di Implementazione è stato modificato in questo aggiornamento, e lo spirito di ogni Salvaguardia rimane lo stesso. Inoltre, le nuove classi di asset e definizioni dovevano essere applicate in modo coerente in tutto il documento, e in questo processo sono stati apportati alcuni aggiornamenti minori.

Tenendo presente questi principi, abbiamo definito l’ambito degli aggiornamenti per i CIS Controls v8.1 come segue:

  • Riallineamento delle mappature delle funzioni di sicurezza del NIST CSF per corrispondere al NIST CSF 2.0.
  • Inclusione di nuove ed espanse definizioni del glossario per parole riservate utilizzate in tutto il documento (es. piano, processo, dati sensibili).
  • Revisione delle classi di asset, con nuove mappature alle Salvaguardie.
  • Correzione di piccoli errori di battitura nelle descrizioni delle Salvaguardie.
  • Aggiunta di chiarimenti a descrizioni di Salvaguardie poco dettagliate.

Un miglioramento chiave nella mappatura dei CIS Controls v8.1 è l’aggiunta della funzione di sicurezza “Governance”. Una governance efficace fornisce la struttura necessaria per orientare un programma di cybersecurity verso il raggiungimento degli obiettivi aziendali. I Controls sono stati progettati per essere abbastanza completi da proteggere e difendere i programmi di cybersecurity di aziende di qualsiasi dimensione, pur essendo abbastanza prescrittivi da facilitare l’implementazione. Con l’aggiornamento ai CIS Controls v8.1, gli argomenti di governance sono ora specificamente identificati come raccomandazioni che possono essere implementate per migliorare la governance di un programma di cybersecurity. Questo aiuterà i nostri adottanti a identificare meglio gli elementi di governance del programma e a dotarli delle prove necessarie per dimostrare la conformità.

I CIS Controls mirano a semplificare il processo di progettazione, implementazione, misurazione e gestione della sicurezza aziendale. Questo comporta la semplificazione del linguaggio per ridurre le duplicazioni, concentrandosi su azioni misurabili con metriche definite, e garantendo che ogni Salvaguardia sia chiara e concisa. CIS continua a bilanciare la necessità di affrontare le sfide attuali della cybersecurity mantenendo una strategia di difesa informatica stabile e di base, evitando tecnologie eccessivamente complesse o inaccessibili. La tecnologia è in costante evoluzione e il team dei CIS Controls è consapevole degli sviluppi in ambiti come l’intelligenza artificiale, la realtà aumentata e il computing ambientale, che stanno rimodellando l’infrastruttura aziendale in modi sottili e radicali. Stiamo tenendo gli occhi ben aperti e lavoriamo già su idee per la versione 9 dei CIS Controls.