Effettua la tua ricerca
More results...
Carta di credito con fido
Procedura celere
Con l’aumentare dei rischi per la sicurezza, aumentano anche le leggi e le normative necessarie per mantenere al sicuro i dati della tua organizzazione. Due misure di protezione comuni oggi sono l’ISO 27001 e il NIST CSF.
L’ISO 27001 è uno standard internazionale per migliorare i sistemi di gestione della sicurezza delle informazioni di un’organizzazione, mentre il NIST CSF aiuta a gestire e ridurre i rischi di sicurezza informatica per reti e dati.
Entrambi contribuiscono efficacemente a rafforzare la sicurezza. Tuttavia, il modo in cui approcciano la protezione dei dati è diverso per ciascun quadro di riferimento.
Prestito condominio
per lavori di ristrutturazione
Qui di seguito confrontiamo le similitudini e le differenze tra l’ISO 27001 e il NIST CSF e il modo in cui lavorano insieme per garantire la sicurezza delle informazioni.
Che cos’è lo standard ISO 27701?
L’ISO 27001 o l’ISO/IEC 27001 è stato creato dall’Organizzazione internazionale per la normazione (Organization for Standardization, ISO) in collaborazione con la Commissione elettrotecnica internazionale (International Electrotechnical Commission, IEC).
Lo standard è riconosciuto a livello internazionale come uno dei metodi più efficaci per garantire la sicurezza delle informazioni. Descrive i requisiti per stabilire, implementare, mantenere e migliorare continuamente il sistema di gestione della sicurezza delle informazioni (Information Security Management System, ISMS) di un’organizzazione.
Secondo lo standard ISO 27001, la sicurezza delle informazioni include tre elementi fondamentali:
- riservatezza: le informazioni sono rese disponibili solo agli utenti autorizzati;
- integrità: le informazioni sono accurate e complete;
- disponibilità: gli utenti autorizzati hanno accesso alle informazioni quando necessario.
Le due fasi della certificazione ISO 27001
Il processo di certificazione ISO 27001 prevede due fasi principali.
Fase 1: revisione o audit della documentazione
Un revisore esterno esamina i processi e le policy di un’organizzazione per stabilire se sono in linea con i requisiti dello standard ISO 27001 e se è stato implementato un ISMS.
Fase 2: audit della certificazione
Un revisore conduce una valutazione approfondita in loco per stabilire se l’ISMS di un’organizzazione è conforme allo standard ISO 27001.
Nel caso in cui un’organizzazione dovesse superare questa verifica della conformità, riceverà la certificazione ISO 27001. Tale certificazione è valida per tre anni, durante i quali vengono eseguiti audit di sorveglianza annuali per i primi due anni e un audit di ricertificazione nel terzo anno.
Finanziamenti personali e aziendali
Prestiti immediati
Che cos’è il quadro NIST CSF?
Il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) è un insieme di linee guida per tutte le organizzazioni per gestire e ridurre i rischi di sicurezza informatica.
Il NIST CSF è un quadro di riferimento su base volontaria che copre le metodologie di sicurezza informatica e aiuta a comunicare la conformità agli alle parti interessate, sia interne che esterne.
Cinque funzionalità del NIST CSF
Il NIST CSF è organizzato in cinque funzionalità principali, che costituiscono la colonna portante del quadro di riferimento.
1. Identificazione: sviluppa una comprensione di come l’organizzazione gestisce i rischi di sicurezza informatica per i sistemi, le persone, gli asset, i dati e le capacità. Esaminando il contesto aziendale, le risorse che supportano le funzioni critiche e i rischi di sicurezza informatica associati, puoi concentrare tutti i tuoi sforzi per allinearti alla strategia di gestione del rischio e alle tue esigenze aziendali.
2. Protezione: stabilisci misure di salvaguardia per garantire la fornitura di servizi di infrastrutture critiche e per limitare o contenere l’impatto negativo di eventi legati alla sicuezza informatica.
3. Rilevamento: implementa attività che aiutino a scoprire e identificare tempestivamente il verificarsi di eventi legati alla sicurezza informatica.
4. Risposta: pianifica le attività da svolgere quando viene rilevato un incidente di sicurezza informatica, tra cui contenere l’impatto negativo sull’organizzazione, notificare le parti interessate, sia interne che esterne, e proseguire con le attività aziendali.
Prestito personale
Delibera veloce
5. Recupero: crea piani per il recupero e il ripristino delle funzioni colpite da un incidente di sicurezza informatica e identifica i miglioramenti raccomandati alle attività di gestione della sicurezza esistenti.
*Inoltre, la bozza proposta del NIST CSF 2.0 aggiunge la funzionalità “Govern” per sottolineare l’importanza della governance della sicurezza informatica.
NIST CSF e NIST 800-53 a confronto
Il NIST CSF fornisce un ambito di alto livello e un quadro flessibile che qualsiasi organizzazione può utilizzare per costruire un programma di sicurezza delle informazioni. Il NIST 800-53, invece, è una pubblicazione speciale progettata per aiutare a implementare il NIST CSF nelle aziende private che operano con il governo federale degli Stati Uniti.
Include sia i requisiti del NIST CSF che quelli dello standard ISO 27002, oltre a molti altri, rendendolo uno dei quadri di riferimento per la sicurezza informatica più dettagliati disponibili.
Di conseguenza, agenzie governative come il Federal Information Security Management Act (FISMA) e il Department of Defense Information Assurance Risk Management Framework (DIARMF) fanno molto affidamento sul NIST 800-53.
Similitudini tra l’ISO 27001 e il NIST CSF
L’ISO 27001 e il NIST CSF sono quadri di riferimento complementari basati su processi di gestione del rischio simili:
Sconto crediti fiscali
Finanziamenti e contributi
- identificare i rischi per le informazioni delle organizzazioni;
- implementare controlli adeguati al rischio;
- monitorare le prestazioni.
Esistono comunque molti altri punti in comune tra i due. Infatti, un’organizzazione certificata ISO 27001 soddisfa circa l’83% dei requisiti del NIST CSF. Al contrario, un’organizzazione conforme al NIST CSF è già al 61% del percorso verso la certificazione ISO 27001.
Differenze tra l’ISO 27001 e il NIST CSF
Nonostante le molte similitudini tra l’ISO 27001 e il NIST CSF, ci sono alcune variazioni notevoli tra i due standard. Di seguito sono riportati alcuni esempi.
Giurisdizione di riferimento: lo standard ISO 27001 è un approccio riconosciuto a livello internazionale per la creazione e il mantenimento di un ISMS, mentre il NIST è stato istituito per aiutare le agenzie e le organizzazioni federali statunitensi a gestire meglio i rischi.
Numero di requisiti: l’allegato A dell’ISO 27001 contiene 93 controlli in quattro sezioni, mentre i quadri NIST hanno diversi cataloghi di controlli e cinque funzionalità per personalizzare i controlli di sicurezza informatica.
Fase operativa e livello tecnico: lo standard ISO 27001 è relativamente meno tecnico, con maggiore enfasi sulla gestione basata sul rischio e sulle organizzazioni che hanno raggiunto la maturità operativa. Il NIST CSF è più tecnico e più adatto alle fasi iniziali di un programma di gestione del rischio di sicurezza informatica o quando si cerca di mitigare una violazione.
Costi previsti: lo standard ISO 27001 prevede una serie di audit e certificazioni più costosi. Il NIST CSF è su base volontaria e consente alle organizzazioni di implementare il quadro al proprio ritmo e con le proprie risorse.
Il NIST CSF e l’ISO 27001 possono lavorare insieme
L’ISO 27001 e il NIST CSF affrontano la sicurezza delle informazioni e la gestione del rischio da una prospettiva e un ambito diversi.
Finanziamenti personali e aziendali
Prestiti immediati
Come raccomandazione generale, le organizzazioni che stanno iniziando a costruire il loro programma di sicurezza informatica possono iniziare con il NIST CSF. Aiuta a delineare un quadro chiaro dello stato del loro programma di sicurezza informatica, dopodiché possono sviluppare un processo più sicuro mentre scalano e lavorano per ottenere la certificazione ISO 27001.
Per saperne di più, puoi richiedere una demo dello strumento Compliance Automation di OneTrust.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
