Che cos'è la CISA?
La Cybersecurity and Infrastructure Security Agency (CISA) è un'agenzia federale che fa parte del Dipartimento della Sicurezza Interna (DHS) degli Stati Uniti responsabile della sicurezza informatica e della protezione delle infrastrutture a tutti i livelli governativi, che coordina i programmi di sicurezza informatica con gli stati degli Stati Uniti e migliora le protezioni di sicurezza informatica del governo contro gli hacker privati e nation-state.
La CISA ha il compito di contribuire alla salvaguardia delle infrastrutture critiche e degli assembramenti pubblici del Paese, rafforzando la capacità delle parti interessate di mitigare i rischi. Per raggiungere questo obiettivo, la CISA guida uno sforzo collaborativo per garantire la sicurezza, la resilienza e l'affidabilità dei sistemi informatici della nazione. La CISA promuove gli sforzi nazionali attraverso la collaborazione con il settore privato, il mondo accademico e i partner governativi per creare una forza lavoro informatica diversificata, promuovere lo sviluppo e l'uso di tecnologie sicure e l'applicazione delle migliori prassi.
Che cos'è Zero Trust?
Come definito dall'Istituto nazionale per gli standard e la tecnologia (NIST) 800-207, "Zero Trust è il termine per un insieme di paradigmi di sicurezza informatica in evoluzione, che eliminano i perimetri statici basati sulla rete per concentrarsi su utenti, strutture e risorse".
Per stabilire le linee guida Zero Trust, il NIST e la Cybersecurity and Infrastructure Security Agency (CISA) hanno esaminato il modo in cui venivano protette le reti federali e il modo in cui i dati e le risorse all'interno di tali reti venivano protetti nell'intero settore.
Il NIST e la CISA hanno concluso che la maggior parte delle organizzazioni dipende fortemente da difese perimetrali, come firewall e VPN, per controllare l'accesso iniziale alle reti. Tuttavia, una volta che gli utenti avevano accesso alla rete, le loro attività non venivano più monitorate o tracciate correttamente. Le tradizionali misure di sicurezza perimetrale generalmente considerano tutti gli utenti come affidabili una volta che si trovano all'interno della rete, compresi gli utenti malintenzionati e gli insider malintenzionati. Zero Trust aiuta le organizzazioni a prevenire le violazioni dei dati e a proteggere le risorse, dando per scontato che nessuna entità sia considerata attendibile all'interno o all'esterno della rete. Zero Trust riconosce che, quando si parla di sicurezza, la fiducia è una vulnerabilità.
Che cos'è il Zero Trust Maturity Model 2.0 della CISA?
Il Zero Trust Maturity Model (ZTMM) della CISA fornisce un approccio per realizzare continui sforzi di modernizzazione in relazione alla "fiducia zero" in un ambiente e in un panorama tecnologico in rapida evoluzione. Questo ZTMM è uno dei tanti percorsi che un'organizzazione può intraprendere per progettare e implementare il proprio piano di transizione verso architetture Zero Trust in conformità con l'Ordinanza Esecutiva (EO) 14028 "Migliorare la sicurezza informatica della nazione" (3)(b)(ii),1 che richiede che le agenzie sviluppino un piano per implementare un'Architettura Zero Trust (ZTA). Sebbene il ZTMM sia concepito appositamente per le agenzie federali, come richiesto dall'EO 14028, tutte le organizzazioni dovrebbero esaminare e prendere in considerazione l'adozione degli approcci delineati nel presente documento.
Quali sono i pilastri del Zero Trust Maturity Model 2.0 della CISA?
Il Zero Trust Maturity Model della CISA è suddiviso in cinque pilastri fondamentali di Zero Trust: identità, dispositivi, reti, applicazioni e carichi di lavoro e dati. Ogni pilastro contiene requisiti che corrispondono ai livelli di maturità (tradizionale, iniziale, avanzato, ottimale).
- Identità: Si concentra sulla verifica e l'autenticazione degli utenti e dei dispositivi associati.
- Dispositivi: Garantisce che i dispositivi siano sicuri e gestiti correttamente, indipendentemente dalla proprietà.
- Reti: Enfatizza la gestione del traffico di rete interno ed esterno, piuttosto che affidarsi esclusivamente alla sicurezza perimetrale.
- Applicazioni e carichi di lavoro: Implementa controlli di accesso granulari e politiche di protezione per applicazioni on-premise e basate su cloud.
- Dati: Monitora in maniera continua e codifica i dati, indipendentemente dal loro stato.
Il ZTMM della CISA supporta inoltre tre funzionalità trasversali:
- Visibilità e analisi: Fornisce informazioni sul traffico di rete e sulla sicurezza.
- Automazione e orchestrazione: Semplifica le attività e automatizza i processi di sicurezza.
- Governance: Stabilisce politiche e standard per la gestione della sicurezza.
Quali organizzazioni possono utilizzare il ZTMM 2.0 della CISA?
Il NIST ZTMM 2.0 è stato sviluppato come guida per le agenzie governative statunitensi per mantenere e migliorare la sicurezza informatica durante la trasformazione digitale dei loro processi e sistemi. Tuttavia, si è dimostrato sufficientemente flessibile da poter essere adottato volontariamente da aziende e organizzazioni grandi e piccole di tutti i settori industriali.
Quali sono le sanzioni in caso di mancato rispetto del ZTMM 2.0 della CISA?
L'adesione al ZTMM della CISA è volontaria. Tuttavia, la prova che un'organizzazione segue le prassi delineate nel quadro di riferimento NIST può fornire un livello di difesa contro le sanzioni e le penali previste in caso di violazione dei dati, dimostrando gli sforzi compiuti in buona fede da un'organizzazione in materia di sicurezza informatica.
Come Thales contribuisce alla conformità al ZTMM 2.0 della CISA?
Le soluzioni Thales possono contribuire alla conformità da parte delle organizzazioni ai requisiti del Zero Trust Maturity Model 2.0 della CISA semplificando la conformità e automatizzando la sicurezza, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità.
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.