Il Risk Management Framework (RMF) è un insieme di criteri che determinano come i sistemi IT del governo degli Stati Uniti devono essere progettati, protetti e monitorati.

Originariamente sviluppato dal Dipartimento della Difesa (DoD), il RMF è stato adottato dal resto dei sistemi informativi federali degli Stati Uniti nel 2010. Oggi, il National Institute of Standards and Technology (NIST) mantiene il NIST e fornisce una solida base per qualsiasi strategia di sicurezza dei dati.,

L’RMF si basa su diversi framework di gestione del rischio precedenti e include diversi processi e sistemi indipendenti. Richiede che le aziende implementino sistemi di governance dei dati sicuri ed eseguano la modellazione delle minacce per identificare le aree a rischio informatico.

In questa guida, ti guideremo attraverso tutto ciò che devi sapere sul RMF. Analizzeremo i componenti del framework in diverse sezioni:

• Cosa comprende l’RMF?,
• I 5 componenti di gestione del rischio
• I 6 passaggi RMF
• I vantaggi di RMF per le aziende
• Come Varonis può aiutarvi a diventare RMF compliant

Cosa comprende il Risk Management Framework?

Il concetto generale di “risk management” e il “risk management framework” potrebbero sembrare abbastanza simili, ma è importante capire la distinzione tra i due. Il processo di gestione del rischio è specificamente dettagliato dal NIST in diversi quadri sussidiari.

Il più importante è l’elegantemente intitolato “NIST SP 800-37 Rev.,1”, che definisce l’RMF come un processo in 6 fasi per progettare e progettare un processo di sicurezza dei dati per nuovi sistemi IT e suggerisce le migliori pratiche e procedure che ogni agenzia federale deve seguire quando abilita un nuovo sistema.,

Oltre al documento principale SP 800-37, RMF utilizza documenti supplementari SP 800-30, SP 800-53, SP 800-53A e SP 800-137:

• NIST SP 800-30, intitolato Guide for Conducting Risk Assessments, fornisce una panoramica di come la gestione del rischio si inserisce nel ciclo di vita dello sviluppo del sistema (SDLC) e descrive come condurre valutazioni del rischio e come mitigare i rischi.
• NIST SP 800-37 discute il quadro di gestione del rischio stesso e contiene molte delle informazioni che tratteremo nel resto di questa guida.,
• Infine, NIST SP 800-39, intitolato Managing Information Security Risk, definisce l’approccio multi-tiered, a livello organizzativo per la gestione del rischio cruciale per raggiungere la conformità con il RMF.

I 5 componenti di gestione del rischio

Quando si inizia con l’RMF, può essere utile suddividere i requisiti di gestione del rischio in diverse categorie. Queste categorie forniscono un modo di lavorare verso un sistema di gestione del rischio efficace, dall’identificazione dei rischi più critici che si affrontano a come li mitigare.,

Identificazione del rischio

La prima, e probabilmente la più importante, parte del RMF consiste nell’eseguire l’identificazione del rischio. NIST dice, ” i fattori di rischio tipici includono minaccia, vulnerabilità, impatto, probabilità e condizione predisponente.”Durante questo passaggio, analizzerai tutti i possibili rischi che puoi immaginare in tutti i tuoi sistemi e poi li prioritizzerai utilizzando diversi fattori:

• Le minacce sono eventi che potrebbero potenzialmente danneggiare l’organizzazione da intrusione, distruzione o divulgazione.,
• Le vulnerabilità sono punti deboli nei sistemi IT, nella sicurezza, nelle procedure e nei controlli che possono essere sfruttati da cattivi attori (interni o esterni).
• L’impatto è una misura di quanto grave sarebbe il danno per l’organizzazione se una particolare vulnerabilità o minaccia è compromessa.
• La verosimiglianza è una misurazione del fattore di rischio in base alla probabilità di un attacco a una vulnerabilità specifica.,
• Le condizioni predisponenti sono un fattore specifico all’interno dell’organizzazione che aumenta o diminuisce l’impatto o la probabilità che una vulnerabilità entri in gioco.

Misurazione e valutazione del rischio

Una volta identificate le minacce, le vulnerabilità, l’impatto, la probabilità e le condizioni predisponenti, è possibile calcolare e classificare i rischi che l’organizzazione deve affrontare.

Mitigazione del rischio

Le organizzazioni prendono la precedente lista classificata e iniziano a capire come mitigare le minacce dal più grande al meno., Ad un certo punto della lista, l’organizzazione può decidere che i rischi al di sotto di questo livello non vale la pena affrontare, sia perché c’è poca probabilità che tale minaccia venga sfruttata, o se ci sono troppe minacce maggiori da gestire immediatamente per adattare le minacce basse nel piano di lavoro.

Reporting e monitoraggio dei rischi

RMF richiede che le organizzazioni mantengano un elenco di rischi noti e monitorino i rischi noti per la conformità alle politiche., Le statistiche sulle violazioni dei dati indicano che molte aziende non segnalano ancora tutti gli attacchi di successo a cui sono esposte, il che potrebbe avere un impatto sui loro coetanei.

Governance del rischio

Infine, tutti i passaggi precedenti dovrebbero essere codificati in un sistema di governance del rischio.

I 6 passaggi del Risk Management Framework (RMF)

Al livello più ampio, RMF richiede alle aziende di identificare i rischi di sistema e di dati a cui sono esposte e di attuare misure ragionevoli per mitigarli., Il RMF suddivide questi obiettivi in sei fasi interconnesse ma separate.

Categorizzare i sistemi informativi

• Utilizzare gli standard NIST per categorizzare informazioni e sistemi in modo da poter fornire una valutazione accurata del rischio di tali sistemi.
• Il NIST ti dice quali tipi di sistemi e informazioni dovresti includere.
• E quale livello di sicurezza è necessario implementare in base alla categorizzazione.

Riferimenti: Pubblicazione FIPS 199, Standard per la categorizzazione della sicurezza dei sistemi di informazione e informazione federali; Pubblicazione speciale 800-60 Rev., 1 (Volume 1, Volume 2), Guida per mappare i tipi di informazioni e sistemi informativi alla categoria di sicurezza

Selezionare Controlli di sicurezza

Selezionare i controlli di sicurezza appropriati dalla pubblicazione NIST 800-53 per “facilitare un approccio più coerente, comparabile e ripetibile per selezionare e specificare i controlli di sicurezza per i sistemi.”

Riferimenti: Pubblicazione speciale 800-53 Controlli di sicurezza e privacy per i sistemi informativi federali e le organizzazioni ed. nota la versione aggiornata di 800-53 entra in vigore il 23 settembre 2021. Restate sintonizzati per i dettagli.,

Implementare i controlli di sicurezza

Mettere in atto i controlli selezionati nel passaggio precedente e documentare tutti i processi e le procedure necessarie per mantenere il loro funzionamento.

Riferimenti: Più pubblicazioni forniscono le migliori pratiche per implementare i controlli di sicurezza. Dai un’occhiata a questa pagina per cercarli.

Valuta i controlli di sicurezza

Assicurati che i controlli di sicurezza implementati funzionino nel modo necessario in modo da poter limitare i rischi per le tue operazioni e i tuoi dati.,

Autorizza i sistemi informativi

I controlli di sicurezza funzionano correttamente per ridurre il rischio per l’organizzazione? Allora quel controllo su quel sistema è autorizzato! Congratulazioni!

Riferimenti: Pubblicazione speciale 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy

Monitorare i controlli di sicurezza

Monitorare e valutare continuamente i controlli di sicurezza per l’efficacia e apportare modifiche durante il funzionamento per garantire l’efficacia di tali sistemi., Documentare eventuali modifiche, condurre analisi di impatto regolari e segnalare lo stato dei controlli di sicurezza ai funzionari designati.

Riferimenti: Pubblicazione speciale 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy

In che modo un efficace Risk Management Framework può avvantaggiare un’azienda?

Sebbene il RMF sia un requisito per le aziende che lavorano con il governo degli Stati Uniti, l’implementazione di un efficace sistema di gestione del rischio può avvantaggiare qualsiasi azienda., L’obiettivo finale di lavorare per la conformità RMF è la creazione di un sistema di governance dei dati e degli asset che fornirà una protezione a spettro completo contro tutti i rischi informatici che si affrontano.

Più specificamente, lo sviluppo di un quadro pratico di gestione del rischio fornirà un’azienda con diversi vantaggi specifici:

Protezione degli asset

Un quadro efficace di gestione del rischio darà la priorità alla comprensione dei rischi che la tua azienda deve affrontare per adottare le misure necessarie per proteggere i tuoi beni e, Ciò significa che un quadro completo di gestione del rischio ti aiuterà a proteggere i tuoi dati e le tue risorse.

Reputation Management

Reputation management è una parte essenziale delle pratiche commerciali moderne e limitare le conseguenze dannose degli attacchi informatici è parte integrante della garanzia che la tua reputazione sia protetta. I consumatori negli Stati Uniti sono sempre più consapevoli dell’importanza della privacy dei dati, non solo perché le leggi sulla privacy degli Stati Uniti stanno diventando sempre più severe. Una violazione dei dati danneggerà la reputazione della tua azienda., Un efficace quadro di gestione del rischio può aiutare le aziende ad analizzare rapidamente le lacune nei controlli a livello aziendale e a sviluppare una roadmap per ridurre o evitare i rischi reputazionali.

Protezione IP

Quasi ogni azienda dispone di proprietà intellettuale che deve essere protetto, e un quadro di gestione del rischio si applica tanto a questa proprietà come i dati e le risorse. Se vendi, offri, distribuisci o fornisci un prodotto o un servizio che ti offre un vantaggio competitivo, sei esposto a potenziali furti di proprietà intellettuale., Un quadro di gestione del rischio aiuta a proteggere contro potenziali perdite di vantaggio competitivo, opportunità di business e persino rischi legali.

Competitor Analysis

Infine, lo sviluppo di un quadro di gestione del rischio può avere impatti benefici sul funzionamento fondamentale della vostra attività. Catalogando i rischi che affronti e adottando misure per mitigarli, raccoglierai anche una ricchezza di preziose informazioni sul mercato in cui operi, e questo – di per sé – può darti un vantaggio competitivo rispetto ai tuoi coetanei.

In che modo Varonis può aiutarti a essere conforme?,

Il regolamento NIST e l’RMF (infatti, molti degli standard di sicurezza dei dati e delle normative di conformità) hanno tre aree in comune:

• Identificare i dati e i sistemi sensibili e a rischio (inclusi utenti, autorizzazioni, cartelle, ecc.);
• Proteggere i dati, gestire l’accesso, e ridurre al minimo la superficie di rischio;
• Monitorare e rilevare ciò che sta accadendo su quei dati, che sta accedendo, e identificare quando c’è un comportamento sospetto o attività di file insolito.,

La piattaforma Varonis Data Security consente alle agenzie federali di gestire (e automatizzare) molte delle raccomandazioni e dei requisiti del RMF.

DatAdvantage and Data Classification Engine identifica i dati sensibili negli archivi dati principali e mappa le autorizzazioni utente, gruppo e cartella in modo da poter identificare dove si trovano i dati sensibili e chi può accedervi. Sapere chi ha accesso ai tuoi dati è una componente chiave della fase di valutazione del rischio, definita in NIST SP 800-53.,

Data security analytics aiuta a soddisfare il requisito NIST SP 800-53 di monitorare costantemente i dati: Varonis analizza miliardi di eventi da attività di accesso ai dati, VPN, DNS e attività proxy e Active Directory e crea automaticamente profili comportamentali per ogni utente e dispositivo. I modelli di minacce basati sull’apprendimento automatico identificano in modo proattivo comportamenti anomali e potenziali minacce come ransomware, malware, attacchi di forza bruta e minacce interne.

NIST SP 800-137 stabilisce le linee guida per proteggere i dati e richiede che l’agenzia soddisfi un modello con privilegi minimi., Superfici DatAdvantage in cui gli utenti hanno accesso che potrebbero non essere più necessari in base. Automation Engine può ripulire le autorizzazioni e rimuovere automaticamente i gruppi di accesso globali. DataPrivilege semplifica le autorizzazioni e la gestione degli accessi designando i proprietari dei dati e automatizzando le revisioni dei diritti.

Mentre il quadro di gestione del rischio è complesso in superficie, in definitiva è un approccio logico e senza fronzoli alle buone pratiche di sicurezza dei dati-vedere come Varonis può aiutare a soddisfare le linee guida NIST SP 800-37 RMF oggi.,

Un’ultima parola

Lavorare per la conformità RMF non è solo un requisito per le aziende che lavorano con il governo degli Stati Uniti. Se implementate una strategia di valutazione del rischio e di governance in modo efficace, può anche fornirvi numerosi vantaggi operativi.

L’obiettivo principale dei processi RMF dovrebbe essere l’integrità dei dati perché è probabile che le minacce ai dati siano le più critiche che la tua azienda deve affrontare. Ecco perché abbiamo creato la nostra suite software Varonis con funzionalità che consentono di implementare in modo rapido ed efficace un processo di valutazione del rischio e governance.