Nel mese di novembre 2016, il National Institute of Standards and Technology[1] statunitense ha pubblicato un aggiornamento del documento denominato NCWF Cybersecurity Workforce Framework, considerato alla stregua di un manuale che mira a fornire ad aziende ed Enti, elementi idonei a meglio definire le attività che vengono svolte in ambito cyber: tra gli obiettivi principali vi è quello di “aiutare le aziende ad identificare, mantenere, reclutare e sviluppare il talento della sicurezza informatica”, contribuendo in tal modo alla “formazione di personale destinato alla protezione dei dati e dei sistemi”.

Viene così creata una piattaforma dalla quale attingere un lessico comune, grazie al quale verrà facilitata la descrizione e la codificazione delle varie attività che si svolgono nel settore; il framework potrà essere utilizzato anche dalle agenzie governative per classificare il personale che opera nell’ambito della cyber security secondo comuni standard di riferimento.

L’elaborazione del documento è il frutto del progetto NICE acronimo di National Initiative for Cybersecurity Education[2] ed è stato ideato per un uso flessibile da parte delle organizzazioni (aziende/enti) a cui si rivolge per soddisfare molte delle esigenze tecniche nel settore della cyber security con particolare riferimento alla standardizzazione delle posizioni di impiego (sia per quanto concerne quelle già adottate e sia per quelle che saranno oggetto di future candidature per le quali dovranno essere approntati bandi e annunci di lavoro), nonché per lo sviluppo di percorsi di carriera che, nel delineare i compiti, consentano di avere chiaro quali sbocchi professionali e quali progressioni sia possibile percorrere.

Per aderire a queste priorità il framework NCWF è stato suddiviso in:

  • Categories: si tratta di 7 macroaree che raggruppano le principali funzioni nell’ambito della sicurezza informatica;
  • Specialty areas: vi sono  distinte 31 aree di specializzazione di lavoro
  • Work roles: elenca i raggruppamenti più settoriali nell’ambito dell’IT e della sicurezza informatica, comprendenti particolari abilità e competenze necessarie per l’esecuzione di compiti specifici.
  • Tasks: comprende tutte le tipologie riconducibili agli incarichi professionali che possono essere assegnati a professionisti operanti nella cyber security
  • Knowledge, Skills, and Abilities (KSAs): elenca e descrive quali sono le conoscenze, le competenze e le qualità necessarie per eseguire attività specifiche, rilevabili a seguito di esperienza maturata o di formazione acquisita.

Con riferimento ai primi due ambiti, le 7 macroaree e le 31 aree di specializzazione è stato operata una complicata opera di raggruppamento di ambiti lavorativi, apparentemente diversi e/o distanti tra loro ma che coesistono nel panorama della cyber security, come è evidente dal riepilogo sotto riportato.

ANALIZE – area di specializzazione dedicata ai responsabili delle analisi delle informazioni e conseguente valutazione in possibile funzione di intelligence; si suddivide in:

All Source Intelligence

Analizza le informazioni riguardanti le minacce provenienti da diverse fonti, le normative vigenti e le indicazioni specifiche emanate da tutta la Comunità di Intelligence; opera delle sintesi contestualizzando vari scenari previsionali.

Exploitation Analysis

Analizza le informazioni raccolte per identificare le vulnerabilità e il potenziale di sfruttamento.

Targets

Applica metodologie, tecnologie e criteri facenti parte del patrimonio conoscitivo di vari Enti e Paesi.

Threat Analysis

Identifica e valuta le capacità e le attività poste in essere dai criminali informatici/organizzazioni/intelligence avversari; elabora proposte finalizzate alla predisposizione di nuovi strumenti normativi o ne consente una migliore applicazione, fornendo ausilio alle attività investigative, di intelligence e di counter intelligence.

COLLECT AND OPERATE – area dedicata ai responsabili per le operazioni di attacco informatico, preposti alla raccolta di informazioni per la sicurezza informatica e il loro utilizzo per in funzione di intelligence; si suddivide in:

Collection Operations

Attraverso la gestione del processo di raccolta delle informazioni, opera classificazioni in ragione di appropriate strategie.

Cyber Operations

Esegue attività di raccolta prove, relativamente ad attività criminali o poste in essere da intelligence avversarie, al fine di mitigare minacce attuali o future, protezione da attività di spionaggio, sabotaggio, attività terroristiche o a supporto di altre attività di intelligence.

Cyber Operations Planning

Esegue individuazione di obiettivi specifici e processi di pianificazione nel settore cyber;  Raccoglie informazioni e sviluppa dettagliati piani ed ordini di operazione per tutte le tipologie di operazioni sia per le operazioni di informazione e sia per le operazioni in ambito cyber.

INVESTIGATE – Area dedicata ad investigare sulle cause di eventi/crimini informatici ed il rilevamento delle prove; ripartita in:

Digital forensics

Ha compiti di raccolta, elaborazione, conservazione ed analisi delle prove informatiche a supporto delle attività di mitigazione dalle vulnerabilità da reati informatici.

Investigation

Fornisce tattiche, tecniche e procedure standard da applicare a processi investigativi, svolge attività di sorveglianza e verifica dell’applicabilità degli strumenti normativi nel settore.

OPERATE AND MAINTAIN – area destinata a fornire il supporto e la manutenzione necessaria a garantire l’efficienza e la sicurezza dei sistemi IT; è ripartita in:

Customer Service and Technical Support

Preposto alla risoluzione di problematiche tecniche ripristino dei sistemi a seguito di guasti in risposta a specifiche richieste (assistenza clienti a vari livelli).

Data Administration

Sviluppa ed amministra Banche Dati e sistemi di gestioni che consentono la raccolta, l’interrogazione e lo sviluppo dei dati.

Knowledge Management

Responsabile della gestione ed amministrazione dei processi e degli strumenti che consentono l’identificazione, la documentazione e l’accesso al capitale intellettuale ed ai contenuti informativi.

Network Services

Responsabile della gestione e manutenzione delle reti, controllo e predisposizione di hardware e software che consentano la condivisione ad ampio raggio di tutte le attività di trasmissione a sostegno dell’informazione e dei sistemi informativi.

System Administration

Installazione gestione e manutenzione dei server al fine di garantirne la riservatezza, l’integrità e la disponibilità; responsabile della gestione delle password e dei controlli di accesso, della creazione di account e dell’amministrazione dei sistemi.

Systems Security Analysis

Area preposta alla conduzione di test e di operazioni tecniche finalizzate alla manutenzione dei sistemi di sicurezza.

OVERSIGHT AND DEVELOPMENT – Area preposta a fornire il management aziendale indispensabile al coordinamento delle varie figure professionali che possono così svolgere in modo più efficace i compiti nella cyber security, fanno parte di essa, le aree di specializzazione:

Education and training

Responsabile della conduzione della formazione interna: sviluppa, pianifica e coordina i corsi di formazione i metodi e le tecniche usate.

Information Systems Security Operations (Information Systems Security Officer)

Sovrintende I processi di insurance information nell’ambito di sistemi informativi; comprende la figura dell’Information Systems Security Officer.

Legal Advice and Advocacy

Fornisce consulenza legale su una serie di argomenti: inquadramenti giuridici ed aggiornamenti giurisprudenziali

Security Program Management (Chief Information Security Officer)

Gestisce la sicurezza delle informazioni, verifica eventuali implicazioni in seno alle organizzazioni, fornisce programmi specifici in ragione di diverse aree di responsabilità; coordina il personale  nelle pianificazioni di emergenza e nella formazione sugli ambiti di sicurezza.

Strategic Planning and Policy Development

Pianificazione strategica, definizione di obiettivi e priorità.

PROTECT AND DEFEND – area responsabile per l’identificazione, l’analisi e la mitigazione delle minacce in ambito cyber; comprende le seguenti aree di specializzazione:

Computer Network Defense Analysis

In grado di predisporre misure difensive al fine di proteggere le informazioni, i sistemi di raccolta e le reti da minacce informatiche; raccoglie numerose informazioni provenienti da diverse fonti, allo scopo di identificare ed analizzare i principali eventi critici che si verificano nella rete.

Computer Network Defense Infrastructure Support

Amministra le infrastrutture necessarie per garantire in modo efficace la sicurezza della rete informatica; esegue test, fornisce aggiornamenti e servizi di potenziamento delle reti, monitorandone le attività.

Incident Response

Responsabile dell’immediata risposta a fronte di minacce rilevate; predispone tutti gli interventi idonei a mitigare le minacce, conservare i dati e garantire lo svolgimento essenziale dei servizi.

Vulnerability Assessment and Management

Effettua una valutazione delle minacce e delle vulnerabilità, valuta i livelli di rischio; sviluppa e segnala  le contromisure ritenute più idonee alla mitigazione dei rischi in vari contesti.

SECURELY PROVISION – si occupa della sicurezza delle forniture; della progettazione e costruzione di sistemi informatici sicuri; si suddivide in:

Information Assurance Compliance

Preposto alla supervisione ed alla valutazione della documentazione, nonché alla validazione ed all’accredito dei processi necessari affinché i nuovi sistemi siano in grado di soddisfare i massimi requisiti di garanzia e sicurezza.

Software Assurance e Security Engineering

Sviluppa, crea e modifica codici ed applicazioni informatiche, seguendo le migliori best practices

Systems Development

Analizza e verifica lo sviluppo del ciclo di vita dei sistemi informatici.

Systems Requirements Planning

Opera continue consultazioni con i clienti per raccogliere e valutare i requisiti funzionali, traducendo le singole esigenze in soluzioni tecniche.

Systems Security Architecture

Opera sulle capacità dei sistemi di sviluppo; traduce la tecnologia e le condizioni ambientali in sistemi, processi e design di sicurezza.

Technology Research and Development

Conduce la valutazione delle tecnologie e dei processi di integrazione; fornisce e supporta le capacità dei prototipi e ne valuta la oro utilità.

Test and Evaluation

Sviluppa e conduce prove di sistemi per valutarne la conformità mediante l’applicazione di principi e metodi per la pianificazione economica, la validazione dei dati, la verifica e le caratteristiche tecnico-funzionali,  l’interoperabilità dei sistemi.

Il framework NCWF potrà quindi essere utilizzato per una chiara identificazione dei soggetti e delle professionalità attinenti alla cyber security come peraltro è già stato previsto dal Federal Cybersecurity Workforce Assessment Act del 2015[3].

L’obiettivo è quello di dotare le organizzazioni facenti parte del settore pubblico, privato ed accademico di un ausilio di fondamentale importanza che consenta alle loro strutture preposte alla sicurezza informatica, di operare garantendo efficienza, professionalità e qualità ai massimi livelli.

Le stesse organizzazioni potranno così beneficiare di ulteriori strumenti per l’analisi delle dinamiche endogene ed esogene che consentiranno loro di valutare impatti e situazioni attuali, anticipare esigenze future e predisporre le scelte strategiche ritenute più utili.

Un nuovo approccio verso la sicurezza informatica è senza alcun dubbio una risposta vincente per tutti i settori aziendali consapevoli di poter formare una nuova forza lavoro capace di contrastare i mutevoli e pericolosi rischi attuali; e  a beneficiare di tutto questo, non saranno soltanto le singole organizzazioni partecipanti ai progetti, ma l’intero sistema Paese che sta conducendo una politica di sicurezza nel settore, con notevoli sforzi anche in termini di risorse economiche.

Non a caso,  nello stesso periodo di novembre 2016, il Department of Homeland Security, ha rilasciato le linee guida riguardanti la propria politica di sicurezza informatica, per quanto riguarda i dispositivi “intelligenti”.

Il documento si sviluppa in sei principi strategici, attraverso i quali si vuole costruire una difesa nei confronti di hacker e di quei soggetti che operano intrusioni e manomissioni in tali dispositivi.

La “percezione di sicurezza” degli utenti, è un concetto che si sviluppa, in primo luogo, attraverso idonee misure di tutela da parte di chi è proposto alla governance del Paese.


[1] The National Institute of Standards and Technology (NIST) was founded in 1901 and now part of the U.S. Department of Commerce. NIST is one of the nation’s oldest physical science laboratories. Congress established the agency to remove a major challenge to U.S. industrial competitiveness at the time—a second-rate measurement infrastructure that lagged behind the capabilities of the United Kingdom, Germany, and other economic rivals. www.nist.gov/about-nist.

[2]  The National Initiative for Cybersecurity Education (NICE), led by the National Institute of Standards and Technology (NIST), is a partnership between government, academia, and the private sector focused on cybersecurity education, training, and workforce development. The mission of NICE is to energize and promote a robust network and an ecosystem of cybersecurity education, training, and workforce development. NICE fulfills this mission by coordinating with government, academic, and industry partners to build on existing successful programs, facilitate change and innovation, and bring leadership and vision to increase the number of skilled cybersecurity professionals helping to keep our Nation secure. http://csrc.nist.gov/nice.

[3] The Federal Cybersecurity Workforce Assessment Act of 2015 is one of several cybersecurity measures bundled in the new budget, which requires each agency to identify all positions that carry out some kind of cyber function. Agency leaders will assign each position an employment code under the creation of a new National Initiative for Cybersecurity Education. The bill also includes a timeline to implement this project. http://federalnewsradio.com/cybersecurity/2015/12/new-cyber-workforce-guidelines-included-2016-budget.


Pietro Lucania