Il National Institute of Standards and Technology (NIST) ha rilasciato la bozza della pubblicazione speciale (SP) 800-55 Revision 2: Measurement Guide for Security, offrendo indicazioni fondamentali su come misurare e migliorare i programmi di sicurezza informatica delle aziende. La bozza, aperta per commenti pubblici fino al 18 marzo 2024, risponde alle crescenti richieste delle organizzazioni che cercano indicazioni concrete per prendere decisioni basate sui dati e sul rischio per raggiungere gli obiettivi di sicurezza delle informazioni.
Il documento, suddiviso in due volumi, offre una roadmap per sviluppare un programma di misurazione pratico ed efficace della sicurezza delle informazioni. Rivolgendosi sia agli specialisti della sicurezza informatica che ai vertici aziendali, il NIST invita la comunità a contribuire con commenti e feedback per migliorare ulteriormente la guida.
Il primo volume, orientato agli specialisti della sicurezza informatica, fornisce indicazioni sulla priorità, selezione e valutazione delle misure specifiche per determinare l’efficacia della sicurezza in atto. Il secondo volume, rivolto principalmente ai vertici aziendali, presenta un flusso di lavoro in più fasi su come sviluppare e implementare un programma di misurazione della sicurezza delle informazioni nel tempo.
Il NIST sottolinea il passaggio da descrizioni qualitative del rischio a descrizioni quantitative, promuovendo un approccio basato su dati concreti anziché concetti vaghi. Gli autori intendono aiutare le organizzazioni a comunicare attraverso i dati, favorendo una valutazione più precisa degli sforzi di sicurezza.
Il NIST propone la creazione di una Comunità di Interesse (CoI) per coloro interessati alla misurazione della sicurezza delle informazioni. Questa iniziativa mira a condividere competenze, affinare le conoscenze e identificare opportunità di crescita e miglioramento nel campo della sicurezza informatica.
Individui e organizzazioni interessati possono inviare commenti sulla bozza o esprimere l’intenzione di unirsi alla CoI inviando un’e-mail a cyber-measures@list.nist.gov. Il periodo di commento rimarrà aperto fino al 18 marzo 2024. Il NIST auspica una partecipazione attiva dalla comunità per garantire che la guida rifletta appieno le esigenze e le sfide attuali nel campo della sicurezza delle informazioni.
