ProcessFrame consente alle organizzazioni di adattare il Framework Nazionale per la Cybersecurity e la Data Protection alle proprie esigenze, contestualizzandone l'utilizzo così come indicato dalla "Metodologia per il cybersecurity assessment con il Framework". Successivamente possono essere registrati nel sistema gli esiti dei controlli con le relative variazioni nel tempo e gestite le azioni di miglioramento individuate.
Contestualizzazione del framework NIS
Il framework NIS è precaricato in ProcessFrame; la contestualizzazione avviene tramite:
- Rimozione di categorie e/o sottocategorie non rilevanti;
- Definizione di classe (Libera, Consigliata, Obbligatoria) e priorità (Alta, Media, Bassa);
- Indicazione del livello di maturità atteso sulla base dei 5 livelli definiti dal CMM1: Libero, Ripetibile, Definito, Gestibile, Ottimizzato.
Creazione e gestione checklist di controllo
Per ogni elemento del framework presente nella contestualizzazione, è possibile definire il sistema delle checklist (questionari di controllo) per identificare il livello di copertura dell'obiettivo di maturità identificato come target.
Le checklist possono essere pianificate e attribuite come responsabilità agli auditor incaricati di compilare i questionari. Per tutte le checklist che non hanno raggiunto il livello di copertura degli obiettivi desiderato è possibile ripianificare una nuova compilazione a valle delle azioni di miglioramento indicate, per verificarne l'efficacia.
Inoltre, nel caso di variazioni di tipo organizzativo e/o tecnologico rilevanti, o a maggior ragione nel caso in cui gli obiettivi di maturità e copertura venissero rivisti, è possibile rivedere i questionari e pianificare nuove sessioni di controllo.
Azioni di mitigazione e miglioramento
L'identificazione di aree di miglioramento o di inadeguata copertura degli obiettivi di maturità richiesti prevede la registrazione a sistema di azioni di mitigazione o miglioramento, con l'indicazione di responsabili e scadenza.
Ove opportuno, queste azioni possono essere sottoposte ad un workflow approvativo, allo scopo di verificarne la priorità e la compatibilità con i piani di sviluppo dell'Azienda. Il sistema gestisce lo scadenziario delle azioni e consente al management di monitorare l'andamento delle stesse.