Il rischio connesso alla Cybersecurity aziendale è diventata una delle preoccupazioni maggiori da parte degli stakeholders aziendali. La proliferazione di sistemi di produzione integrata (con i loro componenti Cyber Physical Systems) ha determinato l’espansione della superficie di attacco in maniera incontrollata, rendendo le aziende sempre più dipendenti dall’integrità e dalla disponibilità dei dati all’interno del perimetro dei dispositivi industriali. La preoccupazione per la resilienza dei sistemi industriali agli incidenti informatici è arrivata fino al legislatore, che nel 2018 ha varato la direttiva NIS, che impone a tutte una serie di attività produttive l’implementazione di un framework di governance della Cybersecurity.
Il Framework di sicurezza universalmente riconosciuto come il più efficace nell’indirizzare i rischi relativi alla Cybersecurity Industriale è quello descritto nella direttiva NIST 800-82.
La direttiva NIST 800-82 rappresenta lo stato dell’arte nel campo della sicurezza informatica in ambito industriale ed il framework di riferimento tecnico per tutta un’altra serie di normative e adempimenti (ad esempio la direttiva NIS), per cui l’analisi dello stato dell’infrastruttura di Operational Technology in ottica NIST 800-82 è un passaggio fondamentale anche per le aziende che non sono soggette alla direttiva NIS.
Qualsiasi tipologia di governance della Cybersecurity prevede una prima fase di valutazione dell’AS-IS relativo, valutazione che costituisce le fondamenta dell’implementazione efficace di un piano di Cybersecurity Management che possa determinare un rating aziendale alto. Data la diffusione e la accettazione generale del framework NIST 800-82, la valutazione dell’AS-IS in questa ottica è determinata dall’esecuzione di un’attività di audit NIST 800-82: questa attività è efficace nel valutare la distanza dell’azienda dall’implementazione del framework di sicurezza NIST 800-82 e nel valutare l’effort organizzativo ed economico richiesto per l’adeguamento (e quindi per l’ottenimento di un alto rating di Cybersecurity).
Attività comprese nella redazione di un audit NIST 800-82
Attività previste:
Deliverables: