SECURITY

OT Security

RICHIEDI INFORMAZIONI
Approfondimento

Il rischio connesso alla Cybersecurity aziendale è diventata una delle preoccupazioni maggiori da parte degli stakeholders aziendali. La proliferazione di sistemi di produzione integrata (con i loro componenti Cyber Physical Systems) ha determinato l’espansione della superficie di attacco in maniera incontrollata, rendendo le aziende sempre più dipendenti dall’integrità e dalla disponibilità dei dati all’interno del perimetro dei dispositivi industriali. La preoccupazione per la resilienza dei sistemi industriali agli incidenti informatici è arrivata fino al legislatore, che nel 2018 ha varato la direttiva NIS, che impone a tutte una serie di attività produttive l’implementazione di un framework di governance della Cybersecurity.

Il Framework di sicurezza universalmente riconosciuto come il più efficace nell’indirizzare i rischi relativi alla Cybersecurity Industriale è quello descritto nella direttiva NIST 800-82.

La direttiva NIST 800-82 rappresenta lo stato dell’arte nel campo della sicurezza informatica in ambito industriale ed il framework di riferimento tecnico per tutta un’altra serie di normative e adempimenti (ad esempio la direttiva NIS), per cui l’analisi dello stato dell’infrastruttura di Operational Technology in ottica NIST 800-82 è un passaggio fondamentale anche per le aziende che non sono soggette alla direttiva NIS.

Qualsiasi tipologia di governance della Cybersecurity prevede una prima fase di valutazione dell’AS-IS relativo, valutazione che costituisce le fondamenta dell’implementazione efficace di un piano di Cybersecurity Management che possa determinare un rating aziendale alto. Data la diffusione e la accettazione generale del framework NIST 800-82, la valutazione dell’AS-IS in questa ottica è determinata dall’esecuzione di un’attività di audit NIST 800-82: questa attività è efficace nel valutare la distanza dell’azienda dall’implementazione del framework di sicurezza NIST 800-82 e nel valutare l’effort organizzativo ed economico richiesto per l’adeguamento (e quindi per l’ottenimento di un alto rating di Cybersecurity).

Attività comprese nella redazione di un audit NIST 800-82

Attività previste:

  • Inventario dispositivi
  • Presenza documentazione di installazione, configurazione, audit
  • Procedure di configurazione dei dispositivi
  • Policy e procedure di assegnazione dei ruoli, responsabilità e dei livelli di accesso, identificazione e autorizzazione (restrizione degli accessi)
  • Policy e procedure di assegnazione dei dispositivi
  • Formazione del personale (livello di awareness)
  • Change management
  • Fault tolerance
  • Risk management
  • Incident response e digital forensics
  • Gestione fornitori
  • Gestione ospiti
  • Policy patching ed aggiornamenti
  • Sicurezza fisica presso sedi e punti di rilevamento
  • Gestione base dati (B server ecc)
  • ICS Security Architecture network mapping, subnetting, segregation, Wifi, firewall,
  • Policy di sicurezza (password, protocolli, cifratura)
  • Identificazione e valutazione Servizi esposti
  • Comunicazioni e connessioni (remote desktop, vpn)
  • Monitoraggio continuo (IDS)
  • Audit
  • VA e verifica manuale
  • Proactive intelligence
  • Backup e disaster recovery
  • Documentazione del network, identificazione degli apparati e delle modalità di connessione (rete, cavo, fibra, wifi, gsm, gprs, linea Telefonica)
  • Identificazione livelli di criticità e dei sistemi critici
  • Identificazione protocolli di comunicazione
  • Separazione logica e fisica delle reti sensori / uffici
  • Individuazione sotto reti
  • Valutazione regole di accesso alle sottoreti (fw, router)
  • Verifica presenza alert in caso di mancanza di contatti per tot tempo (es. Guasto apparato, jammer, altro)
  • Valutazione vulnerabilità conosciute per modello
  • Verifica applicazione patch per vendor
  • Verifica dell’implementazione delle configurazioni di sicurezza possibili sul singolo apparato
  • Verifica presenza sulla rete di eventuali apparati non necessari
  • Applicazione principi defense in deep, livelli supplementary di sicurezza (es. Vpn, autenticazione, cifratura)
  • Individuazione single point of failure
  • Verifica possibilità di accesso remote agli apparati con chiamata diretta invece di call back

Deliverables:

  • Consegna Report
  • Analisi delle evidenze
  • Identificazione del livello di rischio
  • Support alla redazione delle Policy
  • Reports e Remediation Plan
  • Audit post Remediation
Approfondimento SECURITY

Security Awareness Program


Approfondimento SECURITY

Perimetral & Application Protection


Approfondimento SECURITY

End Point Protection


Approfondimento SECURITY

Certificazioni