Con la nascita del CSIRT, il Computer Security Incident Response Team istituito presso il Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri, le minacce informatiche dovrebbero mitigarsi e, benché ci sia una continua evoluzione del rischio e, conseguentemente, un elevato standard di sicurezza nel momento in cui un attacco cyber ha classificazione “potenzialmente pericoloso”, si potranno seguire degli iter già definiti e diretti a una Business Continuity (continuità operativa) migliore.
Indice degli argomenti
Gli standard IEC 62443
Per fare questo si devono attuare delle procedure in base agli standard IEC 62443 e la norma conseguente IEC 62443-4-2. “Quest’ultima appartiene alla famiglia di standard IEC 62443, per la sicurezza informatica dei sistemi IACS (Industrial Automation Control Systems), e in particolare regola la conformità tecnica agli standard di sicurezza informatica dei singoli endpoint, quali PLC (Programmable Logic Controller), sensori, attuatori e via dicendo”.
Al di là degli aspetti tecnici, lo scopo della norma suggerisce un controllo efficace per un elevato livello di sicurezza informatica che, però, potrà essere raggiunto solo con l’implementazione di alti livelli di security sulla sicurezza delle informazioni. Ovvero, per garantire un elevato standard di sicurezza contro le minacce esterne, bisogna aumentare in maniera inequivocabile il livello interno dei dati, ossia il loro grado di protezione nei processi interni, risorse umane e affidabilità dei sistemi. In cosa si traduce? Nel fatto che gli standard IEC devono passare, o è bene che passino, anche se non in maniera necessaria e propedeutica, attraverso le Norme ISO 19011 e 27001.
Integrazione con le norme ISO 19011 e 27001
Partiamo con l’integrazione della 19011: ovvero l’integrazione con la gestione per la qualità, sistemi di gestione ambientale, sistemi di gestione per la sicurezza, sistemi di gestione per la security e sistemi di gestione per l’energia. Questa ci aiuta attraverso un primo penetration-test a capire la vulnerabilità del sistema e la prima attività è di auditor e lead auditor dei sistemi di gestione qualità, ambiente, sicurezza e security. Si crea, così facendo, un assessment qualitativo, con stima della probabilità di penetrazione nelle reti locali attraverso il personale interno o del security manager interno. Questo approccio ci dà la giusta visibilità sul mercato e un’attenzione alla vulnerabilità dei processi interni. La serie di standard IEC, se deve fare i conti con le Industrial Automation and Control Systems (IACS), deve dal canto suo valutare l’impatto delle informazioni che vengono inserite sia dagli utilizzatori interni sia da quelli finali. Infatti tutto passa dai proprietari della rete e come tale dobbiamo essere in grado di essere dei costruttori non solo dei sistemi di controllo, ma di anche di monitoraggio. La gestione ottimale, quindi, dei rischi si completa con l’attenzione su quelli relativi al sistema di gestione, sicurezza delle informazioni e l’approccio per processi, appunto in termini di completamento, dalla Norma ISO 27001. Quest’ultima definisce gli elementi di valutazione (identificazione, analisi e ponderazione) e trattamento dei rischi e i controlli di sicurezza applicabili proposti dall’Annex A sia della ISO/IEC 27001 che della ISO/IEC 27002. Il modello organizzativo della sicurezza passa quindi il ciclo Plan-Do-Check-Act del miglioramento continuo e correlazione con gli altri standard della famiglia ISO/IEC 27000. Con questo approccio copriamo diverse aree: l’area legale con i riferimenti legislativi attuali (privacy/GDPR, Statuto dei Lavoratori, Dlgs. 231/2001, ecc.) e gli aspetti contrattuali relativi a fornitori, clienti, terze parti; l’area tecnologica e gli elementi di base dell’ICT e della sicurezza delle informazioni e informatica, i controlli di sicurezza per l’ICT, sia la gestione degli incidenti; business continuity, disaster recovery e crisis management.
L’obiettivo è istituire un’area management di spessore e generare gli aspetti organizzativi dell’Information Technology per creare le responsabilità coinvolte nella sicurezza delle informazioni e capire la vulnerabilità, diminuendo sempre più la violazione della sicurezza digitale. In questo ambito una delle discipline che si sta imponendo sempre più è la cyber intelligence: l’interconnessione tra sistemi e piattaforme accresce sempre più il rischio di attacco cyber e ci impone pertanto tecniche difensive che, sfruttando le nuove tecnologie, tra cui big data, fog/cloud computing and virtual environment, algoritmi di ricerca e analisi semantica, riescano a stare al passo delle nuove minacce che, oltre a colpire il web indicizzato, possono arrivare anche ad attaccare deep e dark web.
