Norme

Certificazioni IEC 62443-4-2 integrate alle norme ISO 19011 e 27001

Lo scopo della norma suggerisce un controllo efficace per un elevato livello di sicurezza informatica che, però, richiede che gli standard IEC passino anche attraverso le norme ISO

28 Lug 2020

Marco Santarelli

Expert Networks Analysis, Critical Infrastructures, Intelligence, Philosophy of Interaction

Con la nascita del CSIRT, il Computer Security Incident Response Team istituito presso il Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri, le minacce informatiche dovrebbero mitigarsi e, benché ci sia una continua evoluzione del rischio e, conseguentemente, un elevato standard di sicurezza nel momento in cui un attacco cyber ha classificazione “potenzialmente pericoloso”, si potranno seguire degli iter già definiti e diretti a una Business Continuity (continuità operativa) migliore.

Gli standard IEC 62443

Per fare questo si devono attuare delle procedure in base agli standard IEC 62443 e la norma conseguente IEC 62443-4-2. “Quest’ultima appartiene alla famiglia di standard IEC 62443, per la sicurezza informatica dei sistemi IACS (Industrial Automation Control Systems), e in particolare regola la conformità tecnica agli standard di sicurezza informatica dei singoli endpoint, quali PLC (Programmable Logic Controller), sensori, attuatori e via dicendo”.

Al di là degli aspetti tecnici, lo scopo della norma suggerisce un controllo efficace per un elevato livello di sicurezza informatica che, però, potrà essere raggiunto solo con l’implementazione di alti livelli di security sulla sicurezza delle informazioni. Ovvero, per garantire un elevato standard di sicurezza contro le minacce esterne, bisogna aumentare in maniera inequivocabile il livello interno dei dati, ossia il loro grado di protezione nei processi interni, risorse umane e affidabilità dei sistemi. In cosa si traduce? Nel fatto che gli standard IEC devono passare, o è bene che passino, anche se non in maniera necessaria e propedeutica, attraverso le Norme ISO 19011 e 27001.

Integrazione con le norme ISO 19011 e 27001

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Partiamo con l’integrazione della 19011: ovvero l’integrazione con la gestione per la qualità, sistemi di gestione ambientale, sistemi di gestione per la sicurezza, sistemi di gestione per la security e sistemi di gestione per l’energia. Questa ci aiuta attraverso un primo penetration-test a capire la vulnerabilità del sistema e la prima attività è di auditor e lead auditor dei sistemi di gestione qualità, ambiente, sicurezza e security. Si crea, così facendo, un assessment qualitativo, con stima della probabilità di penetrazione nelle reti locali attraverso il personale interno o del security manager interno. Questo approccio ci dà la giusta visibilità sul mercato e un’attenzione alla vulnerabilità dei processi interni. La serie di standard IEC, se deve fare i conti con le Industrial Automation and Control Systems (IACS), deve dal canto suo valutare l’impatto delle informazioni che vengono inserite sia dagli utilizzatori interni sia da quelli finali. Infatti tutto passa dai proprietari della rete e come tale dobbiamo essere in grado di essere dei costruttori non solo dei sistemi di controllo, ma di anche di monitoraggio. La gestione ottimale, quindi, dei rischi si completa con l’attenzione su quelli relativi al sistema di gestione, sicurezza delle informazioni e l’approccio per processi, appunto in termini di completamento, dalla Norma ISO 27001. Quest’ultima definisce gli elementi di valutazione (identificazione, analisi e ponderazione) e trattamento dei rischi e i controlli di sicurezza applicabili proposti dall’Annex A sia della ISO/IEC 27001 che della ISO/IEC 27002. Il modello organizzativo della sicurezza passa quindi il ciclo Plan-Do-Check-Act del miglioramento continuo e correlazione con gli altri standard della famiglia ISO/IEC 27000. Con questo approccio copriamo diverse aree: l’area legale con i riferimenti legislativi attuali (privacy/GDPR, Statuto dei Lavoratori, Dlgs. 231/2001, ecc.) e gli aspetti contrattuali relativi a fornitori, clienti, terze parti; l’area tecnologica e gli elementi di base dell’ICT e della sicurezza delle informazioni e informatica, i controlli di sicurezza per l’ICT, sia la gestione degli incidenti; business continuity, disaster recovery e crisis management.

L’obiettivo è istituire un’area management di spessore e generare gli aspetti organizzativi dell’Information Technology per creare le responsabilità coinvolte nella sicurezza delle informazioni e capire la vulnerabilità, diminuendo sempre più la violazione della sicurezza digitale. In questo ambito una delle discipline che si sta imponendo sempre più è la cyber intelligence: l’interconnessione tra sistemi e piattaforme accresce sempre più il rischio di attacco cyber e ci impone pertanto tecniche difensive che, sfruttando le nuove tecnologie, tra cui big data, fog/cloud computing and virtual environment, algoritmi di ricerca e analisi semantica, riescano a stare al passo delle nuove minacce che, oltre a colpire il web indicizzato, possono arrivare anche ad attaccare deep e dark web.

@RIPRODUZIONE RISERVATA
S
Marco Santarelli
Expert Networks Analysis, Critical Infrastructures, Intelligence, Philosophy of Interaction
Argomenti trattati

Approfondimenti

I
IEC 62443
I
Iso 19001
I
iso 27001
N
norme Iso

Articolo 1 di 5