Table of Contents Table of Contents
Previous Page  64 / 84 Next Page
Information
Show Menu
Previous Page 64 / 84 Next Page
Page Background

Fieldbus & Networks

di

Giancarlo Carlucci

Sicurezza

Foto tratta da www.pixabay.com

esigenza di mantenere sicuri i

sistemi di controllo è sempre

più una priorità per le appli-

cazioni industriali: di recente

infatti si sono verificati cyber-

attacchi di alto profilo, che hanno colpito

infrastrutture critiche; sono aumentate

le vulnerabilità scoperte nei componenti;

le tecniche di hacking si sono fatte sem-

pre più accessibili… Nonostante questo,

convincere il management a investire in

cybersecurity è spesso difficile perché tipi-

camente manca una sensibilità tecnologica

che vede questo eventuale gap come una

necessità fondamentale al buon funziona-

mento degli asset. A questo aggiungiamo

anche che, se c’è una cosa che tutte le

aziende hanno in comune, è la disponibilità

limitata di risorse, siano esse ore-uomo

o capitali. In questo contesto, i progetti per

la cybersecurity sono trattati come gli altri,

nei piani complessivi che stabiliscono le

priorità di investimento anno per anno, con

periodiche revisioni: perché siano sostenuti

bisogna presentare la proposta sotto forma

di un ‘business case’.

Costruire,

un ‘business case’

Un business case tipicamente comprende

tre elementi chiave: la stima economica

dei risultati del progetto, che può essere

un aumento delle vendite, minori costi,

una combinazione delle due…; il costo

di implementazione del progetto; una for-

mula che permetta al management di cre-

are, a partire dai due dati precedenti, una

valutazione finanziaria del progetto. Tutti i

progetti vengono confrontati con gli stessi

criteri per arrivare alla sceltamigliore. È evi-

dente, quindi, quanto è fondamentale saper

trattare in questo modo anche i progetti di

cybersecurity. La cosa presenta però alcune

difficoltà. Prima di tutto, fare una stima delle

spese di progetto non è semplice: quanto

costerà a un’azienda rendere sicura la rete

di controllo? È una domanda complessa,

complicata ulteriormente dal fatto che è

necessario un Capex per rispondere corret-

tamente. Uno step fondamentale è la cre-

azione di un ‘piano’ per la security, il quale

deve rispondere a ciò che, più in generale,

è la ‘politica’ di sicurezza aziendale. Il piano

di security potrebbe diventare una voce di

costo molto onerosa, in quanto esso defi-

nisce una lista dettagliata di cambiamenti

che potrebbero dover essere introdotti per

migliorare la sicurezza, quali modifiche

dell’architettura di rete, acquisto di device,

creazione e implementazione di policy di

corporate security, formazione del perso-

nale. Creare un piano di sicurezza è un pro-

getto in sé, e richiede una serie di attività,

ovvero: fare un audit di rete per scoprire tutti

gli elementi connessi alla rete e associarli ai

percorsi di connessione; stabilire le funzio-

nalità di sicurezza e le impostazioni da adot-

tare sulle apparecchiature di rete; condurre

un assessment dei rischi per dettagliare

le potenziali vulnerabilità, associate alle

minacce alle quali tali vulnerabilità potreb-

bero esporre gli asset aziendali e alle con-

seguenze che potrebbero portare; definire

il livello di sicurezza obiettivo del sistema;

creare una gap analysis definendo la lista

dei correttivi proposti; verificare le policy

di sicurezza aziendali esistenti e stabilire

le necessità di formazione complessiva a

livello di organizzazione. Con un piano di

sicurezza completo l’azienda capirà meglio

le attività specificamente necessarie per

rendere sicuri i sistemi e i costi di imple-

mentazione stimati. Di fatto, il processo per

fare della cybersecurity un business case

comincia proprio con l’ottenere i fondi per

creare un piano di security, così da ottenere

i dati necessari per fare del miglioramento

della sicurezza dei sistemi un elemento

strategico su cui investire. Una seconda

questione nella realizzazione di un business

case di security riguarda le priorità di azione,

ovvero occorre stabilire la quantità di azioni

che potenzialmente sono richieste per ren-

dere sicuri i sistemi. Completare un piano di

security porterà a compilare una lista di doz-

zine di possibili azioni: come decidere quali

correttivi implementare? Un modo per farlo

è elencare tutti i potenziali miglioramenti in

un singolo progetto. Questa tecnica senza

dubbio porterà a stabilire le specifiche di un

progetto di grandi dimensioni, che consuma

una quantità di risorse significative, che può

essere sostenuto dal management. L’asses-

sment dei rischi realizzato come parte del

piano di security permetterà di stabilire le

SETTEMBRE 2017

FIELDBUS & NETWORKS

64

SICUREZZA: STRATEGICA

PER IL BUSINESS

TRASFORMARE

LA CYBERSECURITY

IN UN ELEMENTO STRATEGICO

DEL BUSINESS NON È SEMPLICE:

DIAMO QUI QUALCHE SUGGERIMENTO

SU COME PROCEDERE

L

1 59 60 61 62 63 64 65 66 67 68 69 70 84  FlippingBook