Nel caso di prodotti o sistemi basati su Software la prima fondamentale attività da portare avanti è l’implementazione di un Piano di Gestione della Cybersecurity, tassello di significativa importanza anche all’interno di un Sistema di Gestione per la Sicurezza delle Informazioni.

Articolo a cura di Paolo Pizi, Roberta Garulli e Sharat Chiesa, NIER Ingegneria

SICUREZZA INFORMATICA: UN TEMA IN CONTINUA EVOLUZIONE

La Sicurezza Informatica è una tematica che sta assumendo una sempre crescente rilevanza nella società odierna, interessando sia settori economici sia la vita privata.

Quotidianamente, infatti, mezzi di comunicazione ci informano di attacchi informatici che colpiscono infrastrutture e sistemi per differenti finalità: dal furto di dati sensibili, al portare in “out of service” un prodotto o un’azienda, per poi chiederne un riscatto.

NIER ha investito e sta tutt’ora investendo su questa importante tematica in continua evoluzione, per aiutare i propri clienti nell’affrontare e nel gestire in modo mirato tutte le problematiche e le questioni correlate alla Sicurezza Informatica, concentrandosi principalmente su prodotti Software e svolgendo attività finalizzate a garantire l’applicazione e la conformità alla serie di standard IEC 62443.

Nel caso di prodotti o sistemi basati su Software, la prima fondamentale attività è l’implementazione di un Piano di Gestione della Cybersecurity.

PERCHÈ DOTARSI DI UN PIANO DI CYBERSECURITY PER SPECIFICO PRODOTTO?

Lo scopo della redazione di un piano di cybersecurity è di poter delineare e definire le attività che dovranno essere svolte su un prodotto o sistema, sia esso già in commercio o in fase di sviluppo, relative alla sicurezza informatica.

Siccome un prodotto/sistema Software è caratterizzato da molteplici fattori, quali la piattaforma hardware che lo ospita, i protocolli di comunicazione, l’interfaccia operatore, l’esposizione sulla rete, ecc.…, ne deriva che la Cybersecurity non sia qualcosa di statico o universalmente e univocamente applicabile ma necessiti di una dettagliata analisi del prodotto sulla quale si applicherà.

L’implementazione del Piano permette di delineare delle soluzioni “taylor-made”, fornendo un approccio sistematico e individuando le più idonee tecniche per garantire la protezione del prodotto o sistema. Il piano consente altresì di definire con riferimento alla cybersecurity, le attività di specifica, le attività di design e sviluppo, le attività di verifica e validazione, nonché le attività di gestione del rischio e delle vulnerabilità.

PERCHÈ GESTIRE LE VULNERABILITÀ?

La Gestione delle vulnerabilità è un’attività molto importante che non si limita a identificarle a tempo zero, ma ne richiede un monitoraggio costante, in quanto il Software molto spesso si basa su sistemi operativi quali Windows o Linux, oppure utilizza un protocollo di comunicazione standard, che possono presentare delle vulnerabilità nel corso del tempo.

Esistono infatti diversi database pubblici (il più famoso è il CVE – Common Vulnerabilities and Exposures) che raccolgono le vulnerabilità trovate nel tempo su diversi sistemi, protocolli, prodotti, che sono presenti in commercio.
Questi database sono in costante aggiornamento: basti pensare che un normale aggiornamento software, che quotidianamente facciamo sui nostri dispositivi, se affetto da difetti di sviluppo o installazione o altro, può introdurre delle nuove vulnerabilità.

Ogni qualvolta una vulnerabilità viene rilevata, è necessario un tempo per la sua risoluzione e mitigazione.
In questi casi, prima si agisce e meglio è, in quanto andremmo a ridurre una finestra temporale in cui il rischio di violazione/intrusione/corruzione dati è estremamente elevato.

Bisogna essere consapevoli che un attacco informatico si basa sullo sfruttare una vulnerabilità per entrare nel sistema (movimento frontale), per poi muoversi liberamente nel sistema stesso (movimenti trasversali).
Sono questi i movimenti più pericolosi, in quanto possono consentire di accedere a parti importanti del sistema la cui corruzione comprometterebbe il sistema stesso.

QUALI VANTAGGI COMPETITIVI PUÒ PORTARE L’IMPLEMENTAZIONE DI UN EFFICACE SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI?

L’implementazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni, in conformità ai requisiti stabiliti dallo standard ISO 27001, consente alle organizzazioni di garantire la sicurezza delle informazioni e dei dati dai rischi di perdita di riservatezza, di integrità e indisponibilità mediante l’applicazione di un processo di gestione del rischio mirato.

Le principali finalità che lo standard si prefigge sono:

• Garantire la riservatezza, la disponibilità e l’integrità delle informazioni;
• Ridurre la vulnerabilità aziendale mediante la mappatura delle aree a maggior rischio;
• Garantire l’efficienza e l’operatività aziendale;
• Incrementare la consapevolezza e la conoscenza;
• Migliorare la reputazione e l’immagine aziendale;
• Incrementare la fiducia delle Parti interessate;
• Garantire la conformità legale;
• Ridurre la probabilità che si verifichino eventi con impatti negativi;
• Limitare la perdita di informazioni a seguito del verificarsi di eventi con impatti negativi;
• Limitare i costi a seguito del verificarsi di eventi negativi;
• Perseguire il miglioramento continuo.

La ISO 27001 si propone pertanto di creare una vera cultura aziendale che, unitamente all’implementazione di puntuali misure tecniche ed organizzative, consenta di garantire una efficace ed efficiente gestione delle informazioni, aumentando la resistenza del sistema agli attacchi informatici, limitando la probabilità di perdita di riservatezza, integrità e disponibilità.

Un ulteriore beneficio è rappresentato dalla struttura della ISO 27001, definita di “alto livello” (High Level Structure – HLS), che ne consente l’integrabilità con altri sistemi organizzativi quali ad esempio la norma ISO 9001 riguardante i Sistemi di Gestione per la Qualità.

A questo si aggiunge l’applicazione dell’Annex A “Obiettivi di controllo” che contiene controlli specifici suddivisi in 14 macroaree e che costituiscono una valida guida alla conformità per la sicurezza dei dati.

Capita che l’implementazione di un efficace Sistema di Gestione della sicurezza delle informazioni in conformità alla ISO 27001 o più in generale i sistemi di cybersecurity siano percepiti come costo e non sempre se ne riscontri immediatamente l’utilità.

In realtà, portare un prodotto o sistema o una organizzazione ad essere “sicuro” significa abbassarne il rischio di violazione/intrusione/corruzione il che è strettamente correlato al normale e corretto funzionamento e pertanto all’efficienza e continuità operativa.

Un “nota bene”: nella sicurezza informatica, non esiste un sistema sicuro e inviolabile; si tratta sempre di “alzare l’asticella” verso un attaccante, in quanto un attacco ha sempre un costo e più un sistema è sicuro più i costi di un attacco saranno alti, e quindi non convenienti.

• Siamo felici di accogliere queste nuove sfide insieme e di potervi supportare nella strategia per rendere più sicuri i vostri prodotti e la vostra azienda: scrivici a BD@nier.it

ALTRI ARTICOLI E CASE HISTORIES SULLA CYBERSECURITY:

LA SICUREZZA INFORMATICA NELL’AUTOMOTIVE

APPLICAZIONE STANDARD IEC DI CYBERSECURITY SU SISTEMI SOFTWARE DI DIAGNOSTICA