Framework Nazionale, come calarlo nel singolo contesto aziendale

Framework Nazionale, come calarlo nel singolo contesto aziendale

Framework Nazionale, come calarlo nel singolo contesto aziendale

Intervista a Daniele Francesco Ali – Head of IT Security & Digital Brand Protection – Fincantieri

TIG. Lo scorso febbraio è stato presentato il Framework Nazionale per la Cyber Security, un’architettura logica di riferimento e una guida operativa, con raccomandazioni rivolte al Top Management di grandi aziende e infrastrutture critiche su come organizzare processi di Cyber Risk Management. Quali vantaggi vede in generale associati all’adozione di Framework per la cybersecurity?

Daniele Francesco Ali. La diffusione di un Framework di respiro nazionale presenta, per realtà pubbliche e private, diversi vantaggi, sia diretti che indiretti. Un vantaggio diretto consiste sicuramente nella possibilità di indurre una standardizzazione, e quindi un confronto, tra i processi di misurazione del rischio cyber impiegati su aziende con core business molto differenti tra loro, favorendo quindi la determinazione di baseline di riferimento e nuovi modelli di ‘benchmarking’ non necessariamente basati sull’industry, ma sulle soglie di tolleranza dettate dal business.

Un vantaggio indiretto va invece ricercato nella possibilità di far leva sull’adozione di uno standard nazionale per mettere in luce il legame che esiste tra processi di business e cyber security, in modo da favorire lo sviluppo di una consapevolezza manageriale diffusa anche tra i non addetti ai lavori, sulla necessità di estendere al patrimonio logico aziendale gli stessi principi di diligenza ed accountability applicati ai più ‘tradizionali’ asset aziendali.

TIG. Focalizzarsi sui processi del business è quindi importante per individuare le maggiori criticità della propria situazione ed attuare la migliore gestione del rischio cyber. Come sta evolvendo la situazione dal suo punto di vista?

Daniele Francesco Ali.  Disporre di processi interni ripetibili di assessment del rischio cyber costituisce un pilastro fondamentale per poter adottare un Framework di cybersecurity di alto livello che introduce concetti decisamente più evoluti, come la maturità dei processi aziendali di riferimento.
L’impiego di pratiche di analisi del rischio cyber integrate con i processi core amplia di molto il raggio d’azione della cybersecurity, che sempre più spesso è chiamata ad uscire dalla propria “comfort zone tecnica” per esprimere pareri di merito su contesti di respiro più ampio, come, ad esempio, l’inserimento di punti di controllo nella supply chain tecnologica di un’azienda e dei suoi prodotti.

Tutto ciò contribuisce a rafforzare la consapevolezza che il rischio cyber sia parte integrante del rischio operativo d’impresa, circostanza che induce la necessità di saper rendicontare puntualmente, ed in forma accurata e comprensibile, l’entità delle nuove componenti di rischio verso l’alta direzione.

TIG. Quali sono oggi i principali rischi cyber a cui sono soggette le realtà industriali?

Daniele Francesco Ali. La domanda è complessa e richiede qualche riflessione di merito.
Non esiste chiaramente un profilo di rischio unico, in quanto ogni industria è caratterizzata da core business estremamente differenti tra loro.

Tuttavia comincia ad aver senso ragionare su un principio generale che emerge sempre più spesso: ossia la dicotomia, in termine di requisiti di cyber security, tra industria e i prodotti che l’industria stessa produce.

Da un lato i media ci stanno sempre di più abituando a riconoscere le conseguenze delle violazioni della cyber security di una grande azienda: interruzione della linea produttiva (Denial of Service SCADA), oppure, in caso dei più comuni data breach: danni reputazionali, perdita di fiducia e quote di mercato e, non ultimo, problemi di compliance su vari fronti: privacy, market abuse law, conformità 231 etc…

Dall’altro lato comincia ad apparire chiaro che le realtà industriali il cui prodotto è a sua volta un oggetto tecnologico complesso, avranno sempre più necessità di innestare sulla catena di controllo della produzione e della qualità nuovi standard di sicurezza informatica, tradizionalmente più relegati al mondo ‘difesa’: la schermatura e segregazione delle reti interne, la cifratura di dati ‘sensibili’ storicizzati e in transito, l’autenticazione delle entità interagenti con i sistemi di controllo…

Tutto questo per ribadire il concetto di fondo che il tema cyber security entrerà sempre più nel vivo del core business industriale e richiederà un legame sempre più intimo con l’ingegneria e la produzione.

TIG. Oggi si parla molto dei rischi cyber associati agli ambienti di automazione industriale: qual è la sua opinione in proposito?

Daniele Francesco Ali. Anche qui è difficile una generalizzazione. Chiaramente il tema è cruciale per tutto ciò che ruota intorno alle infrastrutture critiche, su cui un attacco ai sistemi di controllo equivale al diniego di un servizio di pubblica utilità e le conseguenze sono facilmente immaginabili.

Diverso è il caso in cui il sistema di automazione è a supporto di una catena produttiva, ancorché critica.

Nella mia esperienza ho riscontrato che questi sistemi sono spesso datati e, chiaramente, non nascono con dei requisiti di sicurezza stringenti, per cui hanno esigenze di integrazione che mal si coniugano con restrizioni di security.

Ciò implica che le soluzioni di protezione sono, in linea di principio, difficili da conciliare con l’ecosistema informatico di riferimento e, in taluni casi, possono addirittura ostacolare l’erogazione di alcune funzionalità dei sistemi di controllo stessi.

In situazioni di questo genere credo sia necessario in prima battuta calcolare con estrema precisione il massimo tempo di disservizio tollerabile sulla linea di produzione, valutando contestualmente quale è la ragionevole probabilità che tale disservizio venga indotto da un attacco di cyber security.

Con queste informazioni alla mano è possibile stabilire se mitigare tecnicamente il problema, accettare il rischio, oppure, ancora più semplicemente, aumentare gli SLA dei contratti di manutenzione in essere, riducendo ad esempio, coerentemente al livello di rischio, i tempi di ripristino previsti per interventi in loco.

TIG. Torniamo al Framework, e al vantaggio per le aziende rappresentato oggi dalla disponibilità di un Framework Nazionale che contiene elementi specifici per la situazione italiana. Quali sono in base alla sua esperienza le raccomandazioni che darebbe oggi a chi sta approcciando questo tema per la prima volta?

Daniele Francesco Ali. Il framework ed il contesto in cui è stato sviluppato e promosso costituisce, a mio avviso, un elemento di collante tra diverse realtà italiane, con evidente eterogeneità di percezione e maturità sul tema della cyber security.

Credo che proprio la consapevolezza di questa eterogeneità sia stato uno dei punti di forza con cui il framework è stato progettato, in quanto ha determinato la creazione di uno strumento altamente fruibile e contestualizzabile su realtà variegate tra di loro.
Proprio perché la diversità è così ampia, raccomandazioni generali hanno scarso valore.

Tuttavia, un primo consiglio che mi sento di dare a chi inizia è quello di avere la pazienza di conoscere la propria azienda e affrontare, di conseguenza, il tema di cyber security da un punto di vista che è diametralmente opposto all’accezione tradizionalmente tecnica del problema.

Conoscere la propria azienda vuol dire acquisire consapevolezza di come opera il business, quali sono i mercati di riferimento e comprendere quali siano effettivamente le informazioni di valore su cui è necessario focalizzare la strategia di protezione.

Questo esercizio è necessario per convogliare le risorse economiche e la capacità di delivery, per definizione sempre più limitate rispetto alla magnitudo olistica del problema, laddove è prioritario.

Una volta chiaro questo, l’infrastruttura tecnica sarà più interpretabile e la definizione delle contromisure tecniche, procedurali o di processo saranno più facilmente individuabili, sulla base di un reale rischio di business.

La conoscenza delle “catene tecnologiche” di erogazione dei servizi è un requisito chiave per poter sviluppare un piano di sicurezza efficace e perseguibile, per cui ogni eventuale carenza di processi di censimento degli asset e delle configurazioni, gestione delle identità digitali, controllo accessi, etc… deve essere valutata con estrema attenzione, pena l’incompletezza strutturale di tutto il sistema di controllo.

Queste sono ovviamente le parti meno standardizzabili per lo sviluppo di un processo di cyber risk assessment.

Quello che invece costituisce un pilastro imprescindibile è il commitment da parte del senior management, senza il quale ogni iniziativa così pervasiva e trasversale, che richiede allocazione di importanti risorse economiche e umane da parte dell’Azienda, è destinata ad esaurirsi senza produrre risultati convincenti.

A cura di: Elena Vaciago,  The Innovation Group

 

Sullo stesso tema, leggi la precedente intervista ad Alberto Borgonovo, Chief Information Security Officer in Gruppo Mediobanca FRAMEWORK: QUALI VANTAGGI PER CHI LI ADOTTA?