rato che consenta di migliorare la propria “security-  sviluppare un piano strategico completo
            posture” senza compromettere la produttività.   per migliorare la sicurezza dei propri sistemi
            Ben consapevoli delle specifi cità delle aziende dei   OT. Gli interventi dovrebbero essere “priori-
            vari settori industriali e del fatto che un programma   tizzati” con un approccio “risk-based”, ma
            di OT cybersecurity deve necessariamente esse-  che tenga conto anche della compliance
            re ritagliato su misura per le esigenze, le priorità e   alle normative (Direttiva NIS/NIS2, Perimetro
            le capacità di spesa di ogni realtà, in NTT DATA è   Nazionale di Sicurezza Cibernetica, Nuovo
            stato disegnato un modello incrementale per ac-  Regolamento Macchine), e agli standard del
            compagnare  i  clienti  che  intendono  estendere  il   settore (ISA/IEC 62443, NIST SP 800-82),
            controllo della cybersecurity al proprio ambito OT   e naturalmente considerando anche i costi
            e migliorare la propria “security-posture” comples-  associati. Questo piano dovrebbe includere
            siva.                                        obiettivi chiari, azioni specifi che e linee gui-
            Questo percorso comprende diverse fasi:      da per la gestione dei rischi e la protezione
            1.  Acquisizione di consapevolezza degli as-  dei sistemi.
                set OT aziendali e dei processi interni di   4.  Mitigazione dei rischi principali. Una volta
                sicurezza. E’ fondamentale per le aziende   defi nito il piano strategico, le aziende dovreb-
                avere piena visibilità di quali sono i loro asset   bero concentrarsi sull’implementazione del-
                OT e come sono interconnessi tra loro e con   le misure di mitigazione dei rischi identifi cati.
                il resto dell’infrastruttura IT; ciò può essere re-  Un solido punto di partenza è quello di usare
                alizzato attraverso attività di “asset discovery”   come  riferimento  il “Purdue Model”,  sempre
                (tipicamente passive, e dunque non invasive)   utile per defi nire chiaramente i livelli di sicurez-
                per la creazione e l’aggiornamento dinamico   za e delineare le strategie di mitigazione del
                di un inventario dettagliato degli asset (even-  rischio per i diversi livelli di controllo e di gestio-
                tualmente coordinato con il CMDB aziendale).   ne delle informazioni e dei processi. Le contro-
                Da un punto di vista tecnico è inoltre impor-  misure tecniche potrebbero includere l’imple-
                tante l’esecuzione di un assessment su aspetti   mentazione della network segmentation (con
                architetturali e di network. E’ altresì utile un as-  la creazione, in primis, di una DMZ industriale
                sessment organizzativo per verifi care corretta   al confi ne tra le reti IT ed OT), l’applicazione
                attribuzione di ruoli e responsabilità in ambito   di controlli di accesso migliorati (per esempio
                cybersecurity (matrice RACI), così come la   utilizzando la “Multi-Factor Authentication” per
                presenza di adeguati processi e procedure di   l’accesso remoto), l’aggiornamento delle poli-
                sicurezza.                               tiche di sicurezza e l’implementazione di tec-
            2.  Valutazione del rischio cyber. Una va-   nologie avanzate di rilevamento e risposta agli
                lutazione approfondita del rischio cyber (in   incidenti.
                maniera oggettiva e non avulsa dal conte-  5.  OT Security Operations. E’ importante che
                sto) è essenziale per identificare le minacce   le aziende implementino processi e procedu-
                potenziali che potrebbero compromettere la   re per il monitoraggio continuo della sicurezza
                sicurezza dei sistemi OT. Questo processo   dei sistemi OT, nonché per la gestione effi cace
                dovrebbe includere l'analisi delle vulnerabilità,   degli incidenti di sicurezza. Questo potrebbe
                la valutazione dell'impatto potenziale degli   includere l’implementazione di sistemi di moni-
                attacchi e la determinazione delle misure di   toraggio passivi del traffi co network (“Intrusion
                mitigazione appropriate.                 Detection Systems”), l’analisi dei comporta-

            3.  Definizione di un piano strategico di OT   menti anomali e l’implementazione di proto-
                Security. Sulla base dei risultati della valu-  colli di risposta agli incidenti, sotto l’egida di
                tazione del rischio, le aziende dovrebbero   un “Security Operations Center” (SOC) con





























                                                                                   Impiantistica Italiana - Maggio-Giugno 2024  23