Angela Rapko, Vicepresidente regionale dei servizi Lifecycle di Rockwell Automation.
“La strategia informatica adattiva è una fase avanzata in cui non solo è stato valutato e mitigato il rischio, ma sono stati implementati anche i controlli necessari per gestire e monitorare la sicurezza informatica”, dice Angela Rapko, Vicepresidente regionale dei servizi Lifecycle di Rockwell Automation, nel corso di un briefing con la stampa sul panorama della sicurezza informatica in occasione dell’Automation Fair 2021.
“Quando prendiamo in considerazione la sicurezza informatica, il nostro approccio copre davvero l’intero attack continuum”, ha dichiarato Angela Rapko. “Bisogna pensare al prima, al durante e al dopo. Solo nel corso dell’ultimo anno, un terzo dei sistemi di controllo industriali sono stati oggetto di attacchi dannosi. I controlli industriali sono diventati un bersaglio di questi attacchi in quanto presiedono al controllo di numerose risorse, molte delle quali non sono state preservate nel corso degli anni”.
L’industria si trova anche nel bel mezzo di una convergenza tra la tecnologia dell’informazione (Information technology, IT) e la tecnologia operativa (Operational technology, OT) e le problematiche inerenti la sicurezza informatica hanno messo in evidenza il continuo divario tra questi due ambiti. Per molti anni, la parte IT si è concentrata soprattutto sulla sicurezza informatica.
“Mentre, dal punto di vista della OT, siamo davanti a un panorama completamente diverso”, ha detto Rapko. “Le best practice della sicurezza informatica OT sono molto diverse da quelle IT. Gli strumenti non sono applicabili così come gli standard”. Rapko ha sostenuto che la maggior sfida che si aspetta in futuro è quella di disporre di un accurato inventario delle risorse, in modo che le aziende possano comprendere i loro rischi.
Per aiutare le aziende nelle fasi iniziali, Rapko ha fornito poi una panoramica rapida, ma dettagliata, di alcuni dei passaggi minimi, necessari per definire un programma di sicurezza informatica, inclusi tre livelli di strategia. Inizialmente, le aziende dovrebbero adottare una strategia di sicurezza consapevole del rischio che fornisca i requisiti minimi indispensabili, inclusi una comprensione di base del rischio di una azienda e un livello minimo di controlli.
La fase seguente consiste in una strategia di sicurezza riproducibile che include la creazione di standard e pratiche più complete nell’ambito di tutta l’organizzazione.
La fase finale è quella della strategia informatica adattiva. “In questa fase, non solo è stato valutato e mitigato il rischio, ma sono stati attivati i controlli per gestire e monitorare l’igiene della sicurezza informatica”, ha concluso Rapko. Questa fase include anche la valutazione della capacità della forza lavoro di gestire internamente operazioni di sicurezza informatica.