Governance e Sistema di Gestione IEC 62443

Sviluppo del Lifecycle in conformità agli standard di Cyber Security OT
La norma IEC 62443 suggerisce che la sicurezza di un'impianto passa prima di tutto attraverso la Governance, a specifiche policy e alla gestione delle emergenze, in conformità al ciclo di vita della Cyber Security OT.

Scopri la consulenza per il ciclo di vita della sicurezza

Implementare il ciclo di vita della sicurezza è lo scopo conclusivo di un intero processo di gestione per le grandi aziende manifatturiere, che comprende l’analisi dettagliata e la definizione delle azioni correttive per la protezione dei dispositivi OT dagli attacchi informatici.

Le attività raccomandate dagli standard IEC 62443 si concentrano sulla governance, sul piano di ripristino delle emergenze (disaster recovery), sulle policy di security, sul design e messa in sicurezza degli impianti dal punto di vista della security.

 

La nostra consulenza per lo sviluppo del ciclo di vita della sicurezza OT prevede una serie di attività modulari che agevolano agli utilizzatori finali nel soddsifare la conformità agli standard IEC 62443:

  • Supporto alla Governance. In conformità con il Cyber Security Management System suggerito dalla norma IEC 62443-2-1, il nostro supporto include il controllo dei processi documentati nella norma IEC 62443-2-1, e lo sviluppo della documentazione (manuale, procedure, istruzioni, policy).
  • Definizione del Piano di Ripristino delle Emergenze. Tenuto conto della continuità operativa e dalle esigenze aziendali, i nostri specialisti assistono lo sviluppo del piano, inclusi i requisiti e le specifiche hardware/software e piano specifico per prevenire il rischio di minaccia cyber alle infrastrutture potenzialmente attaccabili, oppure risanare gli asset in caso di avvenuto attacco.
  • Sviluppo delle Policy di Cyber Security OT. Le policy hanno il compito di descrivere i requisiti da implementare per assicurare l’adeguato livello di sicurezza delle tecnologie al servizio degli impianti produttivi. Il nostro supporto tecnico interviene nello sviluppo delle Policy per traguardare tali obiettivi di conformità agli standard IEC 62443 (o NIST).
  • Supporto al Design di Alto Livello. La conformità di un’architettura OT deriva dallo stato effettivo dell’infrastruttura. Attraverso l’analisi dello stato attuale, il nostro compito è supportare i responsabili della Cyber Security delle grandi aziende manifatturiere nello stabilire gli interventi necessari (remediation) a mitigare gli eventuali rischi di security.
  • Sviluppo del Piano per le Remediation. Sulla base dei requisiti implementabili, dello stato attuale e del budget disponibile, è possibile determinare un programma di lungo periodo per determinare quali remediation adottare sull’impianto. Il nostro supporto tecnico ne segue l’impostazione e l’attuazione.

 

Le attivitià per il Cyber Security Lifecycle, se aggregate, costituiscono una consulenza completa; su richiesta, possono essere concordate separatamente.

FAQ

Le azioni necessarie si suddividono in tre principali aree:

  • Introduzione di policy e procedure organizzative, che comprendono ad esempio la formazione del personale che interagisce con l’infrastruttura OT
  • Selezione delle misure tecniche legate alla segmentazione della rete, al controllo degli accessi, all’autenticazione e all’autorizzazione
  • Implementazione e mantenimento del piano di gestione dei rischi e di incident recovery

Le linee guida della IEC 62443 identificano nel ciclo di vita della sicurezza tre fasi: fase di Assessment, ossia di valutazione dei rischi, fase di implementazione (i.e. Implement) e, infine, il mantenimento (i.e. Maintain) del livello di security. È propriamente durante la fase di implementazione che l’azienda deve strutturare l’intero CSMS per proteggersi dai futuri attacchi cyber. Basandosi da quanto emerso in fase di Assessment, lo scopo è adottare un sistema d gestione che comprenda procedure e strategie volte a prevenire gli attacchi informatici e proteggere i sistemi industriali.

Le conseguenze più frequenti e più sensibili in ambito industriale riguardano principalmente i danni economici e di reputazione dovuti al fermo della produzione, ai problemi di sicurezza per gli operatori, alla perdita economica o ai danni ambientali. Oltre all’interruzione della produzione a seguito dell’arresto degli impianti attaccati, le minacce posso comportare anche l’alterazione o l’inibizione di funzioni di sicurezza su macchine e impianti, ad esempio, dove l’automazione è implementata da safety PLC collegati in rete. Inoltre, anche il rilascio di emissioni pericolose nell’ambiente da parte degli impianti attaccati può avere un grave impatto sul business.

Suggerimenti

cyber security end user
Cyber Security Risk Assessment High Level

Perché sceglierci

  • Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
  • Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
  • I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
  • Siamo specializzati nel campo dell'automazione e delle reti OT
  • Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
  • La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la Dichiarazione di Conformità agli standard IEC 62443
  • Siamo Digital Transition Partner di Siemens Italia

Per maggiori informazioni su questo servizio o per richiedere una quotazione