La transizione del tessuto produttivo italiano verso il paradigma Industry 4.0 passa necessariamente dalla messa in sicurezza dei macchinari e degli ambienti industriali. La cyber security, in sostanza, si colloca al crocevia tra IT (Information Technology) e OT (Operational technology) come capacità di presidiare un ecosistema sempre più ampio e articolato.
La complessità del tema e delle sue implicazioni pratiche spesso rischia di essere oscurata dai trend di mercato che oggi enfatizzano il ruolo della cyber security quasi fosse l’ultima moda del momento. E gli attacchi ransomware di cui sono vittime aziende e istituzioni contribuiscono a rendere la sicurezza informatica una buzzword, mettendo in secondo piano quell’insieme di competenze, processi e tecnologie che occorrono affinché sia davvero efficace.
Indice degli argomenti
Perché sulla cyber security non si può improvvisare
Giulio Patisso, co-founder di THUX parla esplicitamente di questo rischio con cognizione di causa, poiché da quando la sua azienda è stata costituita 26 anni fa “abbiamo affrontato sempre tutto con l’occhio della cybersecurity, di cui oggi abbiamo standardizzato l’offerta per adeguarci alla domanda – sottolinea -. Ritengo che sia l’argomento più difficile, che presuppone un background solidissimo sull’IT, e sul quale non si può improvvisare”.
A corredo della sua affermazione, Patisso ricorda che il mondo IT, come del resto molti altri mondi, è attraversato da mode che fanno spuntare come funghi professionalità dell’ultima ora. Lo si è visto negli anni Duemila, quando molti grafici provenienti dalla carta stampata si trasformarono da un giorno all’altro in web master, o più di recente con il linguaggio Python, la cui grande richiesta ha fatto proliferare sviluppatori sedicenti esperti.
Analogamente, si fa presto a presentarsi come CISO (Chief Information Security Officer) a tutto tondo in un panorama così variegato come quello della sicurezza IT. “All’interno della cybersecurity – esemplifica Patisso – un conto è fare vulnerability assessment e penetration test a livello networking, un conto farlo a livello applicativo. Le professionalità non sono le stesse. Per questo nella nostra azienda c’è una distinzione tra chi si occupa principalmente della parte infrastrutturale, che arriva fino al sistema operativo, e chi invece si occupa di quella applicativa”.
E-Repair, un esempio di consulenza sulla ISO 27001
Il caso E-Repair è emblematico di cosa voglia dire una consulenza di cybersecurity svolta a favore di una società che opera a fianco delle industrie produttive. Fondata nel 2007 come laboratorio in grado di riparare e rigenerare le schede elettroniche industriali (PLC, CNC, azionamenti, pannelli operatore, alimentatori, inverter ecc.), E-Repair oggi è l’unico service partner italiano autorizzato Siemens, appunto, per la riparazione e la rigenerazione delle schede elettroniche industriali del noto marchio tedesco.
Oltre al laboratorio di riparazione, l’azienda effettua attività di manutenzione preventiva e predittiva, check-up dello stato dell’impianto e backup dei settaggi delle schede elettroniche, insieme a interventi tecnici sia negli impianti dei clienti sia da remoto con l’ausilio della realtà aumentata. “Avevamo la necessità – spiega Marco Olivieri, Amministratore Delegato di E-Repair – di creare, attraverso il supporto di Thux, un modello di cybersecurity utile a massimizzare la sicurezza dell’infrastruttura informatica interna nonché quella dei dati e dei settaggi dei prodotti elettronici sia nativi Industry 4.0 sia di quei prodotti obsoleti che possono essere integrati nell’infrastruttura 4.0 dell’azienda cliente attraverso appositi tool. Anche per questi ultimi è necessaria infatti la medesima protezione presente nei prodotti più moderni, al fine di garantire un processo di transizione verso Industry 4.0 che non sia impedito dal loro utilizzo negli stabilimenti”.
Da qui è nato il processo di certificazione ISO 27001 che sta per concludersi in questi giorni.
Compliance normativa e sicurezza IT, binomio inscindibile
Elena Fiore, giurista e Legal and IT Compliance Manager di THUX, inquadra nella giusta luce il supporto al processo di certificazione con la messa in sicurezza dal punto di vista tecnico: “La ISO 27001 è il traguardo di un percorso articolato e composito, costituito dall’interdisciplinarietà tra l’apparato normativo e la componente informatica, che solitamente si vedrebbero per natura scollegate tra loro. Invece, sono una imprescindibile dall’altra. Questo è probabilmente uno dei tratti distintivi di THUX, valore aggiunto che consiste nell’affrontare in modo sistemico e sistematico tutta la gestione delle misure di sicurezza in funzione dell’obiettivo che l’organizzazione si prefigge. Bisogna ricordare che la ISO 27001 contiene soltanto delle indicazioni per rielaborare l’assetto societario, ma se queste non vengono poi testate su tutta la parte IT la certificazione è praticamente nulla”.
Un paradosso che si traduce nel considerare come costo più importante ai fini della compliance quello che si riferisce alla mera certificazione, tralasciando i costi cosiddetti latenti. “Paradossalmente il costo maggiore non è la consulenza alla certificazione, ma è il percorso di adeguamento che bisogna fare per arrivare a poter essere certificati. Tant’è vero che la ISO 27001 parte dall’assessment, che è il primo servizio che abbiamo proposto a E-Repair” evidenzia Patisso.
Da quando la collaborazione è stata avviata, THUX ha preso in carico anche la gestione del firewall, pur non essendo quello che abitualmente propone ai suoi clienti. Inoltre, sta affiancando E-Repair nella migrazione dei servizi sul cloud, anche in previsione del fatto che l’azienda trasferirà uffici e magazzini nell’arco del prossimo anno. Infine, “stiamo formando una persona interna perché si interfacci con noi, dando un servizio che da un lato fa risparmiare l’azienda e dall’altro ci agevola nel lavoro quotidiano. Ritengo di interpretare così nel modo più corretto uno dei caposaldi della ISO 27001 e del concetto stesso di cybersecurity che si fonda sull’awareness e sul rendere edotti gli utenti in merito alle procedure e ai comportamenti da tenere”, conclude il co-fondatore di THUX.
