FN 118
Fieldbus & Networks FEBBRAIO 2024 FIELDBUS & NETWORKS 14 all’interno di un’organizzazione. Si tratta del Maturity Level (ML), che ha un valore compreso tra 1 e 4: − Maturity Level 1 - iniziale: le procedure sono state solo definite in modo verbale e non sono organizzate o scritte in modo completo; − Maturity level 2 - ripetibile: le procedure sono state definite e scritte in modo organizzato ma non sono ancora state implementate o attuate; − Maturity level 3 - definito: le procedure sono state applicate e vi sono le evidenze dell’applicazione delle stesse; − Maturity level 4 - ottimizzato: non solo vi sono le evidenze dell’applicazione delle procedure, ma sono anche state definite delle metriche per misurare in modo quantitativo l’efficacia e la bontà delle procedure intraprese. La definizione del security program, quindi, si rifà al primo livello della de- fense in depth; per passare ai successivi livelli della defense in depth è necessario fare riferimento alle parti 3 e 4 della norma, che si occupano ri- spettivamente del sistema e del device. Il primo approccio che deve essere implementato, a questo punto, è la valutazione del rischio, che è espresso come la probabilità di accadimento di un evento moltiplicato per l’impatto dello stesso; in ambito cyber la probabilità di accadimento dell’evento, a sua volta, è espresso come la presenza di una vulnerabilità moltiplicata per la minaccia, cioè chi è il possibile attaccante che vuole sfruttare la vulnerabilità dell’asset. Per questo è necessario definire, come primo step, la valutazione del rischio prendendo in considerazione le vulnerabilità sia fisiche (porte e punti di accesso all’asset), sia software che sono enume- rate all’interno di database pubblici, come Cvss. A livello normativo, poi, i possibili attaccanti sono classificati nel seguente modo: − Livello 1: guasti accidentali; − Livello 2: hacker amatoriali; − Livello 3: hacker professionisti o impiegati scontenti; − Livello 4: terroristi. Una volta valutato il rischio è possibile definire il livello di contromisure che si vogliono mettere in atto per ridurlo; per valutare e definire quali siano le prestazioni che si vogliono ottenere dalle contromisure è stato definito a li- vello normativo un indicatore chiamato Security Level (SL), espresso con un numero da 1 a 4; il riferimento è quello relativo alla minaccia contro cui si è protetti. Il SL è espresso per ciascuno dei Requisiti Fondamentali (FR) che caratterizzano la sicurezza: 1. Identification and Authentication (IA): identificazione e autenticazione degli utenti e dei dispositivi nel sistema; 2. Authorisation (A): controllo degli accessi e assegnazione dei privilegi agli utenti e ai dispositivi; 3. Data Integrity (DI): assicurare l’integrità dei dati all’interno del sistema; 4. Data Confidentiality (DC): garantire la confidenzialità dei dati nel sistema; 5. Resilience to Attacks (RA): garantire che il sistema sia resiliente agli attacchi e in grado di recuperarsi; 6. Security Monitoring (SM): monitorare costantemente le attività di sicurezza e rispondere a eventuali minacce; Dal punto di vista normativo le linee guida attuali per la cybersecurity OT sono contenute nel nuovo Regolamento Macchine, nella Direttiva NIS2 e nel Cyber Resilience Act Fonte: foto Pixabay_Tumisu
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzg4NjYz