MAGGIO 2014
FIELDBUS & NETWORKS
Fieldbus & Networks
I
sistemi e gli impianti critici indu-
striali, come quelli che operano in
ambito oil&gas, gestione acqua,
energia, infrastrutture ecc., non
possono subire interruzioni di ser-
vizio. L’impatto di un’interruzione della
produzione e dei servizi associati che
va oltre le aspettative degli stakeholder
può infatti portare a conseguenze ca-
tastrofiche. Le minacce che incombono
su questi sistemi sono di varia natura
e il rischio aumenta con l’interconnes-
sione dei sistemi in rete e in Internet.
Più i sistemi sono critici, più suscitano
interesse. Cresce a ogni modo la consa-
pevolezza che la sicurezza passa anche
attraverso le informazioni che vengono
generate, utilizzate e conservate nei si-
stemi. Pertanto ogni rischio per i dati e
le informazioni deve essere valutato e
gestito adeguatamente. L’obiettivo ge-
nerale della sicurezza delle informazioni
consiste nella protezione di tre caratte-
ristiche: riservatezza, integrità e dispo-
nibilità. Un sistema nel quale circolano
informazioni critiche può essere con-
siderato sicuro, quando sono protette
adeguatamente le informazioni relative
a queste tre caratteristiche.
Le minacce incombenti
Nel documento “Internet security threat
report 2012” di Symantec si legge che
gli attacchi dovuti a malware (virus,
worm e trojan horse) che Symantec
ha bloccato nel 2011 sono più di 5,5
miliardi e che l’incremento rispetto
all’anno precedente è dell’81%. Tale
incremento è in gran parte dovuto
all’aumento degli attacchi di malware
polimorfico, in particolare attacchi via
web e attacchi di social engineering,
che usano come veicolo portante l’email
per trasferire il malware stesso. Anche
i tentativi di intrusione aumentano con-
tinuamente. I malintenzionati utilizzano
diversi sistemi e trucchi per introdursi
nei sistemi per distruggere, sabotare o
per rubare informazioni.
Le soluzioni tecnologiche
Generalmente le organizzazioni si af-
fidano agli amministratori dei sistemi
e ai sistemisti per trovare le soluzioni
adeguate per proteggersi. L’esperienza
insegna che queste figure professio-
nali, avendo un curriculum tecnico, si
limitano spesso a considerare le sole
soluzioni tecnologiche.
Si installano perciò apparecchiature e
software per la sicurezza progettati da
produttori specializzati per la security.
Spesso l’installazione e la configura-
zione avviene seguendo esperienze
precedenti, senza effettuare un’analisi
della situazione contingente per valu-
tare e trattare i rischi reali.La sicurezza
dei sistemi critici non deve essere affi-
data unicamente a soluzioni tecnologi-
che, ma deve essere gestita attraverso
le policy per la sicurezza. Occorre per-
tanto adottare un approccio strutturato
e sistemico per la gestione della sicu-
rezza delle informazioni e dei sistemi e
questo approccio lo fornisce la norma
ISO 27001:2013.
La normative ISO IEC
La norma ISO IEC 27001:2013 “Informa-
tion Technology - Security techniques
- Information Security Management
Systems - Requirements” stabilisce i
requisiti di un sistema di gestione per
la sicurezza delle informazioni (Infor-
mation Security Management System
- Isms). Nello specifico, introduce due
domini: il dominio ‘preventivo’ attra-
verso il risk management e il dominio
‘correttivo’ attraverso la business con-
tinuity, per ridurre le perdite al minimo
nel caso si verifichi un incidente di-
struttivo. La norma è suddivisa in due
parti: la prima contiene i requisiti per
il sistema di gestione per la sicurezza
delle informazioni (Contesto dell’orga-
nizzazione, Leadership e committment,
Pianificazione degli obiettivi, Risk as-
sessment e Risk treatment, Attività
di supporto, Operation, Valutazione
delle prestazioni e miglioramento). La
seconda parte contiene invece gli ar-
gomenti prevalentemente organizzativi
e tecnologici per la sicurezza delle in-
formazioni. Sono riportati nell’Annex
A e vengono elencati gli obiettivi di
controllo e i controlli che devono es-
sere applicati nei processi dell’organiz-
zazione. La protezione, dunque, contro
virus, worm e trojan horse, nonché con-
tro gli attacchi di intrusione con Isms
ISO 27001 non si affrontano con pure
misure tecnologiche di protezione, ma
attraverso misure organizzative e politi-
che stabilite dall’alta direzione.
TÜV Rheinland offre servizi di certifica-
zione e ispezione; fondato oltre 140 anni
fa, è presente nel mondo in 65 paesi con
18.000 dipendenti. TÜV Rheinland Italia
propone corsi di formazione e servizi di
certificazione in riferimento agli stan-
dard ISO 27001 (Information Security) e
ISO 22301 (Business Continuity).
(*) Lead auditor e docente
TÜV Rheinland Italia -
53
LA SICUREZZA CONTRO VIRUS, WORM,
INTRUSIONI ECC. NON SI ATTUA CON PURE
MISURE TECNOLOGICHE DI PROTEZIONE,
MA ANCHE ATTRAVERSO MISURE
ORGANIZZATIVE E POLITICHE AZIENDALI
LA NORMA ISO
27001
di
Ioanis Tsiouras (*)
Fonte:
