Quando ISO 27001 e cyber security vanno a braccetto: il caso E-Repair

Qual è il legame tra una certificazione essenziale come la ISO 27001, che attesta il possesso dei requisiti nei sistemi di gestione della sicurezza delle informazioni, e le procedure tecniche di protezione degli asset aziendali? Un esempio concreto arriva dalla collaborazione fra THUX e E-Repair

La transizione del tessuto produttivo italiano verso il paradigma Industry 4.0 passa necessariamente dalla messa in sicurezza dei macchinari e degli ambienti industriali. La cyber security, in sostanza, si colloca al crocevia tra IT (Information Technology) e OT (Operational technology) come capacità di presidiare un ecosistema sempre più ampio e articolato.

La complessità del tema e delle sue implicazioni pratiche spesso rischia di essere oscurata dai trend di mercato che oggi enfatizzano il ruolo della cyber security quasi fosse l’ultima moda del momento. E gli attacchi ransomware di cui sono vittime aziende e istituzioni contribuiscono a rendere la sicurezza informatica una buzzword, mettendo in secondo piano quell’insieme di competenze, processi e tecnologie che occorrono affinché sia davvero efficace.

Giulio Patisso, co-founder di THUX parla esplicitamente di questo rischio con cognizione di causa, poiché da quando la sua azienda è stata costituita 26 anni fa “abbiamo affrontato sempre tutto con l’occhio della cybersecurity, di cui oggi abbiamo standardizzato l’offerta per adeguarci alla domanda – sottolinea -. Ritengo che sia l’argomento più difficile, che presuppone un background solidissimo sull’IT, e sul quale non si può improvvisare”.

A corredo della sua affermazione, Patisso ricorda che il mondo IT, come del resto molti altri mondi, è attraversato da mode che fanno spuntare come funghi professionalità dell’ultima ora. Lo si è visto negli anni Duemila, quando molti grafici provenienti dalla carta stampata si trasformarono da un giorno all’altro in web master, o più di recente con il linguaggio Python, la cui grande richiesta ha fatto proliferare sviluppatori sedicenti esperti.

Analogamente, si fa presto a presentarsi come CISO (Chief Information Security Officer) a tutto tondo in un panorama così variegato come quello della sicurezza IT. “All’interno della cybersecurity – esemplifica Patisso – un conto è fare vulnerability assessment e penetration test a livello networking, un conto farlo a livello applicativo. Le professionalità non sono le stesse. Per questo nella nostra azienda c’è una distinzione tra chi si occupa principalmente della parte infrastrutturale, che arriva fino al sistema operativo, e chi invece si occupa di quella applicativa”.

Il caso E-Repair è emblematico di cosa voglia dire una consulenza di cybersecurity svolta a favore di una società che opera a fianco delle industrie produttive. Fondata nel 2007 come laboratorio in grado di riparare e rigenerare le schede elettroniche industriali (PLC, CNC, azionamenti, pannelli operatore, alimentatori, inverter ecc.), E-Repair oggi è l’unico service partner italiano autorizzato Siemens, appunto, per la riparazione e la rigenerazione delle schede elettroniche industriali del noto marchio tedesco.

Oltre al laboratorio di riparazione, l’azienda effettua attività di manutenzione preventiva e predittiva, check-up dello stato dell’impianto e backup dei settaggi delle schede elettroniche, insieme a interventi tecnici sia negli impianti dei clienti sia da remoto con l’ausilio della realtà aumentata. “Avevamo la necessità – spiega Marco Olivieri, Amministratore Delegato di E-Repair – di creare, attraverso il supporto di Thux, un modello di cybersecurity utile a massimizzare la sicurezza dell’infrastruttura informatica interna nonché quella dei dati e dei settaggi dei prodotti elettronici sia nativi Industry 4.0 sia di quei prodotti obsoleti che possono essere integrati nell’infrastruttura 4.0 dell’azienda cliente attraverso appositi tool. Anche per questi ultimi è necessaria infatti la medesima protezione presente nei prodotti più moderni, al fine di garantire un processo di transizione verso Industry 4.0 che non sia impedito dal loro utilizzo negli stabilimenti”.

Da qui è nato il processo di certificazione ISO 27001 che sta per concludersi in questi giorni.

Elena Fiore, giurista e Legal and IT Compliance Manager di THUX, inquadra nella giusta luce il supporto al processo di certificazione con la messa in sicurezza dal punto di vista tecnico: “La ISO 27001 è il traguardo di un percorso articolato e composito, costituito dall’interdisciplinarietà tra l’apparato normativo e la componente informatica, che solitamente si vedrebbero per natura scollegate tra loro. Invece, sono una imprescindibile dall’altra. Questo è probabilmente uno dei tratti distintivi di THUX, valore aggiunto che consiste nell’affrontare in modo sistemico e sistematico tutta la gestione delle misure di sicurezza in funzione dell’obiettivo che l’organizzazione si prefigge. Bisogna ricordare che la ISO 27001 contiene soltanto delle indicazioni per rielaborare l’assetto societario, ma se queste non vengono poi testate su tutta la parte IT la certificazione è praticamente nulla”.

Un paradosso che si traduce nel considerare come costo più importante ai fini della compliance quello che si riferisce alla mera certificazione, tralasciando i costi cosiddetti latenti. “Paradossalmente il costo maggiore non è la consulenza alla certificazione, ma è il percorso di adeguamento che bisogna fare per arrivare a poter essere certificati. Tant’è vero che la ISO 27001 parte dall’assessment, che è il primo servizio che abbiamo proposto a E-Repair” evidenzia Patisso.

Da quando la collaborazione è stata avviata, THUX ha preso in carico anche la gestione del firewall, pur non essendo quello che abitualmente propone ai suoi clienti. Inoltre, sta affiancando E-Repair nella migrazione dei servizi sul cloud, anche in previsione del fatto che l’azienda trasferirà uffici e magazzini nell’arco del prossimo anno. Infine, “stiamo formando una persona interna perché si interfacci con noi, dando un servizio che da un lato fa risparmiare l’azienda e dall’altro ci agevola nel lavoro quotidiano. Ritengo di interpretare così nel modo più corretto uno dei caposaldi della ISO 27001 e del concetto stesso di cybersecurity che si fonda sull’awareness e sul rendere edotti gli utenti in merito alle procedure e ai comportamenti da tenere”, conclude il co-fondatore di THUX.

Contributo editoriale sviluppato in collaborazione con Thux

di Cesare Burei, Enrico Frumento

I tuoi contenuti, la tua privacy!

Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.

Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.

Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.

Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.

Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.

I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.

I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.

COOKIE DI PROFILAZIONE E SOCIAL PLUGIN

I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.

ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA 05710080960 - © 2022 ICT&Strategy. ALL RIGHTS RESERVED

Clicca sul pulsante per copiare il link RSS negli appunti.

Clicca sul pulsante per copiare il link RSS negli appunti.