L’opinione di Sergio Leoni, Regional Sales Director di Nozomi Networks sul perché è necessario integrare l’OT nel proprio Security Operation Center.
Il rischio informatico legato alla tecnologia operativa è in aumento. In passato, i sistemi industriali non erano considerati ad alto rischio: isolati, privi di connettività verso le altre infrastrutture aziendali o internet. Al tempo stesso protetti in questa “oscurità”. Essi venivano considerati un elemento di scarso interesse per i criminali informatici.
Necessario integrare l’OT nei Security Operation Center
Tuttavia, la realtà di oggi è molto diversa ed il rischio informatico industriale è più elevato a causa di diversi fattori:
- la maggiore esposizione e condivisione di dati tra sistemi IT e OT industriali
- le tensioni geopolitiche, aumentate dopo la pandemia
- la transizione verso applicazioni e analisi basate sul cloud
- la crescente sofisticazione degli attacchi e degli autori delle minacce.
La riduzione del rischio
Non a caso, secondo Gartner “per ridurre il rischio, i leader della sicurezza dovrebbero eliminare i silos IT e OT. Creando una singola funzione di sicurezza digitale e gestione del rischio che dovrebbe riferire all’IT, ma avere anche la responsabilità IT e OT”.
Perché l’OT deve essere considerata in un SOC aziendale
Integrare la sicurezza OT all’interno di un Security Operation Center (SOC) porta con sé numerosi vantaggi, tra cui:
- bloccare più velocemente le minacce, che spesso trovano origine nei sistemi IT, identificandole nelle prime fasi della “kill chain” informatica
- ridurre i tempi di risposta migliorando la comunicazione tra team IT e OT
- tagliare i costi grazie a un unico SOC integrato
- affrontare la carenza di talenti sfruttando i punti di forza dei team: è in genere più facile colmare il divario di competenze formando le risorse IT sulle sensibilità OT, piuttosto che l’inverso.
L’OT nei Security Operation Center
Un esempio viene dal governo degli Stati Uniti. Attraverso il programma Continuous Diagnostics and Mitigation (CDM) guidato dalla Cybersecurity and Infrastructure Security Agency (CISA) – non solo fornisce risorse utili.
Ma dimostra come sia possibile integrare con successo l’OT in un SOC e lanciare iniziative di cybersecurity a livello aziendale.
Ma, al di là dell’implementazione di un programma continuo di diagnostica e mitigazione, ci sono diverse altre best practice che le organizzazioni possono adottare per unificare al meglio IT e OT:
- iniziative in ottica compliance, come l’architettura SIEM e la revisione della capacità, oltre all’allineamento tra norme e conformità
- valutazioni di cyber defence readiness, esercizi tabletop tecnici ed esecutivi, così come simulazioni cibernetiche;
- pianificazioni intel-driven, come l’aumento delle capacità di intelligence sulle minacce
- programmi di cyber response come l’addestramento all’analisi del malware, l’incremento delle competenze OT per i team di cybersecurity e la condivisione delle conoscenze IT con i team OT.
Individuare i punti di forza e le opportunità
Iniziative come queste possono identificare i punti di forza e le opportunità di miglioramento. Oltre a fornire una tabella di marcia per diventare un’organizzazione più resiliente e sicura dal punto di vista informatico.