Nell’articolo precedente abbiamo esplorato la necessità a livello aziendale di elevare la postura di Cyber Security ad un livello sufficientemente elevato per difendersi dal numero crescente di minacce che stanno apparendo in questo periodo.
Uno degli strumenti più importanti per affrontare queste sfide è il Cyber Security Assessment, uno strumento basato sull’autorevole Framework Nazionale di Cyber Security articolato in 5 funzioni e 22 categorie o, come le chiamiamo in DIHP, le Chiavi della Cyber Security.
Nel contesto del Framework Nazionale di Cyber Security, la funzione “Identify” (Identificare) è la prima delle cinque funzioni chiave e si concentra sull’importanza di comprendere l’ambiente operativo di un’organizzazione per gestire il rischio cyber in modo efficace. Questa funzione include diverse categorie, una delle quali è il “Digital Asset Management” (Gestione degli Asset Digitali).
Che cos’è l’IT Asset Management?
La Gestione degli Asset digitali è la prima chiave della Cyber e sblocca la capacità di identificare e gestire le risorse fisiche e digitali di un’organizzazione, che sono fondamentali per le operazioni di business. La gestione degli asset è cruciale perché consente di conoscere esattamente quali risorse devono essere protette e di valutare il rischio associato a ciascuna di esse.
- Asset primari: contengono non solo le conoscenze ma anche la capacità produttiva e gestionale aziendale.
- Asset secondari o di supporto: PC, Laptop, Smartphone ma anche Switch di rete, Access point e stampanti ma soprattutto, in ambito industriale Macchinari, PLC e Dispositivi legati alla gestione delle operazioni di shopfloor.
Tutti questi dispositivi e molti altri devono necessariamente essere mappati poiché possono rappresentare una minaccia seria e un punto di accesso potenzialmente non controllato, specialmente in ambito Shopfloor, e portare ad eventi catastrofici come Fermi macchina o addirittura Pericoli per la Salvaguardia fisica degli operatori.
Gestione usuale asset digitali
Normalmente nelle attività di Cyber Assessment o nei progetti di Digitalizzazione che sviluppiamo in DIHP notiamo un’impropria gestione degli asset aziendali.
Questo accade poichè spesso non è identificato un responsabile della Cyber Security oppure perché la stratificazione Hardware e Software che si è creata nel corso degli anni, l’opacità dei sistemi informativi utilizzati o la mancanza di documentazione del codice installato.
Tutte queste e molte altre possono essere le cause di una mancata gestione degli asset e spesso questo tema genera un aumento di superficie di rischio estremamente elevato, specialmente per aziende che utilizzano tecnologie legacy sia in ufficio che in shop floor.
Gestione corretta degli asset digitali
Quali azioni è corretto intraprendere quindi per gestire correttamente gli asset aziendali?
Sicuramente svecchiare il parco tecnologico è una buona mossa, pianificare investimenti periodici in software di monitoraggio anche ma se un’azienda avesse poco budget a disposizione da dove dovrebbe iniziare per migliorare il proprio profilo di rischio?
La prima cosa da fare è creare e mantenere un inventario completo e accurato delle risorse critiche dell’organizzazione, incluse le risorse hardware e software, i dati, le persone e le strutture. Questo si può fare anche a costo zero introducendo una mappa di tutti gli asset aziendali e della loro ubicazione fisica e logica.
In seconda battuta occorre definire il valore e il profilo di rischio di ogni asset mappato.
Ad esempio un macchinario industriale critico avrà un ranking superiore rispetto ad un semplice terminale utente e così via. In soldoni occorre rispondere alla domanda: ma se mi si blocca questo asset quanto danno subisce l’azienda in termini monetari?
In ultimo è necessario prevedere un piano che gestisca il Ciclo di Vita degli Asset: Monitorare l’intero ciclo di vita degli asset, dall’acquisizione alla dismissione, per garantire che siano protetti in tutte le fasi ad esempio la creazione di utenti e permessi relativi, dipendenze, librerie ecc. Ovvero definire delle date specifiche in cui andare a monitorare il corretto aggiornamento e funzionamento degli asset nonché una loro eventuale data di dismissione.
People Process and technology
In questo articolo abbiamo capito quindi che la gestione efficace degli asset richiede un approccio integrato che coinvolga Persone, Processi e Tecnologie (PPT framework). Ogni componente gioca un ruolo cruciale nel proteggere le risorse dell’organizzazione e nel mitigare i rischi di sicurezza
- PERSONE: Considerando che normalmente l’utente rappresenta l’anello debole del processo di Cyber Security occorre mantenere sempre un livello di allineamento Strategico e Formativo costante. Il Cyber Security manager o dove non presente l’IT Manager deve far sì che le persone siano formate sui processi di sicurezza e che siano supportate dalle tecnologie appropriate. Ad esempio, i dipendenti devono essere consapevoli delle policy di accesso e utilizzare strumenti di autenticazione sicuri o sul corretto utilizzo sicuro degli asset aziendali.
- PROCESSI: Per quanto riguarda i processi consigliamo di puntare sull’automazione e sulla digitalizzazione laddove disponibile. Automatizzare processi ripetitivi e ridurre il rischio di errore umano è fondamentale, ad esempio tramite l’automazione delle patch di sicurezza e degli aggiornamenti dei software ovviamente sempre adeguatamente supervisionato da un esperto del settore o dal responsabile di area.
- TECNOLOGIE: Infine a livello tecnologico l’approccio corretto è quello di utilizzare sempre dei device e degli applicativi aggiornati e mappati in modo tale da poter sfruttare tutte le ultime novità in ambito Cyber Security e proteggersi così contro le ultime minacce. Per fare questo occorre definire un budget e investire delle risorse economiche. Il nostro consiglio è quello di sfruttare il più possibile attività legate al test before invest dei progetti EDIH che permettono di spesare progetti pilota per la validazione di nuove tecnologie in azienda o a strumenti agevolativi quali i Voucher di digitalizzazione per le PMI che permettono di recuperare una quota parte dell’investimento in maniera diretta.
Abbiamo quindi capito che per ogni azienda e organizzazione la gestione degli asset digitali rappresenta un passo fondamentale per la protezione delle risorse aziendali e la mitigazione dei rischi.
Identificare, classificare e monitorare accuratamente gli asset fisici e digitali permette alle organizzazioni di prevenire potenziali vulnerabilità e rispondere efficacemente alle minacce. Un approccio integrato che coinvolga persone, processi e tecnologie è essenziale per costruire una strategia di sicurezza solida. Investire in formazione continua, automatizzare i processi critici e adottare tecnologie aggiornate e testate consente alle aziende di rafforzare la propria resilienza cyber, mantenendo il passo con le evoluzioni delle minacce nel contesto digitale
Nel prossimo articolo proseguiremo nel nostro viaggio attraverso le Chiavi della Cyber Security e apriremo un’altra importante porta nel mondo della Funzione Identify.