Al giorno d’oggi l’operatività aziendale è sempre più legata a strumenti IT/OT che stanno diventando come mai prima d’ora bersaglio di cyberattacchi, anche in settori come quello manifatturiero che in passato era risultato molto meno esposto.
Infatti in questo settore i processi operativi più rilevanti sono gestiti tramite sistemi OT che hanno sempre goduto di maggior continuità e affidabilità grazie anche all’isolamento che li caratterizzava . Ora che i sistemi OT stanno progressivamente convergendo verso i sistemi IT, i vantaggi operativi sono sicuramente rilevanti ma anche le possibilità di essere esposti ad attacchi cyber diventano sempre più significative. Ed è per questo che la direttiva NIS2 pone particolare attenzione al tema della continuità nell’erogazione dei propri servizi e nella realizzazione dei propri prodotti, vediamo come.
Come garantire la continuità operativa
La direttiva NIS2 prescrive che le misure tecniche, organizzative e operative adottate dall’azienda includano almeno i principi della continuità operativa quale la gestione dei backup, il ripristino in caso di disastro e la gestione della crisi. Il concetto è espresso in modo piuttosto generico e sarà necessario attendere le indicazioni più specifiche fornite in fase di recepimento della norma da parte degli stati membri. Alcuni punti però possono essere considerati sin d’ora:
- la protezione dei backup stessi, da incidenti fisici (attraverso la remotizzazione rispetto ai sistemi che devono proteggere) e logici (attraverso modalità di gestione offline o read-only, che garantiscano che anche chi riesca a compromettere in modo ampio i sistemi e le reti dell’azienda non possa manomettere anche i backup),
- la completezza dei backup, che devono comprendere quegli aspetti di configurazione dei sistemi, delle reti e degli ambienti di virtualizzazione, che assicurino di essere in grado di ripristinare, oltre ai dati, anche i sistemi con cui sono gestiti.
- ripristino in caso di disastro, che si richiama alle logiche di disaster recovery tipiche della gestione di gravi incidenti IT. il vero punto di attenzione della norma, ovvero la capacità di garantire la continuità in termini di processi operativi utilizzati dall’azienda per realizzare i propri servizi e prodotti
L’importanza della Business Impact Analysis (BIA)
Se non sapete ancora cosa sia una BIA, è importante che iniziate a conoscerla. La BIA è una analisi dell’impatto che un blocco dei singoli processi operativi avrebbe sull’azienda. L’attenzione va focalizzata in particolare su gravi incidenti che possono comportare fermi importanti che l’azienda non sarebbe disposta a tollerare, inclusi anche eventuali impatti sociali ed economici. Lo scopo di questa analisi è quello di capire il livello di dipendenza dell’azienda nei confronti delle risorse critiche (dalle materie prime, ai semilavorati, alle persone, alle competenze, ai servizi e fornitori) in modo da poter individuare da una parte delle misure di mitigazione del rischio che queste risorse diventino indisponibili, dall’altra prevedere dei piani di emergenza per gestire comunque un’eventuale indisponibilità.
L’importanza della Supply Chain
Le aziende assoggettate a NIS2 son tenute a considerare anche ciascun diretto fornitore in quanto sempre più spesso attacchi alla catena di approvvigionamento hanno effetto a cascata su tutta la catena a monte e a valle del fornitore.
Con la BIA ci si aspetta di riuscire ad inquadrare quali siano i fornitori critici per la continuità dei processi operativi in modo anche da poter valutare gli eventuali impatti e gestirli. Per poter fare una analisi che abbia un senso è quindi necessario interloquire con direttori della produzione, della logistica, direttori di stabilimento eccetera per poter capire a fondo l’effettivo funzionamento dei processi. E per farlo bisogna prevedere delle interviste, in cui sia possibile entrare nel merito dei processi, comprendendo le dipendenze, ma anche le misure compensative che possono già essere state incorporate nei processi stessi, come controlli manuali, forniture alternative e altre misure che consentano di continuare ad operare anche in caso di indisponibilità temporanea dei sistemi IT o di fornitori, come anche di ripianificare o ridistribuire la produzione su diverse linee per mitigare gli impatti di un fermo.
Gestire la crisi
Dato che gli incidenti avvengono, aziende che non siano preparate a gestirli possono subire impatti enormemente maggiori rispetto ad aziende che abbiano pianificato correttamente come gestire le crisi. E’ quindi fondamentale avere procedure che definiscano come gestire i fermi e la relativa ripartenza e come coordinare le attività a livello complessivo aziendale, incluse comunicazioni verso le autorità, i clienti e gli stakeholders. Ovviamente queste procedure vanno testate, sia per quanto riguarda le attività tecniche di ripristino dei sistemi, sia per tutti gli aspetti gestionali che vanno messi in atto.
Lascia un commento