martedì 8 ottobre 2019

NIST: Cybersecurity per le aziende manifatturiere

Il NIST ha pubblicato un documento dal titolo "NISTIR 8183A, Cybersecurity Framework Manufacturing Profile Low Impact Level Example Implementations Guide":
- https://csrc.nist.gov/publications/detail/nistir/8183/final.

E' un malloppo di più di 700 pagine divise in 3 documenti.

Il primo è abbastanza generico: riporta le "solite" misure di sicurezza, senza spiegarne bene gli impatti in ambito industriale (o ICS). Però si cela una piccola sorpresa, scritta in piccolo e nelle tabelle di correlazione con le funzionalità. Infatti, per ogni misura del NIST Cybersecurity framework si leggono degli strumenti per attuare la misura indicata.

Il secondo volume presenta esempi di documenti e strumenti per le aziende manifatturiere in serie, mentre il terzo è dedicato alle aziende manifatturiere di singoli prodotti (la terminologia usata dal NIST è "di processo" e "discrete"). Qui le sorprese e le indicazioni sono tante.

Intanto i modelli di documento. Ci sono modelli per le politiche, per le procedure operative (tutte accorpate in un unico documento), per la valutazione del rischio, per la gestione degli incidenti, per il ripristino e per i contratti con i fornitori.

Non tutto condivido (per esempio l'accorpamento di tutte le procedure operative in un unico documento e l'eccessivo livello di dettaglio suggerito; per esempio anche il modello di valutazione del rischio, che non permette di rilevarne l'utilità, visto che è troppo dedicato al calcolo e non all'uso). Altri sicuramente non condivideranno altre cose. Ma penso che il livello di dettaglio sia né troppo né troppo poco e lascia ampio spazio alla personalizzazione da parte degli utilizzatori. Ritengo notevole lo sforzo fatto da una fonte così autorevole.

Al capitolo 4 si trova un elenco, con descrizione e commenti (e con anche suggerimenti per l'installazione e la configurazione), di strumenti tecnologici per attuare alcune misure. L'elenco include strumenti per la rilevazione dei dispositivi (discovery dell'hardware), per la valutazione del rischio, per il backup, per la raccolta e analisi dei log, per i vulnerability assessment, per i ticket di gestione degli incidenti, di data loss prevention, per la cancellazione sicura. Alcuni sono free, altri sono a pagamento. In tutti i casi, un'utile punto di riferimento.

Nessun commento:

Posta un commento