Da un tweet di @yvetteagostini, segnalo questa breve riflessione dal titolo "IT+OT Cyber security experts?":
- lnkd.in/eE5j5qs.
In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti alla sicurezza industriale (sicurezza per OT o Operational technology o per ICS o Industrial Control Systems, di cui fanno parte gli SCADA). Infatti la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity). A maggior ragione, non è pensabile una roba come la "convergenza di sicurezza IT e OT".
Non sono molto d'accordo (per esempio perché sono convinto che la sicurezza IT debba anche considerare la produttività e la sicurezza OT debba anche considerare la riservatezza; gli altri parametri sono sovrapponibili), ma trovo istruttivo questo sottolineare la differenza culturale tra le due materie.
È innegabile che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo l'ho visto, per esempio, quando ho affrontato la qualità dopo essermi dedicato alla sicurezza delle informazioni e poi, nella mia crescita professionale, sono ritornato alla sicurezza delle informazioni e poi alla gestione dei servizi, alla continuità operativa, alla privacy, eccetera. Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle "convergere".
È anche per questi motivi che ho sempre cercato di non fare elenchi di correlazione tra norme sulla sicurezza (ISO/IEC 27001), sulla gestione dei servizi (ISO/IEC 20000-1), sulla privacy e altro. Ed è anche per questi motivi che evito l'uso dell'espressione "cybersecurity", visto che è usato in modo molto vago, per includere o escludere la sicurezza IT o OT, a seconda dell'interlocutore.
Nessun commento:
Posta un commento