OT Risk Assessment

> Servizi per migliorare i suoi processi > OT Risk Assessment

Protezione dell'ambiente OT

Ora che la frequenza degli attacchi informatici all'Operational Technology (OT) è in aumento, proteggere l'ambiente OT della sua organizzazione è più importante che mai. Gli avversari utilizzano vari metodi per infiltrarsi nelle reti e causare ogni tipo di danno finanziario: direttamente, bloccando o rallentando la produzione, o indirettamente, rubando e vendendo i segreti commerciali della sua organizzazione.

Per ridurre le probabilità di un cyberattacco, è necessario identificare e implementare le possibili contromisure. La mancata o errata implementazione di queste contromisure rappresenta un rischio per la sua organizzazione.

Scopra di più sull'OT Risk Assessment.

  1. Perché fare un Risk Assessment?
  2. Perché è necessario un OT Risk Assessment su misura?
  3. Che cosa comporta un OT Risk Assessment?
  4. La metodologia QAROT
  5. I risultati di una valutazione

Perché condurre un assessment del rischio?

Un cyber risk assessment aiuta a determinare strutturalmente quali rischi informatici sono presenti nel suo ambiente. È possibile comprendere l'efficacia delle contromisure (esistenti) solo dopo aver identificato esplicitamente questi rischi. Questo, a sua volta, permette di ragionare su nuove contromisure, se sono necessarie, e sulla loro potenziale efficacia.

Inoltre, la valutazione della gravità dei rischi identificati consente di decidere e dare priorità alle contromisure e di decidere con cognizione di causa se i costi di implementazione sono superiori alle conseguenze potenziali. Inoltre, l'esecuzione di una valutazione dei rischi creerà una panoramica completa dei punti di forza e di debolezza della sua organizzazione. Questa panoramica può, a sua volta, essere utilizzata per migliorare la preparazione durante un cyberattacco o per prevenirne uno affrontando le debolezze identificate.

Perché è necessario un Risk Assessment su misura per l'OT?

A differenza dell'IT, i rischi negli ambienti OT non riguardano solo la riservatezza, l'integrità e la disponibilità dei dati o dei processi, ma possono anche avere un impatto sull'affidabilità, le prestazioni e la sicurezza delle strutture. Inoltre, i diversi tipi di Industrial Control Systems (ICS), come i PLC, i DCS e i sistemi SCADA, richiedono un'attenzione particolare, in quanto sono la spina dorsale di qualsiasi ambiente OT. Per valutare correttamente i rischi e proporre contromisure in questi ambienti, occorre considerare queste differenze.

Che cosa comporta un Risk Assessment di OT?

Bureau Veritas Cybersecurity utilizza la propria metodologia proprietaria di asset-driven risk assessment denominata "Quantitatively Assessing Risk in Operational Technology" (QAROT). Questa metodologia è conforme allo standard IEC 62443-3-2 e incorpora i punti di forza di ATTandCK per ICS e ISO 31010 di MITRE. La combinazione di questi standard ci consente di effettuare valutazioni del rischio che vanno oltre la semplice conformità. Insieme ai nostri clienti, definiamo i livelli di sicurezza target richiesti dall'IEC 62443-3-2, sui quali basiamo sistematicamente gli obiettivi di assessment.

QAROT incorpora altri standard della famiglia IEC 62443, come -3-3 e -4-2, per fornire una consulenza coerente e fattibile, basata sui requisiti di sicurezza fondamentali che questi standard descrivono. Inoltre, QAROT utilizza l'Operational Technology Cyber Attack Database (OTCAD) di Bureau Veritas Cybersecurity, disponibile pubblicamente, per stabilire la gravità dei rischi identificati.

La metodologia QAROT

QAROT utilizza un approccio top-down per identificare e valutare i rischi: ricava le contromisure applicabili considerando tutti gli asset di un ambiente OT. Queste contromisure si basano su ATTandCK per ICS e sono combinate con IEC 62443-3-3 e -4-2 per valutare oggettivamente la loro implementazione ed efficacia all'interno del sistema in esame. Questa combinazione consente a Bureau Veritas Cybersecurity di identificare strutturalmente le potenziali carenze e i rischi che esse comportano.

L'assessment inizia con la creazione di un diagramma di zone e condotti basato sui disegni della rete dell'organizzazione e sull'inventario degli asset. I contenuti del diagramma vengono discussi insieme al cliente durante un workshop per garantire che rappresentino correttamente l'ambiente valutato. In workshop successivi, determiniamo insieme al cliente l' impatto dei possibili obiettivi degli avversari e stabiliamo i livelli di sicurezza raggiunti dalle contromisure esistenti basate su asset e zone/condotti.

Il risultato di un OT Risk Assessment.

Per ciascuna delle carenze identificate durante questi workshop, Bureau Veritas Cybersecurity fornirà consigli personalizzati e attuabili su come affrontarle. Grazie ai calcoli proprietari di QAROT, i rischi identificati vengono valutati e classificati quantitativamente, il che aiuta nel confronto e nella definizione delle priorità. Inoltre, utilizzando i requisiti fondamentali dell'IEC 62443, le mitigazioni sufficientemente implementate vengono categorizzate, in modo che il cliente possa vedere rapidamente la conformità nelle diverse aree della cybersecurity. Forniamo queste panoramiche, i rischi identificati, comprese le nostre raccomandazioni, e un piano di follow-up in un rapporto che presenteremo in una riunione di chiusura.

È interessato a un OT Risk Assessment nella sua azienda?

Desidera saperne di più sull'OT Risk Assessment di Bureau Veritas Cybersecurity? Compili il modulo sottostante e la contatteremo entro un giorno lavorativo.

USP

Serie di standard IEC 62443

Generale

62443-1-1 Concetto e modelli

Definisce la terminologia, i concetti e i modelli per la sicurezza dei sistemi di automazione e controllo industriale (IACS), utilizzati in tutta la serie. In particolare, vengono definiti i sette requisiti fondamentali (FR).

62443-1-2 Glossario generale dei termini e delle abbreviazioni

Include la definizione dei termini e degli acronimi utilizzati negli standard IEC 62443.

62443-1-3 Metriche di conformità della sicurezza del sistema

Questo documento definisce le metriche di conformità alla cybersecurity del sistema ad alta priorità per un sistema di automazione e controllo industriale.

Politiche e procedure

62443-2-1 Stabilire un programma di sicurezza IACS

Specifica i requisiti del programma di sicurezza del proprietario dell'asset per un sistema IACS e fornisce indicazioni su come sviluppare ed evolvere il programma di sicurezza. Gli elementi di un programma di sicurezza IACS descritti in questo standard definiscono le capacità di sicurezza richieste che si applicano al funzionamento sicuro di un IACS e sono per lo più legati a politiche, procedure, prassi e personale.

62443-2-2 IACS Livelli di protezione

Specifica un quadro e una metodologia per la valutazione della protezione di un sistema IACS basata sulla nozione di livello di sicurezza (tecnico) e sulla maturità dei processi collegati. Il concetto di livello di protezione è una valutazione di sicurezza della combinazione di misure tecniche e organizzative e definisce un indicatore della completezza del programma di sicurezza.

62443-2-3 Gestione delle patch in ambiente IACS

Definisce la gestione delle patch nell'ambiente IACS. In particolare, fornisce un formato definito per lo scambio di informazioni sulle patch di sicurezza dai proprietari degli asset ai fornitori di prodotti.

62443-2-4 Requisiti per i fornitori di servizi IACS

Specifica i requisiti per le capacità di sicurezza dei fornitori di servizi IACS che possono offrire al proprietario dell'asset durante le attività di integrazione e manutenzione di una soluzione di automazione.

62443-2-5 Guida all'implementazione per i proprietari di asset IACS

Fornire una guida ai proprietari degli asset per l'implementazione di un Cyber Security Management System (CSMS) in un IACS.

Sistema

62443-3-1 Tecnologie di sicurezza per IACS

Fornisce una valutazione attuale dei vari strumenti di cybersecurity, delle contromisure di mitigazione e delle tecnologie che possono essere applicate efficacemente ai moderni sistemi IACS basati sull'elettronica.

62443-3-2 Valutazione del rischio di sicurezza e progettazione del sistema

Stabilisce i requisiti per le valutazioni del rischio e suddivide un IACS in zone e condotti. Include anche i requisiti per le valutazioni dettagliate del rischio di ogni zona e condotto e per l'assegnazione di obiettivi di livello di sicurezza (SL-T) in base alla minaccia e al rischio.

62443-3-3 Requisiti di sicurezza del sistema e livelli di sicurezza

Fornisce requisiti tecnici dettagliati del sistema di controllo (SR) associati ai sette requisiti fondamentali (FR), compresa la definizione dei requisiti dei livelli di sicurezza delle capacità del sistema di controllo.

Componenti

62443-4-1 Requisiti del ciclo di vita dello sviluppo del prodotto sicuro

Specifica i requisiti di processo per lo sviluppo sicuro dei prodotti utilizzati nell'automazione industriale e nei sistemi di controllo. Definisce un ciclo di vita di sviluppo sicuro allo scopo di sviluppare e mantenere prodotti sicuri.

62443-4-2 Requisiti tecnici di sicurezza per i componenti IACS

Specifica i requisiti tecnici di cyber security per i componenti, come i dispositivi incorporati, i componenti di rete, i componenti host e le applicazioni software.

Servizi correlati

Revisione della progettazione

Secura Design Review IT systems

Scopra il Servizio di Revisione della progettazione di Bureau Veritas Cybersecurity - che identifica in modo proattivo i miglioramenti della sicurezza nei suoi progetti IT per prevenire le violazioni dei dati e garantire l'allineamento con le best practice.

Formazione sulla Modellazione delle minacce

In company training course or open to public

Nel corso della Formazione sulla Modellazione delle minacce, imparerà come ottenere un quadro ampio dei rischi potenziali utilizzando la metodologia STRIDE. Questo funziona sia per i sistemi esistenti che per i nuovi progetti.

Vulnerability Assessment / Penetration Testing (VAPT)

VAPT banner

La valutazione delle vulnerabilità e i test di penetrazione, o pentesting, sono modi per scoprire i punti deboli nella sicurezza del suo sito web, applicazione o infrastruttura. Si lasci aiutare dagli esperti di cybersecurity di Bureau Veritas Cybersecurity.

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.