Appunti Aspetti Organizzativi e Gestionali della Cybersecurity

PRODUZIONEMRP → pianificare necessità di materiali in relazione agli ordini di produzione

MES → collegare sistema di gestione ordini con impianti produttivi

CMMS → definire interventi manutenzione sui dispositivi

SCADA → supervisione e controllo macchine e degli impianti produttivi

I vettori e le dinamiche di attacco

vettore di attacco → è il veicolo che trasporta uno o più strumenti utilizzati per realizzare un attacco che sfrutta una o più debolezze o vulnerabilità. Esistono 2 tipi di debolezze:

• Debolezze tecnologiche:
  • Vulnerabilità informatiche e mancato aggiornamento del software
  • Gestione di identità e permessi non adeguata
  • Meccanismi di autenticazione deboli
  • Password deboli
  • Obsolescenza (antitesi della cybersicurezza)
• Debolezze Umane:
  • Mancanza di conoscenza
  • Superficialità
  • Mancanza di attenzione

Gestione e organizzazione

La gestione aziendale è l'insieme coordinato di

essere svolte in modo oggettivo e misurabile al fine di raggiungere gli obiettivi prefissati. Queste attività sono generalmente legate alla produzione, alla vendita e alla gestione delle risorse dell'azienda. Alcuni esempi di operazioni oggettive possono includere: - Produzione: attività di produzione di beni o servizi, che possono includere la pianificazione della produzione, l'acquisto di materie prime, la gestione delle linee di produzione e il controllo della qualità dei prodotti. - Vendita: attività di vendita dei prodotti o servizi dell'azienda, che possono includere la gestione dei canali di distribuzione, la promozione e la pubblicità dei prodotti, la gestione delle relazioni con i clienti e la gestione delle vendite. - Gestione delle risorse: attività di gestione delle risorse dell'azienda, che possono includere la gestione del personale, la gestione finanziaria, la gestione delle forniture e la gestione delle infrastrutture. Queste operazioni oggettive sono fondamentali per il raggiungimento degli obiettivi prefissati dall'azienda e devono essere svolte in modo efficiente e efficace.essere fatte continuativamente per realizzare gli obiettivi in maniera profittevole:

• Reperimento di mezzi finanziari: l'impresa deve acquistare materie prime, merci, impianti, macchinari e pagare i dipendenti, per fare questo deve disporre di mezzi finanziari;
• Investimenti: i mezzi finanziari reperiti vengono impiegati per l'acquisto di impianti, macchinari, materie prime e strumenti;
• Produzione: l'impresa trasforma le materie prime acquistate in prodotti finiti, impiegando i macchinari e attraverso la manodopera a sua disposizione;
• Disinvestimento: l'impresa vende i prodotti ottenuti e rientra in possesso delle somme investite.

I sistemi di gestione aziendale sono un insieme di regole e procedure, definite in una norma internazionale, che un'organizzazione o azienda può applicare allo scopo di raggiungere obiettivi definiti:

• Soddisfare esigenze del cliente;
• Migliorare la prestazione dell'azienda;
• Conformità normativa (dimostrare a organismi di controllo di essere in regola con le norme vigenti);

Il sistema informativo aziendale è quell'insieme di elementi che raccolgono, elaborano, memorizzano e distribuiscono dati e informazioni a supporto delle attività aziendali, tra cui quelle decisionali, di coordinamento e di controllo. L'organizzazione aziendale è l'insieme dei processi, dei materiali, degli strumenti e delle persone che lavorano in maniera coordinata per il raggiungimento di un obiettivo di impresa. Assegnazione delle mansioni, ruoli e posizioni In un'organizzazione devono essere definiti mansioni, ruoli e posizioni aziendali in maniera chiara. Ad ogni risorsa va affidato un compito e delle responsabilità per raggiungere degli obiettivi aziendali comuni. - Mansioni assegnate ad un individuo - Ruolo: è l'insieme dei comportamenti previsti da una specifica figura professionale - Posizione: è lo stato o il grado assegnato ad una figura professionale Processo

aziendale - insieme di attività collegate tese al raggiungimento di un obiettivo specifico. I processi si possono modellizzare ed è possibile verificare eventuali anomalie del processo e apportarne miglioramenti.

Organigramma - rappresentazione grafica della struttura di un'organizzazione e concettualmente, rappresenta i legami funzionali e gerarchici che tengono unite le persone all'interno dell'organizzazione stessa. Ci sono diversi tipi di organigramma:

• funzionale - l'azienda viene quindi ripartita in diverse aree funzionali a seconda delle attività svolte
• divisionale - l'azienda si organizza in base ai mercati, ai prodotti o alle tipologie dei clienti
• a matrice - utilizzato nelle aziende di grandi dimensioni, ed è la combinazione dei due organigrammi precedenti

Miglioramento continuo - consiste nell'inserimento di piccoli cambiamenti nei processi di produzione o nelle strutture organizzative, allo scopo di ottenere un aumento costante del livello.

alla strategia aziendale, garantendo che le risorse tecnologiche siano utilizzate in modo coerente con gli obiettivi e le priorità dell'azienda. ● Gestione dei servizi IT (IT Service Management): il processo che si occupa di gestire e fornire servizi IT di qualità all'azienda, garantendo che siano disponibili, affidabili e sicuri. ● Gestione della sicurezza dell'informazione (Information Security Management): il processo che si occupa di proteggere le informazioni sensibili dell'azienda da minacce interne ed esterne, garantendo la confidenzialità, l'integrità e la disponibilità dei dati. ● Gestione dei progetti IT (IT Project Management): il processo che si occupa di pianificare, organizzare e controllare i progetti IT dell'azienda, garantendo che vengano completati entro i tempi e i costi previsti. ● Gestione delle risorse IT (IT Resource Management): il processo che si occupa di gestire le risorse tecnologiche dell'azienda, come hardware, software e personale, garantendo che siano utilizzate in modo efficiente ed efficace. ● Gestione dei cambiamenti IT (IT Change Management): il processo che si occupa di gestire i cambiamenti nell'ambiente IT dell'azienda, garantendo che siano pianificati, controllati e implementati in modo corretto e sicuro. ● Gestione dei problemi IT (IT Problem Management): il processo che si occupa di identificare, analizzare e risolvere i problemi IT dell'azienda, garantendo che vengano affrontati in modo tempestivo e efficace. ● Gestione delle configurazioni IT (IT Configuration Management): il processo che si occupa di gestire e controllare la configurazione dei componenti IT dell'azienda, garantendo che siano correttamente documentati, controllati e protetti. ● Gestione dei servizi cloud (Cloud Service Management): il processo che si occupa di gestire e controllare i servizi cloud utilizzati dall'azienda, garantendo che siano sicuri, affidabili e conformi alle normative vigenti. ● Gestione delle emergenze IT (IT Emergency Management): il processo che si occupa di gestire le emergenze IT dell'azienda, come guasti hardware, attacchi informatici o interruzioni dei servizi, garantendo che vengano affrontate in modo tempestivo e efficace. Questi sono solo alcuni esempi di processi IT che possono essere presenti all'interno di un'azienda. La loro implementazione e gestione corretta sono fondamentali per garantire la sicurezza e l'efficienza del sistema informativo aziendale.

• Erogazione del valore (Value Delivery): processo finalizzato a garantire che l'IT apporti i benefici prefissati
• Misurazione del rischio (Risk Management): interessa la gestione di tutti i rischi che potrebbero compromettere l'infrastruttura
• Gestione delle risorse (Resource Management): sia umane che economiche
• Misurazione delle performance (Performance Management): ottenimento dei risultati attesi attraverso costante monitoraggio delle prestazioni dei sistemi

Processi di Cybersecurity

• Monitoraggio e gestione degli Incidenti informatici: sono i processi che permettono di monitorare, di classificare, contenere, se possibile eliminare, e successivamente analizzare tutti gli eventi di sicurezza generati a livello di sistema informativo nel suo insieme;
• Evento di sicurezza → qualsiasi situazione che si verifichi nell'ambito di un determinato asset informatico, classificabili in base al grado di impatto:

Evento a basso impatto: evento gestito in maniera silente dal sistema di sicurezza

Evento significativo: qualsiasi evento rilevato nell'ambito del sistema deve essere ulteriormente analizzato

Evento critico: evento significativo che potrebbe sottintendere una violazione delle politiche di sicurezza dell'azienda.

• Allarme di sicurezza o tentativo di attacco → rilevamento di uno o più eventi che costituiscono una criticità accertata per la sicurezza IT.
• Incidente informatico → eventi che sottintendono una violazione delle politiche di sicurezza IT

Gestione Vulnerabilità e Obsolescenze: le obsolescenze e le vulnerabilità sono i punti di accesso dei principali vettori di attacco, possiamo quindi comprendere la criticità di questi due processi di gestione. Tali processi possono utilizzare strumenti di indagine automatica per una maggiore reattività nei confronti di quelle vulnerabilità non ancora standardizzate o

per obsolescenze più nascoste.

Incident Response Plan permette di rispondere all'esigenza di individuare gli attacchi e mitigare il danno, inoltre quello di eseguire la post analysis che consente di delineare la reale portata dell'incidente.

24CED - Centro Elaborazione Dati insieme di risorse umane, fisiche, architetturali, elettroniche e tecnologiche che permette ai sistemi informativi di essere pienamente funzionali e rispondenti alle esigenze per le quali sono stati creati.

SIEM - Sistema supervisione eventi di sicurezza soluzione software che, in tempo reale, provvede al monitoraggio e alla gestione degli eventi e delle informazioni che accadono all'interno della rete (analisi dei log o mediante agent).

interfaccia: console centralizzata che monitora, segnala e risponde automaticamente a determinati eventi.

SOC - Security Operation Center è un centro da cui vengono forniti servizi finalizzati alla sicurezza dei sistemi informativi. Può anche fornire servizi di

1. Incident Response (CERT Computer Emergency Response Team, CSIRT Computer Security Response Team)

Modellare i processi significa usare un modello grafico standardizzato con l'obiettivo di presentare in modo chiaro ad interlocutori diversi come funzioni.

Obiettivi:

• Fornire una descrizione di una sequenza di attività comprensibile ad un osservatore esterno;
• Descrivere cosa attualmente succede durante un processo;
• Descrivere cosa si desidererebbe far succedere durante un processo in futuro;
• Creare la base e i presupposti all'analisi per l'innovazione di processo.

I processi di modellizzazione per modellare un processo sono necessari gli elementi che lo compongono e descriverli in modo preciso.

Processi fisici: descrivono attività di elaborazione di oggetti fisici del sistema;

Processi informativi: funzioni che creano, gestiscono, elaborano e forniscono informazioni;

Processi aziendali: rappresentano funzioni legate all'attività.

complessiva dell'organizzazione/impresa (produzione di un bene, l'insegnamento agli studenti, ...)

Tipi di modellazione:

1. Basati sui dati: i modelli basati sui dati enfatizzano il flusso di dati e/o documenti nell'esecuzione del processo (es: i diagrammi di flussi);
2. Basati su attività: i modelli che hanno come elemento caratterizzante la descrizione delle attività da svolgere e la loro sequenza (es: modello WIDE);
3. Basati su comunicazione: modello basato sull'interazione tra chi esegue le attività nel processo. Particolarmente adatto a rappresentare processi in cui gli elementi di decisione sono particolarmente importanti.

Modello Wide:

• Task: attività elementari che compongono un processo. Caratterizzato da: