Blog

Uno sguardo più attento alla cyber-igiene

Le aziende del settore Life Science sono esposte a molti rischi di sicurezza informatica. Scoprite come misurare la vostra postura di sicurezza.

Il potenziale impatto che un attacco informatico potrebbe avere su un’azienda del settore Life Science è davvero notevole. In gioco potrebbero esserci informazioni rilevanti come la proprietà intellettuale e i dati sui pazienti, ritardi nella produzione o perdita di lotti di prodotti molto costosi, e persino la reputazione del marchio. Nessuna azienda vorrebbe trovarsi in una situazione del genere.

Il ROI sulla sicurezza sta nella prevenzione del rischio. Spesso abbiamo visto come la mancanza di sistemi di protezione adeguati abbia avuto un impatto diretto sulla valutazione di un’azienda e sui profitti. Una famosa casa farmaceutica ha perso 310 milioni di dollari a causa del ransomware NotPetya. Nessuna organizzazione può ritenersi immune.

La buona notizia è che le aziende farmaceutiche e biotecnologiche si occupano già da tempo di normative in materia di sicurezza, integrità dei dati e requisiti di conformità. Ma con l'evolversi della tecnologia, evolvono anche le vulnerabilità, il che significa che la vigilanza è un must.

Prendetevi un minuto e ponetevi le seguenti domande sulle vostre attuali pratiche di cyber-igiene e su come vi comportate al riguardo.

Il costo medio di un singolo incidente causato da una violazione dei dati è salito a 3,92 milioni di dollari nel 2019. Scoprite di più sulla sicurezza informatica in questo eBook.

Conoscete le vostre vulnerabilità?

L’elevata connettività degli ambienti produttivi di oggi significa maggiore esposizione e vulnerabilità agli attacchi informatici. Per proteggere i propri sistemi produttivi è necessario guardare oltre le strategie di “defense in depth” e affrontare il rischio informatico a più ampio raggio. Ma come?

Seguire il modello di sicurezza informatica del NIST è un buon punto di partenza.

Identificate le risorse di cui disponete (fate un inventario degli asset) e i rischi ad esse associati
Implementate misure protettive come aggiornamenti software, sistemi di tracciabilità e di controllo accessi per proteggere gli asset
Rilevate eventuali anomalie ed eventi che tentano di bypassare tali meccanismi di protezione
Prevedete adeguate contromisure per tali azioni
Sviluppate un sistema che includa un rapido backup e ripristino

L’attuazione di questi principi base di cyber-igiene è già un primo passo per costruire un programma di sicurezza informatica efficace e per migliorare la vostra capacità di difendervi da futuri attacchi informatici.

Come affrontate l'obsolescenza?

Dove c’è obsolescenza c’è vulnerabilità. Per aggiornare non basta sostituire l’hardware o installare una patch software. È necessario valutare sempre le normative e l’ambiente in cui si lavora.

Nella valutazione dei rischi legati alla manutenzione dell'hardware o del software, tenete conto di quanto segue:

Qual è l'impatto di un potenziale hacker che sfrutta questa vulnerabilità?
C'è modo di eliminare questa vulnerabilità applicando una soluzione alternativa?
Se non è possibile, è giustificato migrare a una nuova piattaforma/soluzione/prodotto per questa applicazione?

Non c'è una sola risposta esatta. A seconda dei controlli e dei meccanismi di prevenzione che avete messo in atto, potete scegliere di continuare a produrre come avete sempre fatto perché vi sentite protetti e il vostro rischio è ridotto. Ma farsi queste domande prima di un incidente, comprendere la propria postura di sicurezza, e disporre di una documentazione e di controlli adeguati, vi aiuterà a essere più sicuri delle vostre decisioni.

La digitalizzazione e la connettività stanno trasformando l’industria farmaceutica. Ma richiedono una solida strategia di sicurezza industriale. Leggete l'approccio di Pfizer.

La vostra azienda è pronta a reagire?

Siete in grado di definire rapidamente e chiaramente la vostra strategia e sapete come rispondereste ad un attacco informatico? Le aziende più preparate solitamente si affidano ad un team congiunto di esperti OT e IT che collaborano a questo scopo. Assicuratevi, quindi, che questi team lavorino bene insieme, considerate quali sono gli strumenti che hanno a disposizione e se ne hanno bisogno di nuovi.

Insieme con questo team, effettuate delle valutazioni periodiche del vostro livello di rischio. Se ritenete di aver coperto i cinque punti base del NIST, potreste essere soddisfatti. Ma il consiglio è quello di andare oltre e mettere alla prova la vostra organizzazione.

Spesso suggeriamo di fare dei test e simulare un evento. Immaginate come reagireste e ripristinereste la produzione dopo aver rilevato un evento in tempo reale. Questo tipo di esercizio vi aiuterà a scoprire eventuali lacune nel vostro programma.

Siete pronti a pensare in modo diverso?

La cybersecurity non è una disciplina che una volta definita si dimentica. Dovete cercare continuamente di capire la vostra esposizione, il rischio e la vostra preparazione. Sfidate la vostra organizzazione a identificare ciò che sta cambiando, sia internamente che esternamente. Cosa potete fare in modo diverso? Dove avete bisogno di aiuto?

Coloro che riescono a stabilire delle solide fondamenta per la cyber-igiene non si limitano ad acquistare strumenti e tecnologia, ma ne affrontano l'aspetto umano e organizzativo creando una cultura del cambiamento. Una cultura in cui OT, IT e management considerano la sicurezza parte del loro lavoro quotidiano e in cui i lavoratori sanno come contribuire all'obiettivo finale.

La posta in gioco è alta. Un’attenzione continua a queste domande può avere un grande impatto sulla sicurezza delle vostre operazioni e sui vostri profitti.

Pubblicato 4 marzo 2020

Jeff Rotberg

Consulting Services Business Development Lead, Rockwell Automation

Connetti:

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Iscrivetevi

Consigliato