Cybersecurity
In un contesto industriale sempre più interconnesso, la cybersecurity non è più un tema riservato alle grandi organizzazioni o ai settori tecnologicamente più avanzati. Anche realtà manifatturiere strutturate, ma con dimensioni contenute, si trovano oggi a doversi confrontare con rischi concreti legati alla sicurezza informatica. È il caso di OMME GEARS, azienda specializzata nella produzione di riduttori cicloidali, epicicloidali e ingranaggi di medie e grandi dimensioni, che ha scelto di avviare insieme a Cefriel un percorso strutturato di valutazione del proprio livello di maturità in ambito cybersecurity.
La cybersecurity a misura di PMI
“La spinta progettuale è nata valutando il contesto in cui opera OMME GEARS”, racconta Elisa Mancini, Chief Operating Officer di OMME GEARS. “Ci è capitato di interagire con clienti che sono stati colpiti da attacchi esterni e ne hanno dovuto affrontare i danni in termini di operatività. Ci siamo quindi chiesti quale fosse la nostra situazione effettiva in tema di cybersecurity e come poter rafforzare i nostri perimetri di sicurezza”.
La sfida non era soltanto quella di verificare la sicurezza aziendale, ma di farlo in modo proporzionato e sostenibile rispetto alle caratteristiche di OMME GEARS, una realtà di dimensioni contenute, con risorse limitate e una struttura che non può permettersi di essere appesantita da procedure eccessivamente complesse. “Tutto quello che viene fatto deve essere calibrato sulle risorse disponibili – sottolinea Mancini – e applicato a una struttura che non deve essere ingessata da processi troppo complicati”.
Tre dimensioni di valutazione della cybersecurity
Il percorso costruito insieme a Cefriel si è articolato in tre servizi di valutazione della cybersecurity, ciascuno con obiettivi e risultati specifici: un servizio di Posture Analysis, un servizio di Vulnerability Assessment and Penetration Test (VAPT) del perimetro esterno, e un servizio di simulazione di attacco di phishing.
La Posture Analysis ha rappresentato una vera e propria fotografia dello stato di maturità dell’azienda ed è stata condotta utilizzando il NIST Cybersecurity Framework, uno standard di riferimento internazionale noto per il suo approccio rigoroso e per il numero elevato di controlli previsti. “Si tratta di un framework tipicamente usato con aziende di dimensioni maggiori”, osserva Andrea Guerini, Business Development Manager di Cefriel. “Per questo riteniamo molto significativo che una realtà come OMME GEARS abbia scelto di sottoporsi a una valutazione di questo tipo per avviare un percorso virtuoso sulla sicurezza”.
Il secondo servizio, il VAPT, ha permesso di verificare la robustezza del perimetro esterno dell’infrastruttura IT, delineando, in assenza di criticità rilevanti, gli ambiti di intervento per le potenzialità vulnerabilità riscontrate.
Infine, la simulazione di phishing ha avuto un esito particolarmente soddisfacente, con la totale assenza di interazione da parte delle persone coinvolte con le e-mail malevole inviate durante il test.
Il progetto ha coinvolto in modo mirato solo alcune figure aziendali. La gestione operativa è stata seguita principalmente da Mancini in qualità di Chief Operating Officer. Per la simulazione di phishing, inoltre, sono state coinvolte le persone appartenenti all’area amministrativa, maggiormente esposte all’uso di e-mail e strumenti digitali, escludendo il personale di produzione.
Impatti, benefici ed evoluzioni future
Se la componente tecnologica ha restituito un quadro aziendale complessivamente solido rispetto alla cybersecurity, la posture analysis ha anche aperto nuove riflessioni, soprattutto dal punto di vista organizzativo, sui fronti di ottimizzazione per delineare e consolidare procedure chiare su cosa fare in caso di attacco, come condividere le informazioni, e come reagire in modo coordinato. Sul fronte del phishing, l’intenzione è quella di continuare nel tempo con nuovi test, per mantenere alta l’attenzione e rafforzare la consapevolezza delle persone.
Quale il valore aggiunto di Cefriel e InnovAction?
Oltre agli aspetti di competenza ed esperienza che caratterizzano i servizi realizzati, sono stati distintivi il metodo e il linguaggio adottati da Cefriel, fattori particolarmente rilevanti considerando che si trattava della prima esperienza strutturata di OMME GEARS in ambito cybersecurity.
Il progetto è stato realizzato grazie anche al contributo di InnovAction, il network italiano dei Centri per l’Innovazione Tecnologica di cui Cefriel è capofila, che ha avuto un ruolo abilitante nel rendere possibile l’avvio del percorso. “Anche in questo caso – dice Mancini – InnovAction è stato un volano importante perché ci ha permesso di affrontare un tema complesso e rilevante come la cybersecurity con un supporto concreto e strutturato, a dimensione della nostra azienda”.
Andrea Guerini
Business Development Manager - Cybersecurity Advisor, Cefriel
