Implementazione di una piattaforma data-driven per mappare i sistemi aziendali e definire un piano di miglioramento della sicurezza informatica.
Hi-lex Italy S.p.A
aizoOn
Hi-Lex Italy S.p.A. è un’azienda di riferimento nel settore automotive, specializzata nella progettazione e produzione di sistemi di controllo per veicoli.
Tale progetto nasce dall’esigenza di essere compliance con le richieste dell’industria automobilistica in ambito Cybersecurity. Infatti, in questi ultimi anni l’industria automobilistica ha subito notevoli cambiamenti da un punto di vista tecnologico e ha preso coscienza del fatto che ci fosse un problema legato alla sicurezza e che il tema della cybersecurity è di fondamentale importanza.
Hi-Lex Italy ha avviato un progetto di cybersecurity basato su un approccio data-driven, superando i limiti delle tradizionali analisi basate solo su interviste e documentazione. Attraverso una fase di Technical Discovery e l’uso della piattaforma Enhanced Security Risk Analytics (ESRA), sono stati mappati tutti gli apparati connessi alla rete, individuate vulnerabilità reali e definite priorità di intervento.
La piattaforma multi-standard ha integrato dati aggiornati e near-realtime, garantendo valutazioni di sicurezza precise, riducendo i tempi di analisi e migliorando la coerenza tra il quadro generale e i dettagli tecnici, a supporto di un piano strutturato di miglioramento di strumenti, processi e controlli.
Per raggiungere l’obiettivo del progetto, aizoOn ha adottato un metodo cognitivo multidisciplinare, che ha rilevato, classificato e valutato la Cybersecurity di Hi-Lex con un approccio a 360 gradi.
In particolare, ciò ha permesso di osservare le dinamiche legate alla Cybersecurity, integrando il
punto di vista sia interno che esterno al perimetro operativo osservato.
L’analisi del Rischio Cyber attraverso ESRA ha permesso una valutazione del rischio basato su dati rilevati dai sistemi e quindi: dettagliata su tutti gli asset in perimetro e precisamente aderente allo stato attuale dell’infrastruttura. Per ottenere questo risultato ESRA ha integrato un insieme eterogeneo di fonti:
Mappa Processi – Applicazioni: ESRA permette di avere immediata cognizione delle applicazioni maggiormente sollecitate dai processi Operativi o ad alta specializzazione: una vista Immediata sulla propagazione degli Impatti.
Asset Inventory: ESRA adotta i più avanzati strumenti di rilevazione dell’inventario, permettendo censimenti accurati e real-time dei sistemi presenti sulla rete target ed il loro stato in termini configurazione ed aggiornamento.
Infrastructure Discovery: L’integrazione di una moltitudine di fonti dati premette un’accurata
Ricostruzione real-time dell’infrastruttura ITC interna ed esterna.
I dati di traffico, le caratteristiche degli asset e la loro rilevanza applicativa permettono un’accurata ricostruzione del livello di rischio su ogni elemento della rete, autonomamente.
Gli impatti del progetto ESRA su Hi-Lex Italy sono stati principalmente i seguenti:
Maggior consapevolezza sugli aspetti di cybersecurity sul personale, non solo IT, ma anche negli altri dipartimenti.
Revisione delle policy di sicurezza informatica per renderle più efficaci
Dotazione di sistemi di asset management, di patch management e di Vulnerability assesment
Ormai da anni le case automobilistiche richiedono ai propri fornitori certificazioni specifiche su molti settori, tra cui anche sulla Cybersecurity.
In particolar modo le case automobilistiche tedesche (Gruppo Volkswagen Audi, BMW) richiedono obbligatoriamente la certificazione TISAX (basata sulla ISO 27001 e sulla VDA ISA), al cui interno, tra le varie voci sono presenti requisiti specifici su:
• IT Security / Cyber Security,
• Access management,
• Identity and access management.
Il progetto ha permesso quindi all’Azienda di rafforzarsi su queste tematiche senza le quali non le sarebbe possibile partecipare ai bandi di gara per lo sviluppo di nuovi business.
