E’ italiana e “familiare” la storia manifatturiera di Brugola. L’azienda nasce nel 1926, in Brianza, a Lissone, dove Egidio Brugola fonda le omonime Officine (Oeb). All’inizio dell’attività in fabbrica si produce bulloneria, poi l’azienda si specializza in viti speciali (“viti critiche”, appunto) per i motori delle auto. Nel ’64, ad appena ventidue anni, prende in mano le redini dell’azienda il figlio Giannantonio che introduce tre imperativi per l’azienda: essere diversi in un mondo di simili, difetti zero, qualità totale. L’azienda cresce e tra il 1986 e il 1987 stringe accordi commerciali con la Volkswagen che riguardano la fornitura di viti per motori automobilistici, nel ’96 lo stesso con Ford, e a seguire anche con Renault, General Motors, Opel, Mercedes, Bmw.
Un comparto vitale per le auto ed i motori quello in cui opera Brugola, perché in ogni motore 7 tipi di viti su 70 rappresentano le parti più critiche.
Il contesto ed il bisogno
Facile comprendere come, anche nell’ambito manifatturiero come quello appena descritto, la digitalizzazione introduca nuove sfide per la cybersecurity, per la tipologia dei dati che vengono trattati e per la sensibilità delle informazioni, ma oltre a questo anche perché, proprio parlando di “viti critiche”, si intende sottolineare gli aspetti di progettazione, studio e creazione mirati per ogni singolo cliente, per cui è importante che anche i relativi dati vengano protetti e conservati. La motivazione è chiara, considerato come l’azienda produca mille differenti tipologie di viti, ognuna con componenti tecniche di trattamento e dimensioni diverse da cliente a cliente.
Lo spiega bene Fabio Mariani, IT System administrator per Brugola Oeb: “Il motivo per cui con la proprietà abbiamo deciso di rinnovare la parte di security deriva dal fatto che i nostri principali clienti – Audi, Volkswagen, Seat, per citarne alcuni – hanno richiesto che l’azienda raggiungesse la certificazione Tisax. Si tratta di una certificazione che pone l’attenzione sulla sicurezza degli asset aziendali, con particolare riguardo alla gestione di vulnerabilità, patch e penetration test”.
Brugola si attiva quindi per ottenere Tisax (Trusted Information Security Assessment Exchange): questo tipo di certificazione comprende la sicurezza degli asset aziendali, ma fa anche esplicito riferimento alla gestione delle vulnerabilità e delle patch, per cui il fornitore è tenuto a dichiarare di avere in atto soluzioni volte al consolidamento della sicurezza delle informazioni dei propri clienti. In particolare, puntualizza Mariani: “Le sfide che maggiormente ci preoccupavano erano gli attacchi ransomware, che spesso subiva l’azienda, e la protezione da possibili esfiltrazioni di dati tramite i canali cloud, come drive, o tramite chiavette Usb”. Brugola sente quindi il bisogno di una sicurezza più avanzata e pronta a sostenere le logiche infettive e di attacco evolute, come quelle dei ransomware di ultima generazione, mentre la generazione di soluzioni precedente non permetteva un controllo completo sulle attività degli utenti.
Il metodo e la soluzione
Brugola Oeb si attiva quindi mettendo sotto attenzione gli elementi chiave di Tisax per ottenere la quale la gestione delle vulnerabilità sul parco server e client è il requisito chiave. Facile a dirsi quando si parla di una piccola realtà, più complesso nel caso di questa azienda che dispone di un “team IT non esteso – spiega Mariani – ma allo stesso tempo di una struttura composta da 400 client, suddivisi tra Italia e Stati Uniti, 120 server virtualizzati su Hpe e circa 50 smartphone solo per lo stabilimento italiano”.
Per questo serve una soluzione che consenta una gestione centralizzata della sicurezza. L’azienda lavora quindi con il partner Negroni Sistemi che aiuta Brugola a condurre le prove tecniche necessarie sul campo per verificare se la strategia scelta possa sposarsi con le altre già in essere e con logiche e infrastrutture esistenti. E la scelta cade su WithSecure. In particolare, per la gestione centralizzata delle vulnerabilità e delle patch si sceglie WithSecure Elements Vulnerability Management ed invece le soluzioni di WithSecure Elements Endpoint Protection e WithSecure Elements Endpoint Detection and Response, per i rispettivi ambiti, ovvero Epp e Edr.
Inizialmente la tecnologia WithSecure viene installata solo su una “porzione” di server e client, individuando alcune figure chiave nei diversi reparti che trattano diverse tipologie di dati e con diversi incarichi, per verificare l’effettiva capacità di WithSecure di garantire sicurezza senza impedire l’operatività. Quindi WithSecure viene installato su diversi Sql Server, che ospitano i database di tutta l’azienda. Successivamente, la soluzione viene estesa prima a tutti i client e server italiani, poi anche alla sede oltreoceano. Ma, mentre in Italia la protezione WithSecure è attiva su tutte le sedi e su client, server, device, negli Usa riguarda solo server e client, anche se l’azienda conta di estendere la protezione con WithSecure anche agli smartphone utilizzati dalle risorse nel plant americano.
I vantaggi
Con WithSecure, è stato possibile creare diversi profili utente e regole di protezione più o meno stringenti, limitando l’utilizzo di dispositivi esterni: per esempio, al dipartimento tecnico è stata inibita la possibilità di utilizzare dispositivi esterni per evitare la fuoriuscita di disegni tecnici. Ed ora “i nostri dipendenti si connettono in rete, e noi possiamo raggiungerli e isolare il client se si verifica un attacco o un’anomalia – spiega Mariani -. Per esempio, se un client è collegato su una rete a Tokyo perché il commerciale si trova in Giappone, e prende un ransomware, abbiamo la possibilità di poterlo isolare”.
Considerato come l’azienda di fatto operi h24, sette giorni su sette, con tante risorse che operano con dispositivi portatili ed utilizzano tecnologie di collegamento “esterne” (che l’azienda non può e non deve controllare), avere la possibilità di raggiungere i device ovunque siano collegati e poter isolare il client se accade qualcosa si rivela cruciale. Chiude Mariani: “In futuro, sarebbe auspicabile anche l’implementazione da parte di WithSecure di un Siem. Completerebbe ]…[ l’offerta”.
© RIPRODUZIONE RISERVATA