Un attacco informatico a un'infrastruttura critica, come una centrale elettrica o un ospedale, può far andare in crisi l'intero sistema e influire sul benessere fisico delle persone e sulla loro capacità di gestire un'attività o ottenere servizi di base come acqua, energia, cibo o assistenza sanitaria.
Tutte le aziende oggi dispongono di sistemi IT (Information Technology) e sistemi OT (Operational Technology).
Una strategia di sicurezza di difesa in profondità multilivello deve affrontare sia gli ambienti IT che OT.
Lo scopo di una politica di sicurezza informatica è proteggere il maggior numero possibile di risorse e, principalmente quelle più importanti, identificando ciò che è più prezioso e garantendo la massima protezione. Un approccio sistemico funziona assegnando priorità e mitigando i rischi a un livello accettabile.
Le Norme (come a esempio IEC/ISO 27001 e IEC 62443) sono strumenti importanti per definire un programma di sicurezza informatica olistico e di successo, definendo misure di sicurezza basate sulle migliori pratiche, ma anche le caratteristiche di un'organizzazione che implementi le misure in modo efficiente ed efficace.
