Dynamic Cyber Risk Management nella prospettiva ERM nel Gruppo Hera

Le priorità di integrazione e omogeneizzazione della gestione dei rischi (Enterprise Risk Management, ERM) si devono confrontare oggi con uno scenario sempre più dinamico e complesso per quanto riguarda la risposta alle minacce cyber. Come rendere quindi il processo di allineamento e integrazione il più possibile dinamico, coerente con una fotografia dello stato di security che è in continua trasformazione? ne abbiamo parlato in questa intervista con Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera, che ci indica la strada corretta da seguire per ottenere i risultati sostenibili nel tempo.

TIG. Quale modello di cyber risk management avete adottato in Gruppo Hera, e come si sposa con il vostro Enterprise Risk Management?

Stefano Scoccianti. Il nostro ERM e più in generale le attività di valutazione e controllo dei rischi rispondono anzitutto al principio di segregation of duties, garantendo la distinzione tra le responsabilità operative e le responsabilità di controllo/compliance: le seconde sono allocate a strutture di controllo di secondo livello, il cui compito è di fornire a tutte le funzioni e business unit aziendali un’impostazione e approccio coerenti e regole di controllo dei rischi omogenee per tipologia di rischio, adottando metodologie standard in modo da uniformare l’approccio. Rientrano in questo disegno dei controlli di secondo livello tutte le attività connesse alla compliance, sia obbligatoria (secondo le norme generali e di settore), sia per le certificazioni di qualità, così come l’approccio strutturato all’analisi e gestione dei rischio. Esiste infine un controllo di terzo livello, l’Internal Audit, per verificare che i processi implementati siano adeguati ed efficaci per consentire il raggiungimento degli obiettivi aziendali.

Parlando di cyber risk, la metodologia di valutazione adottata è quella che segue l’approccio Magerit, riconosciuto dall’ENISA (European Union Agency for Network and Information Security), e serve a seguire obiettivi di gestione dei rischi ICT (integrità, disponibilità, riservatezza) valutando il livello di vulnerabilità di tutti gli asset ICT aziendali, tramite una visibilità puntuale su applicativi, sistemi, dati, infrastrutture, software.

Gli obiettivi di resilienza sono declinati per ciascuna delle filiere aziendali e dei principali processi aziendali, e quindi, per dare seguito alle opportune azioni di mitigazione dei rischi e implementare i più efficaci criteri di resilienza, vengono definite policy e istruzioni operative, redatte dal Presidio Sicurezza Logica e Privacy, indirizzando anche le scelte tecnologiche di alto livello sui sistemi di sicurezza.

Ulteriori indicazioni sono poi quelle rivolte a processi e risorse umane, limitando comportamenti a rischio e definendo regole stringenti ad esempio relative alle attività di gestione ed intervento sulle macchine, che sono eseguiti sotto la supervisione della Direzione Sistemi Informativi. La Direzione Servizi Informativi è incaricata di mettere in atto le contromisure di difesa dal rischio cyber, con tempistiche e piani di intervento precisi. Molteplici sono le soluzioni e gli strumenti di sicurezza adottati. Tuttavia occorre fare in modo che essi siano utilizzati in modo ottimale. Limitarsi alla loro implementazione non basta: devono anche essere efficacemente gestiti ed essere oggetto di costante attività di monitoraggio e controllo, altrimenti probabilmente rimarranno sottoutilizzati.

Le iniziative che abbiamo in corso sono tante, ma l’importante è seguire questa logica: a partire dalle indicazioni dei responsabili del controllo rischi, i responsabili dell’ICT si focalizzano sulle migliori soluzioni tecnologiche e procedono alle attività di implementazione e gestione.

TIG. Quali sono i vantaggi della struttura di controllo che avete adottato?

Stefano Scoccianti. I vantaggi di questo disegno sono molteplici. Avendo affidato il controllo a una struttura terza rispetto a chi implementa le soluzioni e le gestisce, l’attività sarà più efficace in quanto non immediatamente condizionata da comprensibili esigenze contingenti: il disegno cercherà comunque di traguardare obiettivi sfidanti pur contemperati dai vincoli operativi di natura gestionale ed economica. Inoltre, c’è un tema di specializzazione, perché il controllo è dato a figure che dispongono della corretta “strumentazione” di valutazione dei rischi, e non è detto che sia una competenza nelle disponibilità dei gestori dell’esercizio.

Terzo vantaggio e forse il più rilevante dal punto di vista organizzativo: le problematiche di sicurezza logica sono oggi trasversali a più ambienti, riguardano anche sistemi informatici utilizzati a supporto della gestione di reti energetiche e gas, sistemi di telecontrollo del ciclo idrico o della produzione e distribuzione di energia elettrica: sono attività non sempre riconducili al mondo ICT tradizionale, spesso fanno capo ad altre aree aziendali. Figure al di sopra delle parti ed approcci di Segregation of duties permettono di garantire l’intervento anche in questi ambiti.

TIG. Oggi un corretto cyber risk management deve diventare più dinamico rispetto al passato?

Stefano Scoccianti. C’è anche da noi la percezione che il tema del cyber risk abbia una rilevanza crescente.

Come sta cambiando la gestione di questo rischio in Gruppo Hera? Principalmente in due direzioni. Da un lato si tende ad utilizzare sempre meglio gli strumenti che si hanno. Dall’altro lato, bisogna accelerare l’attività di resilienza, prima impostata su orizzonti temporali più distanti, mentre oggi invece vanno anticipate le attività. Ad esempio, l’aggiornamento dei vari software e le attività di remediation devono avvenire entro intervalli di tempo più stretti. Bisogna quindi individuare nuovi meccanismi smart per consentire di farlo con il minimo disturbo ai processi operativi. Inoltre è approccio consolidato da parte del gruppo l’adozione di un sistema di disaster recovery periodicamente revisionato e testato, in modo da garantire la disponibilità dei sistemi informatici chiave per il nostro business, anche in casi di particolare gravità.

Secondo aspetto: occorre prevedere un approccio proattivo alla gestione del rischio cyber, ad esempio dotandosi di un centro operativo specializzato sulla cybersecurity (SOC), per avere informazioni già elaborate e tempestive su eventi esterni che possano rientrare tra le potenziali minacce, per una rilevazione tempestiva di situazioni di anomalia, per un monitoraggio più fine e diffuso dell’infrastruttura ICT aziendale.

Terzo: va diffusa nell’organizzazione una sensibilizzazione e cultura maggiore, un’accelerazione delle iniziative volte a tutta la popolazione dei dipendenti. Quello che si è appreso da alcuni casi eclatanti esterni al gruppo è infatti che serve oggi il contributo e la consapevolezza dell’utente come primo elemento di sicurezza del sistema complessivo.

TIG. Come impostare la comunicazione relativa alle problematiche di cybersecurity verso il Board e il Top management?

Stefano Scoccianti. Nel nostro caso, avere già impostato la gestione dei rischi a livello di gruppo ci ha permesso di portarla all’attenzione del vertice con l’approccio ERM, volto a esplicitare politiche, approccio, iniziative prese. Va anche sottolineata una maggiore sensibilità su tali tematiche da parte del CdA, che ha specificamente richiesto in più occasioni approfondimenti e relazioni sulla gestione del rischio cyber. Inoltre il reporting sui rischi per la sicurezza delle informazioni avviene in modo strutturato in specifici incontri con il Comitato Rischi. Sono presentati indicatori di rischiosità e resilienza che derivano dall’approccio metodologico iniziale, sottoinsiemi di indicatori che si muovono e modificano nel tempo, oltre a informazioni di tipo statistico sulle attività svolte, in corso e su eventi significativi. È importante dare al Comitato Rischi indicazioni efficaci e di sintesi, che evitino di perdersi nello specifico dettaglio, per rendere l’attività di comunicazione il più possibile efficace.

INTERVISTA A: