Intervista a Mauro Torri, Chief Risk Officer di Italcementi Group
TIG. Quando è nata nel Gruppo Italcementi la consapevolezza del cyber risk e delle sue possibili implicazioni negative per il business?
Mauro Torri. All’inizio del 2015 ci siamo resi conto che in vari Paesi in cui il Gruppo è attivo ricevevamo mail fraudolente da persone che si spacciavano per fornitori, dipendenti o amministratori di altre società e richiedevano pagamenti indebiti. Questo fatto è avvenuto in molti Paesi, soprattutto europei. L’incremento delle richieste è stato così improvviso e spropositato che si è acceso un campanello di allarme. Abbiamo ricevuto non solo richieste di pagamento con falsificazione di codici IBAN ma anche mail di phishing con malware, furti di identità collegate ad account di posta elettronica aziendale, furti di titoli di credito, attacchi «cryptolockers».
TIG. Come avete quindi proceduto? quali sono state le azioni per ridurre il rischio cyber?
Mauro Torri. Abbiamo creato inizialmente una task force coinvolgendo diverse funzioni aziendali, la funzione Sicurezza IT, la Direzione di Enterprise Risk Management (ERM), l’area Finance, l’Internal Audit e marginalmente la funzione Legale. Con questo team di lavoro è stata sviluppata una strategia di difesa, centrata sia sull’identificazione di tutti i possibili casi di frode esterna, sia volta a dotarsi di strumenti idonei ad evitare o quantomeno ridurre il rischio di impatti negativi. Il primo passo è stata quindi la definizione di Linee Guida per la gestione del rischio cyber, o meglio, del rischio di frode (che è più ampio perché in alcuni casi gli attacchi possono arrivare da una telefonata invece che da una mail). Tali Linee Guida hanno lo scopo di identificare in maniera chiara i ruoli, le responsabilità e le attività dei principali soggetti coinvolti nel processo di gestione del rischio, sia a livello Corporate, sia di singolo Paese o filiale. Il documento è stato successivamente approvato dal Comitato Controllo Rischi. Il risultato è che oggi il Management dell’azienda è maggiormente a conoscenza del problema, e il Comitato Controllo Rischi, che si riunisce ogni 2 o 3 mesi, chiede sempre un aggiornamento sulla situazione in corso.
TIG. Quali scelte sono state fatte invece per elevare l’awareness delle persone in tema di Cybersecurity?
Mauro Torri. Un secondo obiettivo è stato quello di diffondere nell’organizzazione una maggiore conoscenza sulla possibilità di subire questo tipo di attacchi. Inizialmente la funzione ERM, unitamente all’Internal Audit e all’IT, ha inviato un avviso a tutti i dipendenti del gruppo per allertarli sul fenomeno, invitando i destinatari a segnalare gli attacchi subiti. A seguito di tale segnalazione è stato creato un database nella Intranet aziendale (a cura della funzione IT) con tutti i tentativi di frode subiti, al fine di monitorare il fenomeno. Successivamente, con il supporto della funzione IT, abbiamo deciso di simulare un attacco per verificare la reazione degli utenti. Abbiamo quindi proceduto a un invio di mail fraudolente con allegati eseguibili alla contabilità fornitori e alla tesoreria. Il test ha dimostrato che il comportamento delle persone non era quello sperato. Verificato quindi che un semplice alert non era sufficiente, siamo passati allo sviluppo di un modulo di eLearning, con una parte introduttiva di nozioni generali sulle diverse tipologie di attacco ed istruzioni molto chiare su come procedere, oltre che un test finale per verificare l’apprendimento. Oggi l’eLearning è in fase pilota su circa 40 persone, ma in prospettiva sarà erogato a tutti i dipendenti in Italia e successivamente nel mondo.
TIG. Su queste attività di formalizzazione di una strategia e di diffusione di maggiore awareness, siete intervenuti da soli o con l’apporto di fornitori esterni?
Mauro Torri. Per nostra scelta tutta l’attività è stata svolta internamente e la soluzione scelta ha dimostrato comunque un’elevata efficacia. Il monitoraggio continuo dei tentativi di frode prosegue, e per quanto riguarda il modulo di eLearning, verrà prossimamente tradotto nelle diverse lingue dei paesi stranieri affinché possa essere esteso a tutti i dipendenti.
A cura di: Elena Vaciago, The Innovation Group
Sempre sul tema dell’integrazione della gestione del cyber risk con l’Enterprise Risk Management (ERM) si consiglia la lettura dell’intervista a Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera “Integrazione del cyber risk nell’approccio ERM in Gruppo Hera”