Caso Utente

Cyber Risk Governance, le scelte di Snam…anche per il Paese

In un’infrastruttura critica come l’utility nazionale del gas, la cybersecurity non è considerata solo come un elemento di supporto per la creazione del valore da parte del business, ma anche come un impegno morale nei confronti del Paese e uno strumento di social responsability verso gli stakeholder

Pubblicato il 10 Apr 2019

Giuseppe Aliverti

Caso Utente SNAM, come praticare industrial cybersecurity

È tra le infrastrutture critiche essenziali per il funzionamento del Sistema Paese Italia: un gruppo da 2.528 milioni di euro nel 2018, con un utile netto di 1.010 e investimenti per 882 milioni. Con oltre 3.000 dipendenti, Snam-Società Nazionale Metanodotti è considerata la principale utility regolata del gas in Europa, attiva in Italia e, tramite partecipate, in Albania, Austria, Francia, Grecia e Regno Unito. Risulta infatti ai vertici in Europa per estensione della rete di trasporto (32.625 km in Italia, oltre 41.000 con le partecipate internazionali) e capacità di stoccaggio di gas naturale (16,9 miliardi di metri cubi in Italia, oltre 20 miliardi con le partecipate internazionali).

Il modello di business dichiarato si basa sulla crescita sostenibile, sulla trasparenza, sulla valorizzazione dei talenti e sullo sviluppo dei territori. E con il nuovo progetto Snamtec, avviato nell’ambito del piano industriale 2018-2022, Snam s’è impegnata anche a imprimere una forte accelerazione agli investimenti per la transizione energetica, puntando su iniziative di tecnologia, innovazione e R&D a supporto delle grandi reti nazionali e internazionali e dei business della green economy, come la mobilità sostenibile, il gas rinnovabile, l’idrogeno e l’efficienza energetica.

Dal 2015 la Politica di Gestione del rischio

Un’infrastruttura critica come Snam deve necessariamente affrontare e gestire rischi di varia natura: strategici (come, per esempio, quelli di carattere geopolitico), legali e di non conformità, operativi (tra cui quelli attinenti alla sicurezza informatica) e finanziari. Questi ultimi sono quelli, relativamente, più ‘limitati’, dato che le attività del gruppo sono concentrate su business regolati.
A ogni modo, come ogni grande azienda, Snam si sforza di applicare un approccio strutturato e sistemico di governo di tutti i rischi che possano influire sulle condizioni alla base della creazione di valore.
Nel 2015, quindi, l’utility s’è dotata di un metodo d’individuazione, valutazione, gestione e controllo dei rischi strutturato e omogeneo per tutte le società del gruppo e ha messo a punto un documento complessivo di Politica di Gestione del rischio, per governare e presidiare (mediante i processi stabiliti di Enterprise Risk Management) le attività di identificazione e di misurazione dei rischi, la loro valutazione e prioritizzazione, la definizione della loro strategia gestionale, nonché il monitoraggio e reporting e la manutenzione ed evoluzione del modello di management adottato.
Per favorire la gestione più efficiente possibile del sistema gas nazionale, l’attività di Snam poggia su un’architettura tecnologica alquanto complessa e si avvale di un modello integrato di processi e soluzioni digitali in continua evoluzione, che ha comportato inevitabilmente un’attenzione crescente agli aspetti di cybersecurity.

L’innovazione IT a vantaggio del cost saving

Anche nell’ultimo anno, non sono mancati gli interventi di aggiornamento IT di particolare rilievo, soprattutto all’interno di progetti di efficientamento e di cost saving, come l’automazione dei servizi IT per gli utenti (che ha portato un risparmio di 4 milioni di euro), le creazione di una rete di fibra ottica di proprietà (con un risparmio di 1,5 milioni di euro) per connettere i data center di Snam, che a loro volta sono stati rinnovati in termini di strutture e tecnologie (portando un saving di 1,1 milioni di euro).
La strategia di sicurezza informatica sviluppata dall’utility s’è andata strutturando innanzitutto sui principali standard in materia (ISO/IEC 27001 (Information Security Management Systems) e ISO22301 (Business Continuity Management Systems) e la certificazione formale della conformità agli standard elencati) e ha mantenuto alta l’attenzione verso i continui aggiornamenti delle norme italiane ed europee, soprattutto di quelle relative al mondo delle infrastrutture critiche e dei servizi essenziali.

I valori dell’information security

“Per Snam – ha spiegato Massimo Cottafavi, Head of Cyber & Operations Security di Snam, in occasione dell’incontro dedicato ai risultati della Ricerca 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano – l’information security è sicuramente un elemento di supporto per la creazione del valore da parte del business, ma è anche un dovere morale nei confronti del Paese, in quanto siamo un’infrastruttura critica. Ed è infine uno strumento di social responsability verso gli stakeholder, e in particolare, ma non solo, verso i dipendenti e i collaboratori”.

Foto di Massimo Cottafavi
Massimo Cottafavi, Head of Cyber & Operations Security di Snam

Il team guidato da Cottafavi, la cui funzione si colloca all’interno della direzione Global Security e Cyberdefence, è composto da 15 persone tra collaboratori interni ed esterni e si occupa appunto di security, sia cyber sia fisica, e di business continuity.
“Gli ultimi tre anni – ha precisato Cottafavi – hanno visto un cambiamento organizzativo e culturale molto importante all’interno di Snam, che ha avuto riflessi rilevanti sulla security: in particolare, mi riferisco alla creazione di una direzione di Global security e con l’adozione di un approccio olistico, e cioè d’integrazione nella gestione di tutti gli ambiti della security, puntando anche su una forte focalizzazione su tutto ciò che è il mondo della prevention e dell’intelligence in senso lato”.

Il modello Snam di cyber security incident management

Negli ultimi anni, quindi, Snam è giunta a definire un modello specifico di cybersecurity incident management, volto a prevenire e, in caso di necessità, a garantire la tempestività degli interventi di remedition a fronte di eventi potenzialmente in grado di ledere la riservatezza, l’integrità e la disponibilità delle informazioni trattate e dei sistemi informatici utilizzati.
“Gli aspetti della digital transformation che hanno avuto maggiori implicazioni sulle attività di security in Snam – ha rimarcato Cottafavi –, e, anzi, le stanno avendo tuttora, dato che è un processo ancora in corso, sono in particolare il cloud, un ambito a cui ci stiamo aprendo in maniera molto mirata e oculata, e il mondo dell’IoT, specie per ciò che attiene l’ambito dell’Industrial Internet of Things”.
L’entrata in vigore del Gdpr è stata ‘assorbita’ dall’utility in maniera sostanzialmente soft.
“Il Gdpr, così come tutti gli altri stimoli di carattere normativo – ha affermato Cottafavi –, è stato vissuto in Snam soprattutto come un‘opportunità di miglioramento e, ancor più, come un’occasione di autodiagnosi e di auto-check up, per capire se ci fossero delle sacche di non efficacia e di non efficienza nel nostro modo di lavorare”.

Il fattore umano e la formazione

Al Security Incident Response Team di Snam spetta il compito di raccogliere e correlare tutti gli eventi di sicurezza registrati sull’intero perimetro dell’infrastruttura informatica aziendale, di monitorare ogni situazione anomala da cui possono discendere impatti negativi per l’operatività del gruppo e di attivare, ove necessario, piani di escalation idonei a garantire il coinvolgimento delle diverse strutture operative.
Una forte attenzione viene, inoltre, destinata alla sensibilizzazione e alla formazione specialistica del personale, in modo da facilitare maggiormente l’identificazione dei segnali deboli e rendere tutti i dipendenti e collaboratori di Snam il più possibile consapevoli dei rischi di natura cyber che possono manifestarsi nel corso delle consuete attività lavorative di tutti i giorni.
“Il fattore umano non è una vulnerabilità in senso assoluto – ha voluto sottolineare Cottafavi –: la vulnerabilità discende dall’incapacità delle aziende di formulare piani di sensibilizzazione adatti e capace di attrarre l’attenzione di persone che, non va dimenticato, fanno altro di mestiere”.
E se scatta il red alert, qual è la prima mossa prevista in un gruppo come Snam?
“In caso di data breach, per esempio – ha risposto Cottafavi ­­–, il primo intervento operativo sarebbe quello di mettere in atto tutte le azioni e le analisi necessarie per l’attività di contenimento da un lato e, dall’altro, quelle di comunicazione dell’escalation, così come le abbiamo formalizzate nel nostro metodo di lavoro”.
Su questo fronte, peraltro, grande importanza viene data al ricorso a logiche di info sharing con istituzioni e peers nazionali ed europei, con l’obiettivo comune di migliorare la capacità e rapidità di risposta a fronte di diversi possibili eventi negativi.
“L’unione fa la forza – ha ricordato Cottafavi –. Credo che nessuna azienda, per quanto grande, sia in grado da sola di far fronte alle moderne minacce cyber. Bisogna credere, quindi, e investire anche nell’info sharing”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Prospettive

    Formazione su Cyber Security e Sicurezza Informatica: ecco come fare

    04 Apr 2019

    di Giuseppe Aliverti

    Condividi

  • Prospettive

    Cyber diplomacy, lavori in corso per la collaborazione tra Stati

    29 Mar 2019

    di Giuseppe Aliverti

    Condividi

  • Caso Utente

    IT ibrida e orchestrazione cambiano l’IT di SNAM

    24 Gen 2019

    di Piero Todorovich

    Condividi

Prossimo

Formazione su Cyber Security e Sicurezza Informatica: ecco come fare

Articolo 1 di 4