Cyber Security

{ GRI 418-1 }

Una nuova unità per la sicurezza informatica

In un mondo sempre più connesso, i rischi legati alla cyber security aumentano. Gli attacchi informatici contro le imprese, un tempo considerati eventi straordinari, negli ultimi cinque anni sono quasi raddoppiati29 con un livello di sofisticazione sempre maggiore. E nell’anno della pandemia questo rischio si è ulteriormente amplificato. Un tema che riguarda tutte/i: cittadine/i, governi e imprese di ogni dimensione, e che per una realtà come la nostra è assolutamente prioritario. Alperia, in quanto provider di servizi energetici, gestisce infatti una grande mole di dati: i dati personali delle/dei clienti, delle/dei collaboratrici/ori e dei partner, i dati tecnici relativi ai consumi delle/dei clienti, alle infrastrutture di distribuzione, agli impianti di produzione di energia elettrica e di calore. La cyber security è perciò centrale ed è oggetto di importanti investimenti integrati anche nel nostro Piano industriale, tra i quali rientrano:

  • l’adozione e il rinnovo di sistemi best-of-breed per la threat detection e la sicurezza perimetrale
  • l’utilizzo di strumenti avanzati di monitoraggio del traffico di rete interno
  • la formazione delle/dei dipendenti

In particolare, ci siamo dotati di un’unità di Data Protection & Security che si occupa di: definire le linee guida in materia di compliance rispetto al GDPR per la tutela dei dati personali e in materia di cyber security, di monitorare la vulnerabilità dei sistemi, introdurre misure protettive, nonché promuovere programmi di consapevolezza e di formazione per le/i dipendenti sulla sicurezza IT. Un’importante novità rispetto al passato che evidenzia un’attenzione ancora maggiore sul fronte della sicurezza informatica. Alperia infatti garantisce il massimo rispetto sia delle norme a cui è tenuta per obbligo di legge, sia di quelle che sceglie di seguire in maniera volontaria, come nel caso della certificazione ISO 27001 che è stata rinnovata anche nel 2020 e che è stata estesa alle società delle/dei fornitrici/ori, che sono stati valutate/i secondo i parametri previsti dalla ISO 27001 con audit approfonditi. Inoltre, nel corso dell’anno, abbiamo eseguito con esito positivo le verifiche di compliance normativa di tutte le società del Gruppo, abbiamo continuato ad aggiornare il Piano di Disaster Recovery e ad adottare sistemi di protezione contro le minacce di tipo ransomware.

Al centro della strategia di Alperia c’è un innovativo approccio di Security e Privacy by Design, secondo il quale sicurezza e protezione dei dati sensibili vanno di pari passo, con l’obiettivo di difenderci da attacchi e vulnerabilità impreviste, con misure come il monitoraggio continuo, l’utilizzo di fattori a doppia autenticazione e sistemi di protezione evoluti. In particolare, sono stati riorganizzati tutti i sistemi legati alla gestione della privacy, così da renderli ancora più sofisticati, e Alperia si è dotata di un sistema che consente di fare un’analisi avanzata dei rischi per capire prontamente dove e come intervenire per colmare eventuali gap, rispetto a quanto previsto dalle normative di Data Protection, dal GDPR e dalla certificazione ISO 27001. Allo stesso modo, sull’aspetto sicurezza, ci siamo dotati di strumenti di intelligenza artificiale che consentono di tenere sotto controllo eventuali minacce, sia esterne che interne, così da attivare sistemi di mitigazione adeguati. Inoltre, con un tool di vulnerability management, il team evidenzia le aree di debolezza dei software installati sui pc aziendali e le segnala all’IT, così da attivare sistemi di protezione di cui poi sarà verificata l’efficacia.

Con la consapevolezza che molte minacce arrivano dall’interno, come conseguenza di una scarsa dimestichezza rispetto ai rischi informatici, Alperia ha provveduto ad acquistare una soluzione specifica per sensibilizzare le/i collaboratrici/ori e colmare i gap formativi relativi ai temi di sicurezza informatica, che nel 2021 sarà messa a disposizione delle/dei collaboratrici/ori, affinché tutte/i possano comprendere come gestire in maniera sicura i sistemi informatici.

Si segnala che il responsabile dell’area Data Protection & Security è anche il DPO – Data Protection Officer – del Gruppo. Sono infine proseguite le collaborazioni con alcune realtà di rilievo del settore, come CLUSIT (Associazione Italiana per la Sicurezza Informatica).

I numeri della sicurezza 

Minacce, spam e incidenti da bloccare

Nel 2020, Alperia non ha riscontrato incidenti significativi sulla sicurezza informatica, ma sono comunque emerse delle minacce. I sistemi di protezione hanno bloccato in media ogni giorno 2.000 mail di tipo spam e 1.000 tentativi di connessioni malevole, dati in calo rispetto al 2019, rispettivamente del 50% e dell’83%. La variazione è determinata dal fatto che sono stati rivisti i metodi e i sistemi di misurazione e che sono state introdotte nuove funzioni di protezione cloud in grado di riconoscere e scartare alcune tipologie di connessione ancora prima che vengano eseguiti tentativi di accesso.

Ogni mese sono stati identificati e bloccati in media:

  • 530 virus: il dato è in calo dell’82% rispetto all’anno precedente ed è legato a un episodio di attacco mirato
  • 27 spyware (software che raccoglie informazioni riguardanti l’attività̀ online di una/un utente): il dato è in flessione del 13% grazie a sistemi di sicurezza interni più efficienti e a una maggiore consapevolezza delle/degli utenti
  • 2 milioni e 800 mila attività internet malevole, sospette o non consentite (attività relative alla navigazione internet sospetta o non consentita): il 40% in più rispetto al 2019, attribuibile a un incremento di utenze e a una maggiore esposizione dei servizi internet
  • 360 applicazioni malevoli o non consentite: in aumento dell’80% rispetto al 2019, attribuibile a un incremento di utenze e a una maggiore esposizione dei servizi internet
  • 54.000 contenuti malevoli o non consentiti: dato in calo del 78% rispetto al 2019, in quanto sono state eseguite attività volte a evitare l'uso alla fonte di connessioni verso contenuti bloccati o non consentiti

Obiettivo strategico: Vogliamo garantire la protezione di tutti i dati e il rispetto degli standard di sicurezza applicabili.

Obiettivi operativiMisure attuate nel 2020Misure programmate nel 2020Termini (nuovi)KPIValore obiettivoValore anno
2020
Status
Compliance al 100% con le disposizioni di legge sulla privacy* Effettuata l’indagine sui prodotti Sw che gestiscono la problematica* Selezionato il prodotto adatto, effettuato l'acquisto a fine anno con implementazione nel corso del 2021 * Implementazione Sw del prodotto One Trust per gestire la tematica GDPR, nel corso del 2021AnnualePercentuale di Compliance100%100%Inserire img spunta
Nessun incidente di sicurezza per quanto riguarda la gestione delle informazioni e la protezione dei dati* Rinnovata la certificazione ISO27001 per il 2020* Ri-certificazione ISO27001 a giugno 2021AnnualeIncidenti relativi alla sicurezza00Inserire img spunta
Garantire la Business continuity in caso di incidenti informatici (ad esempio guasti del server, interruzioni di corrente)* Creata la Direzione Data Protection & Security con specifica missione di definire linee guida per compliance GDPR e cyber sicurezza* Adozione di una soluzione SIEM (MS Sentinel) per il monitoraggio continuo dei rischi informatici* Predisposizione di una dashboard per le evidenze delle misure di compliance e rischio* Elaborazione del piano della sicurezza per il Gruppo* Mappatura dei rischi informatici per il Gruppo* Integrazione GDPR delle nuove aziende partecipate* Implementazione Sw del prodotto One Trust per gestire la ISO27001, nel corso del 2021Dicembre 2021Percentuale di preparazione-100%In corso
Creare una cultura della sicurezza informatica tra le/i nostre/i dipendenti al fine di ridurre i rischi* Selezione e acquisto di un Sw e servizi di formazione sulla Cybersecurity awareness, al fine di migliorare la consapevolezza di tutte/i le/i collaboratrici/ori sui temi della sicurezza informatica* Avviare il piano di formazione con il Sw Proofpoint di Security Awareness nel 2021Dicembre 2021Percentuale di preparazione-0,75In corso

29 Fonte: Global Risk Report 2018 – World Economic Forum.