Cyber Security

{ GRI 418-1 }

Secondo il Global Risks Report 2020 del World Economic Forum, gli attacchi cyber sono al sesto posto tra i rischi più impattanti dei prossimi anni. Per questo, Alperia, che in quanto provider di servizi energetici gestisce una gran mole di dati (i dati personali dei clienti, dei collaboratori e dei partner, i dati tecnici relativi ai consumi dei clienti, alle infrastrutture di distribuzione, agli impianti di produzione di energia elettrica e di calore), sta adottando una rigida strategia difensiva. Controllare l’accesso alle informazioni e la loro corretta gestione in termini di riservatezza, privacy e consistenza sarà sempre più importante.

Gestione del rischio

RischioModalità di gestione
Rischio di mancata Compliance con le disposizioni di legge sulla privacy con riferimento alla protezione dei dati sensibili.Vogliamo garantire il rispetto delle normative della privacy, per questo monitoriamo continuamente i sistemi di sicurezza aggiornandoli allo stato dell'arte e abbiamo implementato tutte le misure previste dalla GDPR.
Rischio di incidenti di sicurezza e mancata gestione delle informazioni nonché protezione dei dati sensibili e proprietà intellettuale a causa della non adeguatezza dell'infrastruttura con possibile perdita o divulgazione dei dati. Rischio di possibili malfunzionamenti delle infrastrutture OTT con possibile impatto sulla continuità di erogazione dei servizi a causa di mancato/non adeguato potenziamento dell'infrastruttura informatica e predisposizione di piani di emergenza.Vogliamo garantire la protezione di tutti i dati da incidenti di sicurezza e garantire la Business Continuity in caso di incidenti informatici (e.g. guasti del server, interruzioni di corrente), per questo, ci avvaliamo di efficienti sistemi della protezione da attacchi e incursioni interne ed esterne e abbiamo rinnovato la certificazione ISO 27001 e sviluppato piani di continuità operativa (INS-212.01 Business Continuity - Disaster Recovery IT).

A occuparsi della sicurezza informatica è una struttura dedicata che definisce e supervisiona le architetture e i sistemi di sicurezza informatica, si occupa dei sistemi di gestione delle identità e di controllo degli accessi e interviene in caso di eventuali attacchi. 

Nel 2019 sono stati introdotti nuovi e più performanti sistemi di gestione sia interni che esterni al mondo Alperia, anche attraverso l’uso di piattaforme di intelligenza artificiale (AI). Gli attacchi, sempre più frequenti e ad alto rischio, infatti, vengono veicolati da software di AI estremamente sofisticati ed è per questo che è necessario difendersi utilizzando lo stesso linguaggio. Nel 2019, Alperia non ha riscontrato incidenti significativi sulla sicurezza informatica, ma è consapevole di quanto sia importante proteggersi con barriere sempre più sofisticate. Per questo, abbiamo introdotto un doppio sistema di antivirus per la posta elettronica e tutti i documenti sono stati classificati secondo uno specifico livello di riservatezza (pubblici, riservati, confidenziali). Le attività di aggiornamento continuano con i test del Piano di Disaster Recovery e con l’adozione di sistemi di protezione contro le minacce di tipo ransomware. 

Nel 2019 abbiamo anche rinnovato la certificazione ISO 27001 che ha esteso ulteriormente il proprio campo d’azione andando ancora più in profondità nelle verifiche richieste. Si tratta di uno standard internazionale che riconosce l’adozione da parte del Gruppo di un sistema sicuro per la gestione dei sistemi informativi aziendali (informatici e documentali), al fine di monitorare e ridurre i costi di gestione, assicurare adeguati livelli di servizio, monitorare e ridurre i rischi di possibili interruzioni. La certificazione è sottoposta a un audit annuale a cui si aggiungono ulteriori controlli effettuati dall’Internal Audit del Gruppo. 

Nel corso del 2019 è stato inoltre sviluppato il Business Continuity Plan da attivare in caso di attacchi. In adempimento a quanto richiesto dalla normativa europea sul GDPR, è stato nominato un DPO – Data Protection Officer – esterno rispetto alla direzione IT. È stata anche sviluppata una nuova procedura di “Privacy by Design” che deve essere eseguita all’avvio di ogni nuovo progetto così da verificare se il progetto in questione risponda agli standard previsti dalla normativa sulla privacy e sul GDPR. 

All’innovazione tecnologica si accompagna la formazione. Dopo le attività che hanno coinvolto il team IT, nel 2020 partirà un percorso di formazione dedicato alla Cyber Security che coinvolgerà i dipendenti dando loro maggiore consapevolezza rispetto ai rischi informatici. Le criticità più evidenti derivano, infatti, molto spesso dal fattore umano. Per essere sempre aggiornata e al passo con i tempi, Alperia è parte attiva di alcune realtà di rilievo del settore, come CLUSIT (Associazione Italiana per la Sicurezza Informatica), e ha partecipato a eventi specializzati sulla sicurezza come ITASEC (Italian Conference of Cyber security).

I numeri della sicurezza 

Nel 2019 i sistemi di protezione di Alperia hanno bloccato in media ogni giorno 4.000 mail di tipo spam e 6.000 tentativi di connessioni malevole, quest’ultimo dato in calo del 73% rispetto al 2018. Tale variazione è determinata dal fatto che è cambiato il paradigma di misurazione: dal 2019, infatti, viene individuato il tentativo di accesso ai sistemi Microsoft al di fuori del perimetro di Alperia (sede di Bolzano), onde evitare di includere nel conteggio gli errori che potrebbero essere commessi dagli utenti nella digitazione della password.
Le mail di tipo spam, invece, sono in aumento del 33% rispetto al 2018 (circa 1.000 in più). Tale aumento dipende da una maggiore apertura verso il cloud e le nuove applicazioni internet.

Ogni mese sono stati identificati e bloccati in media

  • 2.930 virus: il dato è significativamente più alto rispetto a quello del 2018 (70 virus) poiché vi sono stati due episodi di attacchi mirati bloccati internamente in un periodo di tempo limitato di circa due mesi;
  • 31 spyware (software che raccoglie informazioni riguardanti l’attività online di un utente): il dato è in flessione del 23% grazie a sistemi di sicurezza interni più efficienti e a una maggiore consapevolezza degli utenti;
  • 2 milioni di attività internet malevole, sospette o non consentite (attività relative alla navigazione internet sospetta o non consentita): esattamente il 100% in più rispetto al 2018, anche in questo caso attribuibile a una maggiore apertura/esposizione verso il cloud e le nuove applicazioni internet;
  • 200 applicazioni malevoli o non consentite: in aumento del 67% rispetto al 2018, a causa di una maggiore apertura/esposizione verso il cloud e le nuove applicazioni internet;
  • 250.000 contenuti malevoli o non consentiti: dato in linea con il 2018 

Come si evince dai numeri, le minacce sono in continua crescita. I sistemi di difesa devono, di conseguenza, essere sempre aggiornati per riuscire a contrastarle efficacemente, garantendo la necessaria sicurezza ai sistemi aziendali.

Digitalizzazione

Per diventare un’azienda moderna, pienamente efficiente e intelligente, Alperia deve completare la propria trasformazione digitale. Un cambiamento che non solo renderà più snella l’attività quotidiana, ma che potrà anche contribuire in maniera determinante alla riduzione dei consumi energetici. Moltiplicando le interconnessioni tra edifici, apparecchiature, attrezzature e sistemi di trasporto, la digitalizzazione offre vantaggi in termini di efficienza energetica nettamente superiori a una gestione analogica. Inoltre, con il digitale, è possibile analizzare i dati che si hanno a disposizione così da apportare migliorie ed efficientamenti nella gestione delle attività.

digitalizzazione

Un processo che è supportato da soluzioni tecnologiche di alto livello, come sensori, misuratori, registri distribuiti e interfacce, sui quali Alperia sta lavorando con un piano serrato. Il processo di digitalizzazione del Gruppo conta, infatti, dodici cantieri. Il primo, giunto a compimento nel 2019, ha riguardato l’area del Marketing, a cui seguirà, nel 2020, il Sales, con l’integrazione dei processi di fatturazione e contabilizzazione. Si procederà, quindi, facendo convergere in un unico applicativo gli ERM che coprivano il mondo corporate e il mondo Edyna per dare a tutte le strutture del Gruppo delle procedure comuni. Saranno armonizzati i processi chiave: dalla pianificazione agli acquisti, dal budgeting al controlling. Tra il 2020 e il 2021 saranno anche rivisti i sistemi di fatturazione, con una distinzione tra le commodities (che andranno incontro a una revisione totale dell’applicativo di fatturazione) e le non commodities. Partiranno, a seguire, altri due cantieri dedicati all’analisi dei dati e alla loro integrazione. Saranno definiti dei cruscotti di monitoraggio che consentiranno di analizzare i dati e di elaborare reporting finali chiari ed efficaci. Tali dati saranno certificati e integrati nei processi con un nuovo sistema di interfacce. 

Non solo: nel 2019, Alperia ha iniziato a fare delle rilevazioni sullo stato degli asset che proseguirà per tutto il 2020 con l’obiettivo di arrivare a definire delle serie di dati costruite nel tempo sulla base delle quali impostare processi di manutenzione predittiva. Per rilevare anomalie che potrebbero causare imminenti guasti a impianti e macchine, infatti, si utilizzano processi di analisi cognitiva, apprendimento automatico e data mining. Tutto ciò consente di ridurre i costi di manodopera, di limitare i tempi di produzione persi a causa di un guasto, nonché di aumentare l’efficienza e la sicurezza. 

Parallelamente, sono state sviluppate una serie di azioni legate al cambiamento delle modalità di lavoro, con un orientamento sempre più marcato verso lo smart working. È stato fatto un censimento di tutti i PC, delle chiavette, dei cellulari, dei tablet presenti in azienda e si è provveduto alla creazione di applicazioni in cloud. Al momento, sono state implementate delle soluzioni software che dovranno essere testate da alcune famiglie di utilizzatori per verificarne l’usabilità, prima di estenderle a tutti i dipendenti. 

Anche le auto di servizio subiranno dei cambiamenti: delle black box registreranno le informazioni di bordo rendendo la gestione del parco auto più semplice e immediato. 

Tutti questi cambiamenti richiedono una revisione dei linguaggi e delle modalità di lavoro, per questo è fondamentale realizzare un’adeguata formazione delle risorse umane: attività che nel 2019 è entrata nel vivo con diverse giornate dedicate alla digital transformation e al change management che proseguiranno anche nel corso del 2020. L’obiettivo è sviluppare una cultura comune innovativa, rendendo consapevoli tutti coloro che lavorano in Alperia di quanto la digitalizzazione sia utile a livello professionale ma anche sociale.

Obiettivo strategico: Vogliamo garantire la protezione di tutti i dati e il rispetto degli standard di sicurezza applicabili.

Obiettivi operativiMisure attuate nel 2019Misure programmate nel 2019Termini (nuovi)KPIValore obiettivoValore 2019

Compliance al 100% con le disposizioni di legge sulla privacy
Adozione di un'applicazione software per la gestione delle problematiche GDPR e per il controllo della Compliance 2020
(ongoing)
Percentuale di Compliance100%100%

Nessun incidente di sicurezza per quanto riguarda la gestione delle informazioni e la protezione dei dati
  • Rinnovo della certificazione ISO 27001 (Information Security Management) per il 2019
  • Valutazione dei fornitori certificati secondo la ISO 27001
  • Rinnovo della certificazione ISO 27001
  • Valutazione dei fornitori certificati secondo la ISO 27001
2020
(ongoing)
Incidenti relativi alla sicurezza00

Garantire la Business Continuity in caso di incidenti informatici (p. es guasti del server, interruzioni di corrente)
  • Test ed esecuzione del Piano di Disaster Recovery
  • Sviluppo di un piano di continuità operativa in caso di attacco (INS-212.01 Business Continuity
  • Disaster Recovery IT)
  • Adozione di sistemi per la riduzione delle minacce ransomware
  • Aggiornamento dello stato dell'arte dell'intero impianto di sicurezza
Aggiornamento dello stato dell'arte dell'intero impianto di sicurezza2017-2021
(ongoing)
Percentuale di preparazione100%80%

Creare una cultura della sicurezza informatica tra i nostri dipendenti al fine di ridurre i rischi
Sviluppo di un corso online sul tema Cyber Security per il team ITPredisposizione di un corso di formazione sulla Cyber Security e sull'utilizzo sicuro dei media digitali per tutto il personale del Gruppo2017-2021
(ongoing)
Percentuale di preparazione100%50%