SNAM – La security awareness per la protezione dei dati aziendali
Prevenire rendendo consapevoli le persone
Sensibilizzare il personale interno di qualunque settore su svariati aspetti della sicurezza delle informazioni è un must su cui Snam SpA ha puntato con un programma pluriennale. Il piano prevede una fase di controllo dei risultati raggiunti e degli obiettivi su cui puntare. Un aspetto che contribuisce alla sicurezza dell’organizzazione e all’efficacia in termini di protezione dei dati aziendali e personali. Una delle regole principali? Nessuno può mancare!
L’importanza dei dati per Snam: un’azienda come la vostra raccoglie una notevole mole di dati, a cosa servono e come li utilizzate per migliorare i vostri servizi?
Nel moderno mondo dell’informazione credo sia prima di tutto opportuno intendersi sul significato da attribuire al termine “notevole mole di dati”. Snam SpA è una delle primarie società operanti nel mondo del trasporto, stoccaggio e rigassificazione di gas naturale; ha poco più di 3.000 dipendenti e una fitta rete di relazioni con il contesto esterno, fatta prevalentemente di rapporti con società giuridiche. Non è quindi un’azienda operante nel mondo di internet, delle telecomunicazioni, in quello bancario o nella GDO, ambiti nei quali il termine “notevole mole di dati” ha un significato ben diverso, fatto di milioni di contatti e miliardi di record. Per una società come la nostra è forse più corretto parlare di “dati di notevole rilevanza”. Occuparsi del trasporto efficace e sicuro del gas lungo 33.000 km di rete significa poter disporre ed agire in tempo reale su dati sensibili, afferenti alle specificità del bene trasportato (temperatura, pressione, portata), le esigenze dei “clienti” (domanda istantanea e previsionale) e la qualità complessiva delle infrastrutture utilizzate per l’erogazione del servizio. Proprio per l’importanza intrinseca rivestita dai dati, sui quali poggiano le stesse decisioni che il business è chiamato costantemente a prendere, una grande attenzione viene posta agli aspetti di integrità e disponibilità degli stessi.
Che sfide si sono aperte nella vostra realtà su questi ambiti?
Gli aspetti di cybersecurity e le correlate esigenze di compliance normativa vengono gestiti con l’attenzione, la serietà e il senso di responsabilità che un’infrastruttura critica per il sistema Paese ha il dovere di mettere in campo.
Le sfide da affrontare sono numerose, ma soprattutto sono in continua evoluzione e questo porta con sé la necessità di rimodulare e riadattare l’approccio tattico, seppur nel rispetto della visione strategica definita. Volendo approfondire maggiormente, credo che uno dei temi più rilevanti sia l’integrazione fisico-logica dei processi di lavoro, conseguenza diretta e irreversibile dei profondi mutamenti indotti dai fenomeni di digital disruption in corso. Da essi, infatti, discende la necessità di ripensare l’organizzazione stessa della security, a partire dalla storica distinzione tra physical security da un lato e cybersecurity dall’altro. Specialmente in un contesto come quello in cui Snam si trova ad operare, un attacco cyber può avere conseguenze di natura fisica arrivando a coinvolgere potenzialmente anche la risorsa più importante di ogni azienda: l’uomo. Al contrario, una breccia nei sistemi di sicurezza fisica può portare a ricadute nel mondo cyber. Questo fenomeno sarà tanto più evidente quanto più diventerà massiva la presenza dei sistemi IoT nella nostra vita. Risulta pertanto prioritario attrezzare le funzioni di security per rispondere in modo olistico a minacce che, a seconda delle circostanze, possono palesarsi diversamente.
La sicurezza di un’azienda dipende moltissimo anche dal fattore P, inteso come Persone e, per questo, sempre più si parla di Security Awareness: come state operando su questo fronte?
Le persone sono al primo posto nella cultura di Snam e naturalmente questo vale anche per la security. Volendo essere pragmatici non potrebbe che essere così; per quanto gli attaccanti adottino criteri e modalità sempre più sofisticati per raggiungere i propri scopi, le statistiche mondiali ci dicono che una percentuale rilevante di attacchi informatici ha inizio con il più classico e tradizionale dei metodi: una mail (o soluzione equivalente) che adduce le motivazioni più disparate per richiedere l’invio di dati o la navigazione attraverso un link ipertestuale. Il fatto che queste forme di attacco siano ancora così diffuse la dice lunga sulle esigenze di security awareness delle aziende. In Snam viene dedicata grande attenzione a queste attività che migliorano la consapevolezza interna e per le quali sono stati stabiliti dei punti fermi di indirizzo. Primo: non esistono eccezioni, nel senso che nessuno può essere esonerato dalla partecipazione. Secondo: le singole iniziative non possono essere sviluppate in modo estemporaneo, bensì devono essere parte di un unico programma strutturato di miglioramento e rientrare in un piano con orizzonte pluriennale. Terzo: devono essere previste iniziative di “controllo” che permettano di identificare i risultati raggiunti e gli ambiti su cui concentrare gli sforzi futuri.
Alla luce di cambiamenti repentini nel mondo dell’IT, che richiedono figure sempre più specializzate, la formazione che ruolo ha in un’azienda come la vostra?
Come dicevo in precedenza, il mondo digital è in febbrile e costante evoluzione. La formazione, di conseguenza, deve essere costante e viene garantita, in funzione delle esigenze specifiche, attraverso la partecipazione a iniziative formative o l’affiancamento sul campo di professionisti con le necessarie competenze. All’interno della società, esiste uno specifico team di lavoro che si prodiga per gestire nel migliore dei modi tutte le esigenze di formazione espresse dalle diverse strutture.
Attingete più in outsourcing sul fronte IT oppure prediligete procedere internamente? Sulla base di che criteri avete deciso in questo modo?
Per quanto riguarda i temi afferenti alla cybersecurity, riteniamo che una società come Snam non possa dipendere, per l’indirizzamento delle proprie esigenze e l’approntamento delle opportune azioni, esclusivamente dall’esterno. Per questo motivo abbiamo optato per l’internalizzazione delle competenze core e per il contemporaneo affiancamento di pochi e selezionati partner cui ci rivolgiamo per le competenze più verticali.