Cyber security

{ GRI 418-1 }

Alperia in quanto provider di servizi energetici gestisce una gran mole di dati: i dati personali dei clienti, dei collaboratori e dei partner, i dati tecnici relativi ai consumi dei clienti, alle infrastrutture di distribuzione, agli impianti di produzione di energia elettrica e di calore. Il sistema informatico di Alperia è articolato e complesso e gestisce una ingente mole di dati. Consapevole di quanto sia importante assicurare la protezione di tale patrimonio informativo, specie nell’era digitale, Alperia pone la massima attenzione per garantire la sicurezza di queste informazioni in termini di riservatezza, privacy, consistenza e disponibilità di controllo degli accessi.

A occuparsi della sicurezza informatica è una struttura dedicata guidata da un Security Manager che opera nell’ambito della Direzione IT. Tale unità definisce e supervisiona le architetture e i sistemi di sicurezza informatica, si occupa dei sistemi di gestione delle identità e di controllo degli accessi e interviene in caso di eventuali attacchi informatici. Garantire la gestione della Cyber Security, infatti, significa evitare l’accesso non autorizzato ai sistemi e la conseguente possibile sottrazione di dati sensibili o personali o di informazioni riservate. Per questo, Alperia aggiorna costantemente i suoi sistemi di sicurezza, lavorando sia sulla protezione esterna che sulla protezione interna.

Sempre più spesso, infatti, gli attacchi informatici avvengono attraverso tecnologie molto avanzate di intelligenza artificiale e machine learning. Sistemi che Alperia contrasta adottando, a sua volta, tecnologie evolute che, a partire dalla valutazione dei comportamenti quotidiani dei collaboratori, ne evidenzia eventuali anomalie. Anche la posta elettronica del Gruppo è protetta da eventuali spam e malware. Il Gruppo intende inoltre avvalersi di analisi relative alla sicurezza dei sistemi attraverso organizzazioni esterne specializzate nella gestione dei software per la sicurezza ad altissimi livelli, al fine di identificare eventuali carenze, rafforzando le difese laddove necessario.

Nel 2018, intanto, è stato implementato il sistema per la gestione del GDPR, il regolamento europeo per la tutela della privacy, con formazione distribuita per tutto il personale aziendale e attività di internal audit aziendale. Un gruppo dedicato si è occupato dell’implementazione del regolamento e del potenziamento dell’infrastruttura informatica di sicurezza.

Alcuni numeri relativi alla sicurezza in Alperia

Nel 2018 i sistemi di protezione di Alperia hanno bloccato in media ogni giorno 3.000 mail di tipo spam e più di 22.000 tentativi di connessioni malevole, in calo rispetto al 2017. Ogni mese sono stati identificati e bloccati in media:

  • 70 virus (+ 312% rispetto al 2017 quando erano stati 17),
  • 40 Spyware (software che raccoglie informazioni riguardanti l’attività online di un utente): quasi il doppio rispetto al 2017 quando erano 22;
  • 1 milione di attività internet malevole, sospette o non consentite (+ 67% rispetto al 2017 quando erano state 600.000);
  • 120 applicazioni malevole o non consentite (erano 80 nel 2017);
  • 250.000 contenuti malevoli o non consentiti (invece di 300.000 nel 2017).

Come si evince dai numeri, le minacce sono in continua crescita. I sistemi di difesa devono, di conseguenza, essere sempre aggiornati per riuscire a contrastarle efficacemente, garantendo la necessaria sicurezza ai sistemi aziendali.

È stata inoltre predisposta e potenziata un’infrastruttura informatica di sicurezza, è stata creata un’infrastruttura di business continuity per i sistemi open e nel 2019 sarà stilata la lista delle raccomandation che Alperia dovrà tenere presente per rafforzare la propria infrastruttura, con un piano di lavoro per implementarla. Anche le possibili minacce interne sono state monitorate attraverso specifici sistemi di analisi. Le attività di aggiornamento continuano con i test del piano di disaster recovery e con l’adozione di sistemi di protezione contro le minacce di tipo ransomware. Il tutto, con l’obiettivo di rendere l'intero impianto di sicurezza sempre più aggiornato ed efficace.

Il Digital Officer si è occupato di analizzare tutto il parco applicativo esistente, identificando i gap e definendo la road map per tutte le aree aziendali in particolare Contabilità, Gestione Asset, Marketing & sales, e le strutture atte a raccogliere i big data in ottica IoT. Sono quindi stati identificati nuovi target, è stata implementata una nuova piattaforma informatica per il procurement ed è stato impostato un processo che dà la possibilità ai clienti di interagire con Alperia anche attraverso strumenti digitali per perfezionare i contratti. Il “Try & Test” non è stato solo a livello tecnologico ma anche culturale, attraverso l’introduzione di gruppi di lavoro cross funzionali.

In questo contesto, è determinante essere sempre formati e aggiornati. Per questo, i collaboratori che hanno accesso a dati sensibili hanno preso parte a giornate di formazione e a esercitazioni dedicate. Attività a cui si sono affiancati dei corsi su MS Office e corsi D3 e che sarà potenziata nel 2019 con l’avvio di un corso online sul tema della Cyber security e l'utilizzo sicuro dei media digitali destinato a tutto il personale del Gruppo. A tale scopo si effettueranno interventi specifici nell’area workplace per i dipendenti con un utilizzo più consistente di strumenti di e-learning.

0 (zero)
casi di furti, diffusione o perdite di dati relativi ai clienti identificati nel corso del 2018

Il sistema di Cyber Security adottato da Alperia rispetta la certificazione ISO27001, standard internazionale che riconosce l’adozione da parte del Gruppo di un sistema per la gestione affidabile e sicura dei sistemi informativi aziendali (informatici e documentali), al fine di monitorare e ridurre i costi di gestione, assicurare e dimostrare adeguati livelli di servizio, monitorare e ridurre i rischi di possibili disservizi e limitare i rischi di interruzione del servizio. La certificazione è sottoposta a un audit annuale a cui si aggiungono ulteriori controlli effettuati dall’Internal Audit del Gruppo. Nel 2019 si intende valutare che anche i fornitori siano certificati secondo la ISO 27001 e si pianifica la partecipazione a eventi specialistici di sicurezza (ITASEC, Clusit,ecc).

Nel corso del 2018 non si sono verificati incidenti di sicurezza informatica (classificati come “incidents” nella normativa) relativi al “topic” Cyber Security. Una particolare attenzione, infine, è stata riposta nella gestione del sistema di sicurezza durante le attività svolte con le startup.

Obiettivo strategico: Vogliamo garantire la protezione di tutti i dati e il rispetto degli standard di sicurezza applicabili.

Obiettivi operativiMisure attuate nel 2018Misure programmate 2018TerminiKPIValore obiettivoStatusAnno attuale - 2018

Compliance al 100% con le disposizioni
di legge sulla privacy
  • Supportato il gruppo nell'implemenazione del sistema per la gestione GDPR relativa alle tematiche Privacy
  • Internal audit sulla privacy
Ricerca di una applicazione
software per la gestione delle
problematiche GDPR e per il
controllo della compliance
2019Percentuale
di
Compliance
100%In corso100%

Nessun incidente di sicurezza
per quanto riguarda la gestione
delle informazioni e la
protezione dei dati
  • Conferma della Certificazione ISO 27001 (Information Security Management)
  • Valutare se i nostri fornitori sono certificati secondo la ISO 27001

  • Certificazione ISO 27001 (Information Security Management) per il 2019
  • Valutare se i nostri fornitori sono certificati secondo la ISO 27001
2019Incidenti
relativi alla
sicurezza
0In corso0

Garantire la Business continuancy
in caso di incidenti
informatici (p. es guasti del
server, interruzioni di corrente)
  • Predisposizione e potenziamento dell'infrastruttura informatica di sicurezza
  • Realizzazione della infrastruttura di Business continuity per la parte open dei sistemi.
  • Implementazione di un sistema di analisi delle minacce interne (Darktrace)
  • Test ed esecuzione del piano di disaster Recovery
  • Adozione di sistemi per la riduzione delle minacce ransomware
  • Mantenere aggiornato allo stato dell'arte l'intero impianto di sicurezza
2017-2021In corso-


Creare una cultura della sicurezza
informatica tra i nostri
dipendenti al fine di ridurre
i rischi
Formazione GDPR distribuita
per il personale aziendale
Sviluppo di un corso online sul
tema Cyber security e l'utilizzo
sicuro dei media digitali a tutto il
personale del Gruppo
2017-2021In corso-