GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

Transcript

1 GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM Cybersecurity Summit 2016 Milano 24 maggio 2016

2 Il Gruppo Hera Il Gruppo Hera è una delle principali società multiutility in Italia. Nato nel 2002 dall'unione di dodici aziende di servizi pubblici dell'emilia Romagna, ha continuato negli anni successivi la propria crescita territoriale. Estensione territoriale Oggi opera complessivamente in più di 350 comuni dell Emilia-Romagna, Toscana, Marche, Veneto e Friuli-Venezia Giulia. Da gennaio 2013 è infatti entrata a far parte del Gruppo Hera AcegasAps, multiutility attiva nelle province di Gorizia, Padova, Trieste e Venezia. Da luglio 2014 anche Udine è entrata a far parte della compagine dei comuni in cui Hera opera tramite AMGA, Isontina Reti Gas ed Est Reti Elettriche. Numeri chiave 4,5 miliardi di euro di ricavi 884 Mni MOL dipendenti 56,7% del capitale sociale di Hera è detenuto da circa 240 soci pubblici Acqua Filiere di business Energia elettrica Ambiente Principali Business e posizionamento sul mercato Gas Teleriscaldamento Ambiente e servizi ambientali: leader in Italia Ciclo idrico integrato: secondo posto in Italia Gas: terzo posto in Italia nella distribuzione Energia Elettrica: quinto posto in Italia nella vendita 1

3 L evoluzione della governance dei rischi di gruppo Obiettivi Aumentare a ogni livello aziendale la consapevolezza sul tema dei rischi, limitando la parcellizzazione/specializzazione, e garantendo una visione d insieme ove rischi differenti possano essere immediatamente confrontati e assunte le decisioni di gestione/allocazione di risorse nel modo più efficiente ed efficace Assegnare al CdA la leva di comando del profilo di rischio aziendale e della propensione al rischio, definendola sulla base di un processo decisionale periodico adeguatamente informato Determinare attraverso l indicazione della propensione al rischio del Gruppo gli obiettivi strategici e per il Piano Industriale secondo una logica risk-based. Fornire strumenti utili alla diagnostica complessiva del profilo di rischio del gruppo, rendendo consapevole il Vertice sul tema e garantendogli le necessarie informazioni con adeguata frequenza L implementazione dell approccio ERM alla gestione dei rischi è effettuata massimizzando il patrimonio organizzativo e metodologico esistente, introducendo una maggiore focalizzazione del Vertice sugli aspetti di interazione dei rischi e di loro sintesi e assegnandogli la responsabilità di definizione del profilo di rischio 2

4 Approccio ERM Elementi fondamentali per l articolazione dell approccio L efficacia del framework sviluppato dal Gruppo Hera nell approccio ERM poggia su 3 pilastri fondamentali: la definizione di un sistema di Governance, lo sviluppo di una metodologia e l implementazione di un processo di monitoraggio e gestione dei rischi. APPROCCIO ERM GOVERNANCE METODOLOGIA PROCESSO Definizione dei ruoli e delle responsabilità con particolare riferimento a: Definizione e approvazione delle Policy di risk management Approvazione di eventuali limiti di rischio Individuazione della metodologia di analisi del rischio propedeutica alla fase di gestione Determinazione di metriche per la misurazione dell esposizione al rischio, rispetto alle quali vengono eventualmente stabiliti i limiti di rischio Processo di monitoraggio dell esposizione al rischio Rappresentazione periodica della posizione di rischio nelle sedi rilevanti Individuazione e gestione delle azioni di mitigazione/remediation 3

5 Alcune peculiarità dei sistemi ICT di una multiutility: la filiera produttiva Infrastruttura SCADA ASSET DI PRODUZIONE E GESTIONE DEI SERVIZI DI HERA Distribuzione energia elettrica, acqua e gas: km di reti gestite, oltre 3000 impianti/asset contollati Trattamento rifiuti: tra i principali, 10 impianti di termovalorizzazione con 1,4 Mni ton smaltite, 11 impianti di compostaggio e 6 di selezione, circa 900 GWh di energia prodotta TELECONTROLLO, SISTEMI A SUPPORTO E MINACCE Utilizzo di Reti TCP/IP: i Sistemi SCADA, nati per operare in modo isolato, sono stati collegati e integrati nel corso del tempo a sistemi di nuova concezione per mezzo di reti aperte Security Patch: rischio crescente lato sicurezza di sistemi più maturi Malware: esigenza di continuo aggiornamento e adeguamento dei sistemi antivirus Minacce dall esterno: attacchi via Internet, Man-in-The-Middle, accesso remoto Fornitori per teleassistenza Minacce dall interno: persone non autorizzate in Sala Controllo, dispositivi USB Sistemi sempre più aperti : la necessità di condividere in tempo reale informazioni sullo stato degli Impianti con le squadre di Pronto Intervento pone nuove sfide alla sicurezza. Disponibilità: Operatività 24H7, Fault-Tolerance, Disaster Recovery 4

6 La valutazione e gestone dei rischi Cyber Approccio in costante evoluzione FORMALIZZAZIONE DELL ANALISI E DELLA GESTIONE linee guida: descrizione del processo di analisi e di audit e prescrizioni generali di misure di sicurezza fisica, logica, organizzativa Istruzioni operative: metodologia di analisi dei rischi, algoritmi di valutazione, indicatori di riferimento (riservatezza, integrità e disponibilità delle informazioni) PRESCRIZIONI TECNICHE-ORGANIZZATIVE Reti: soluzioni tecnologiche consentite per interconnessioni (firewall, host virtualization, scambio dati offline), soluzioni per l implementazione della rete, indirizzamento e istradamento) Sistemi: identificazione degli accessi, tracciamento degli utenti, Business Continuity, integrità, disponibilità e riservatezza, backup Utenti : criteri di utilizzo PdL, utilizzo risorse di rete, norme e codice etico MONITORAGGIO Costruzione di indicatori target (misure di esposizione al rischio) definiti su arco PI, valutati periodicamente, rappresentati in Comitato Rischi e inseriti nel Risk Assesment di gruppo (ERM) Test di sicurezza: NVA effettuati periodicamente attestando alla Rete di Telecontrollo una postazione di test appositamente attrezzata con cui i Sistemi vengono analizzati rilevandone le vulnerabilità presenti e individuando azioni di remediation 5