Verso la resilienza al rischio cyber

Autostrade per l’Italia è tra i primi concessionari europei nella costruzione e gestione di strade a pedaggio, con circa 3.000 chilometri di rete in Italia e capillari sistemi informatici che supportano l’esercizio e il monitoraggio della viabilità. Una complessità che necessita di un costante presidio della sicurezza e dell’integrità di dati e infrastrutture IT

In un contesto sempre più variabile, incerto, complesso e ambiguo (cd. Vuca), le aziende devono saper anticipare i nuovi trend e prevenire le principali minacce, adattandosi al cambiamento: la business resilience è la capacità di un’organizzazione di rispondere e adattarsi rapidamente a interruzioni o cambiamenti significativi e non pianificati che possono minacciarne le operation, le persone, la reputazione o gli asset aziendali, ivi inclusi i sistemi e le infrastrutture IT.
Proprio con riferimento a questi ultimi, il rischio cyber assume notevole rilevanza per via delle potenziali vulnerabilità che possono compromettere la sicurezza e l’integrità dei sistemi informatici, reti, dati o risorse digitali di una organizzazione.
In Autostrade per l’Italia tali ambiti sono presidiati da strutture dedicate in cui operano Valerio Visconti e Lorenzo Tucci, rispettivamente chief information security officer e business continuity officer del gruppo. La società gestisce 15 autostrade a pedaggio, percorse da circa 2,7 milioni di veicoli al giorno, con un elevato livello di informatizzazione dei servizi, quali ad esempio le piste di esazione (i caselli), il monitoraggio viabilità, la gestione delle emergenze (centrali operative sempre attive), i pannelli a messaggio variabile e le mobile app per la comunicazione con gli utenti, fino ai nuovi dispositivi per le smart road.
“Il programma Next to Excellence attivo nell’ambito del nostro piano di trasformazione – afferma Tucci – ha l’obiettivo di rafforzare la business resilience del gruppo con riferimento a tutti i processi aziendali, mediante una serie di attività, tra cui l’identificazione dei potenziali scenari interruttivi e lo sviluppo di specifici piani di continuità”. A queste si aggiungono anche la gestione coordinata degli incident e dei meccanismi di escalation, la pianificazione di simulazioni strutturate, anche su scenari altamente critici, e il continuous improvement.
Con specifico riferimento al rischio cyber, secondo Visconti sono importanti la proattività nel proteggere le risorse digitali e garantire la continuità dei servizi informatici, e l’adozione di un approccio “olistico”. Il che significa mettere in campo azioni che comprendano la formazione di dipendenti e management, il miglioramento e l’aggiornamento continuo dei processi, le tecnologie per il rilevamento, il contenimento e l’eradicazione delle minacce in atto. “Fondamentali – aggiunge Visconti – sono anche la manutenzione e l’aggiornamento continuo di sistemi informatici e applicazioni, la gestione del rischio proveniente da vendor e fornitori di servizi, la prevenzione da minacce comuni e da eventuali campagne di attacco mirate”.

La prospettiva delle smart road

C’è poi da considerare l’evoluzione della mobilità verso modelli sostenibili incentrati su reti e sistemi intelligenti. Se pensiamo alle autostrade come smart road e all’introduzione di sistemi sempre più sofisticati per l’interazione tra infrastruttura e autoveicoli, i rischi aumentano esponenzialmente e la sicurezza informatica dev’essere garantita ai massimi livelli. “Tale scenario – sottolinea Tucci – richiede l’implementazione di sistemi di controllo sempre più avanzati per garantire la continuità dei servizi e presidiare nuovi ulteriori fattori, tra cui il livello di preparazione degli hacker o l’aumento dei punti di esposizione legati alle nuove tecnologie”.

La sfida della prevenzione

Per mettere in sicurezza processi e servizi aziendali rendendoli resilienti nei confronti di ogni possibile interruzione, secondo Tucci è indispensabile che la business continuity assicuri l’integrazione e l’attivazione di tutti gli stakeholder, interni ed esterni, nella prevenzione o nella risposta agli eventi avversi. Un’attività che deve essere condotta a supporto di tutte le funzioni aziendali, con le quali sono condivisi modelli di intervento e response plan in caso di emergenza.
“L’information security – conclude Visconti – analizza ogni processo che dipende da un sistema o da un fornitore IT: quando appaltiamo un servizio, ad esempio cloud o hosting, la catena di fornitura ci impone dei controlli che misurino in maniera sistematica la postura cyber dei nostri partner”. Il rafforzamento dei servizi offerti dal Security operation center cogestito e le collaborazioni con competence center esterni permettono infine all’azienda “di acquisire crescente consapevolezza delle potenziali minacce cyber e di passare da un approccio reattivo a uno preventivo nella gestione delle connesse business interruption, contribuendo al miglioramento della resilienza aziendale”.