La sfida della cybersecurity nell’Oil & Gas

Non solo tecnologia, ma soprattutto cultura e competenze

Roberto Nava

Partner Bain & Company

Giacomo Calligaris

Consulente Bain & Company
La progressiva digitalizzazione e automazione delle attività produttive lungo tutta la catena del valore O&G e i nuovi ecosistemi digitali (IoT) espongono le imprese a un crescente rischio di attacchi informatici del tutto nuovi: immaginiamo, ad esempio, un impianto di raffinazione dotato di molteplici sensori interconnessi con standard e livelli di sicurezza spesso non allineati, che comunicano con un’infrastruttura altamente complessa e gestita da più stakeholder in contemporanea, come fornitori e operatori terzi. 
Oltre a un potenziale impatto economico, un attacco informatico a un player O&G può provocare conseguenze importanti in termini ambientali, come sversamenti di idrocarburi nell’ambiente, e di sicurezza delle persone, a causa del malfunzionamento di impianti o attrezzature, fino a una potenziale interruzione del servizio al pubblico, nel caso di depositi e stazioni di servizio

In questo contesto di crescenti minacce, gli investimenti privati in cybersecurity hanno raggiunto un record storico. Una recente ricerca di Bain & Company rileva che il 97% delle grandi aziende è stato oggetto di audit o valutazioni in ambito cybersecurity negli ultimi tre anni, il 70% aggiorna regolarmente gran parte delle proprie tecnologie e tre su quattro sono dotati di figure di management dedicate, come Chief Information Security Officer. Oggi il 43% dei dirigenti ritiene che le proprie aziende siano in linea con le best practice internazionali, anche se un'analisi più approfondita rivela che solo circa il 24% delle aziende lo è effettivamente. Troppe società affrontano la questione solamente a livello tattico, cercando soluzioni troppo spesso nella tecnologia, anziché guardare il problema da una prospettiva più ampia.
Infatti, secondo quanto emerge dalla ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano, il comportamento umano continua a essere il principale elemento di rischio: distrazione e scarsa consapevolezza dei dipendenti rappresentano le criticità prevalenti per l’82% delle aziende intervistate, molto più di altri aspetti legati alle infrastrutture. In base alla ricerca di Bain & Company meno della metà delle aziende intervistate offre una formazione regolare del personale su temi di cybersecurity e, molto più sorprendentemente, solo il 55% offre una formazione adeguata ai propri professionisti IT. 
In questo scenario, l’acquisizione di nuove competenze tecniche in ambito cybersecurity, una formazione adeguata del personale per renderlo cosciente delle nuove minacce e una cultura aziendale orientata alla prevenzione devono essere priorità per il Senior Management aziendale.
La capacità del business di reggere un potenziale attacco dipende anche dal modello operativo adottato, non solo tecnologico, ma anche organizzativo, per rendere embedded la cybersecurity con gli altri processi aziendali. L’obiettivo è sviluppare un atteggiamento resiliente, in grado sia di prevenire potenziali attacchi sia di saper gestire quelli reali, circoscrivendo per quanto possibile l’impatto sul business.
Infine, anche il budget dedicato allo sviluppo e gestione della cybersecurity deve essere opportunamente commisurato alla reale esposizione del business al rischio di attacchi informatici, che può variare sensibilmente lungo la catena del valore O&G. Poiché è difficile trovare parametri di riferimento affidabili, molte aziende cercano di allineare le stime a quelle dei propri peer di riferimento, rischiando di creare un circolo vizioso all’interno del settore. In generale, ci si limita a replicare il budget dell’anno precedente o aggiungere incrementi annuali, invece di ripensare il preventivo di spesa ripartendo da zero e giustificando ogni singolo elemento di costo in funzione della sua effettiva utilità
Un approccio integrato alla cybersecurity per gli operatori della filiera O&G deve passare necessariamente attraverso lo sviluppo e il miglioramento nel tempo di un insieme di capacità strategiche per raggiungere un livello di maturità sufficiente per contrastare le minacce esterne. 
Questo può richiedere un percorso di lavoro basato su una chiara sequenza di step:

  1. Definizione della baseline di riferimento: comprendere il punto di partenza misurando l’attuale livello di maturità delle capacità aziendali in tema di cybersecurity (competenze, tecnologie, processi, organizzazione, etc.)

  2. Individuare il benchmark di riferimento e stabilire un obiettivo di maturità: stabilire il livello di maturità-target appropriato per la propria azienda, anche in funzione di un benchmarking esteso ad altre realtà e settori, tenendo in considerazione anche aspetti come geografia e tipologia di asset, che possono richiedere forme di protezione diverse.

  3. Definire una roadmap implementativa e avviare un percorso strutturato: affrontare in maniera prioritaria i punti deboli che impattano la vulnerabilità degli asset più critici per il business, per poi estendere il perimetro ad altre aree.

  4. Sensibilizzare tutti i livelli aziendaliBoard, Organi di controllo, Management, forza lavoro – sull'importanza della cybersecurity e sulla rilevanza che i comportamenti individuali rivestono per massimizzarne l’efficacia.

  5. Adottare un approccio di miglioramento continuo alla cybersecurity: rivalutare periodicamente i requisiti e i livelli di maturità raggiunti, adottando un approccio di miglioramento continuo. Aggiornare la tabella di marcia per assicurare la prioritizzazione degli sforzi ove più necessario, in funzione anche dell’evoluzione del contesto esterno.

Nel complesso questo non è un percorso troppo differente da altre iniziative di trasformazione aziendale (pensiamo, nel recente passato, allo sforzo fatto in ambito HSE) e, poiché l’impegno richiesto alla struttura può essere elevato e durare per anni, è fondamentale sviluppare e mantenere un momentum for change. Per completare con successo la trasformazione e proteggere efficacemente organizzazione, asset aziendali e stakeholder dalle minacce del prossimo decennio, il Management deve essere cosciente della portata della sfida e riconoscere che, nella maggior parte dei casi, ciò che è stato fatto in termini di competenze e cultura sino ad oggi non è abbastanza. D’altro canto, anche i classici ci insegnano che la città di Troia cadde, nonostante le sue possenti mura, per una vulnerabilità dei suoi cittadini, che non furono opportunamente preparati a intercettare e affrontare una forma imprevista di attacco, quella dell’inganno.

Notizie della settimana

Archivio storico dei numeri di DIRIGENTI INDUSTRIA in pdf da scaricare, a partire da Gennaio 2013.

I più visti

Contratto Dirigenti Industria 2019-2023

Il Contratto Nazionale di Lavoro dei dirigenti industria costituisce l’impegno fra le rappresentanze dei dirigenti e quelle datoriali sulla regolamentazione e gestione del rapporto di lavoro. Un documento Confindustria-Federmanager di 63 pagine aggiornato con l'accordo del 30 luglio 2019 è riassunto di seguito per facilitarne la consultazione.
01 ottobre 2019

Videoconferenza ZOOM

Le restrizioni agli incontri per evitare il contagio coronavirus impongono soluzioni alternative per evitare la paralisi delle attività. È l'occasione per scoprire le soluzioni Smart Working: per lavorare in team, realizzare riunioni, partecipare ai seminari, sempre a distanza. Sono numerose e gratuite le soluzioni per videoconferenza, dalle più diffuse come Skype alle più professionali come ZOOM che ALDAI-Federmanager utilizza da due anni per favorire la partecipazione gratuita agli incontri milanesi senza muovere un passo.
A cura della redazione 
01 aprile 2020

Contratto Dirigenti Industria 2018

Il Contratto Nazionale di Lavoro dei dirigenti industria costituisce l’impegno fra le rappresentanze dei dirigenti e quelle datoriali sulla regolamentazione e gestione del rapporto di lavoro. Un documento Confindustria-Federmanager di 63 pagine riassunto di seguito per evidenziare gli aspetti essenziali, facilitare la consultazione e valutare aree di miglioramento da proporre alla Commissione Sindacale.
01 ottobre 2018

Leadership post-crisi, un’occasione per il COO

Alcune nuove tendenze nell’executive search industriale 2020-2021
01 maggio 2020

Cosa non ci hanno detto dell’antivirus cinese

Con una popolazione 23 volte l’Italia la Cina avrebbe avuto un quinto dei decessi, stando ai dati ufficiali; ma anche se i reali decessi in Cina fossero un migliaio in più sarebbe comunque difficile giustificare un tasso di mortalità italiano 100 volte superiore. Quali sono state le iniziative cinesi per far fronte all’emergenza coronavirus e quali le conseguenze marketing e sociali ?
01 maggio 2020

Gli strumenti del Jazz

Jazz is life. Ciclo Jazz 2019
01 febbraio 2019