La sfida della cybersecurity nell’Oil & Gas

Non solo tecnologia, ma soprattutto cultura e competenze

Roberto Nava

Partner Bain & Company

Giacomo Calligaris

Consulente Bain & Company
La progressiva digitalizzazione e automazione delle attività produttive lungo tutta la catena del valore O&G e i nuovi ecosistemi digitali (IoT) espongono le imprese a un crescente rischio di attacchi informatici del tutto nuovi: immaginiamo, ad esempio, un impianto di raffinazione dotato di molteplici sensori interconnessi con standard e livelli di sicurezza spesso non allineati, che comunicano con un’infrastruttura altamente complessa e gestita da più stakeholder in contemporanea, come fornitori e operatori terzi. 
Oltre a un potenziale impatto economico, un attacco informatico a un player O&G può provocare conseguenze importanti in termini ambientali, come sversamenti di idrocarburi nell’ambiente, e di sicurezza delle persone, a causa del malfunzionamento di impianti o attrezzature, fino a una potenziale interruzione del servizio al pubblico, nel caso di depositi e stazioni di servizio

In questo contesto di crescenti minacce, gli investimenti privati in cybersecurity hanno raggiunto un record storico. Una recente ricerca di Bain & Company rileva che il 97% delle grandi aziende è stato oggetto di audit o valutazioni in ambito cybersecurity negli ultimi tre anni, il 70% aggiorna regolarmente gran parte delle proprie tecnologie e tre su quattro sono dotati di figure di management dedicate, come Chief Information Security Officer. Oggi il 43% dei dirigenti ritiene che le proprie aziende siano in linea con le best practice internazionali, anche se un'analisi più approfondita rivela che solo circa il 24% delle aziende lo è effettivamente. Troppe società affrontano la questione solamente a livello tattico, cercando soluzioni troppo spesso nella tecnologia, anziché guardare il problema da una prospettiva più ampia.
Infatti, secondo quanto emerge dalla ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano, il comportamento umano continua a essere il principale elemento di rischio: distrazione e scarsa consapevolezza dei dipendenti rappresentano le criticità prevalenti per l’82% delle aziende intervistate, molto più di altri aspetti legati alle infrastrutture. In base alla ricerca di Bain & Company meno della metà delle aziende intervistate offre una formazione regolare del personale su temi di cybersecurity e, molto più sorprendentemente, solo il 55% offre una formazione adeguata ai propri professionisti IT. 
In questo scenario, l’acquisizione di nuove competenze tecniche in ambito cybersecurity, una formazione adeguata del personale per renderlo cosciente delle nuove minacce e una cultura aziendale orientata alla prevenzione devono essere priorità per il Senior Management aziendale.
La capacità del business di reggere un potenziale attacco dipende anche dal modello operativo adottato, non solo tecnologico, ma anche organizzativo, per rendere embedded la cybersecurity con gli altri processi aziendali. L’obiettivo è sviluppare un atteggiamento resiliente, in grado sia di prevenire potenziali attacchi sia di saper gestire quelli reali, circoscrivendo per quanto possibile l’impatto sul business.
Infine, anche il budget dedicato allo sviluppo e gestione della cybersecurity deve essere opportunamente commisurato alla reale esposizione del business al rischio di attacchi informatici, che può variare sensibilmente lungo la catena del valore O&G. Poiché è difficile trovare parametri di riferimento affidabili, molte aziende cercano di allineare le stime a quelle dei propri peer di riferimento, rischiando di creare un circolo vizioso all’interno del settore. In generale, ci si limita a replicare il budget dell’anno precedente o aggiungere incrementi annuali, invece di ripensare il preventivo di spesa ripartendo da zero e giustificando ogni singolo elemento di costo in funzione della sua effettiva utilità
Un approccio integrato alla cybersecurity per gli operatori della filiera O&G deve passare necessariamente attraverso lo sviluppo e il miglioramento nel tempo di un insieme di capacità strategiche per raggiungere un livello di maturità sufficiente per contrastare le minacce esterne. 
Questo può richiedere un percorso di lavoro basato su una chiara sequenza di step:

  1. Definizione della baseline di riferimento: comprendere il punto di partenza misurando l’attuale livello di maturità delle capacità aziendali in tema di cybersecurity (competenze, tecnologie, processi, organizzazione, etc.)

  2. Individuare il benchmark di riferimento e stabilire un obiettivo di maturità: stabilire il livello di maturità-target appropriato per la propria azienda, anche in funzione di un benchmarking esteso ad altre realtà e settori, tenendo in considerazione anche aspetti come geografia e tipologia di asset, che possono richiedere forme di protezione diverse.

  3. Definire una roadmap implementativa e avviare un percorso strutturato: affrontare in maniera prioritaria i punti deboli che impattano la vulnerabilità degli asset più critici per il business, per poi estendere il perimetro ad altre aree.

  4. Sensibilizzare tutti i livelli aziendaliBoard, Organi di controllo, Management, forza lavoro – sull'importanza della cybersecurity e sulla rilevanza che i comportamenti individuali rivestono per massimizzarne l’efficacia.

  5. Adottare un approccio di miglioramento continuo alla cybersecurity: rivalutare periodicamente i requisiti e i livelli di maturità raggiunti, adottando un approccio di miglioramento continuo. Aggiornare la tabella di marcia per assicurare la prioritizzazione degli sforzi ove più necessario, in funzione anche dell’evoluzione del contesto esterno.

Nel complesso questo non è un percorso troppo differente da altre iniziative di trasformazione aziendale (pensiamo, nel recente passato, allo sforzo fatto in ambito HSE) e, poiché l’impegno richiesto alla struttura può essere elevato e durare per anni, è fondamentale sviluppare e mantenere un momentum for change. Per completare con successo la trasformazione e proteggere efficacemente organizzazione, asset aziendali e stakeholder dalle minacce del prossimo decennio, il Management deve essere cosciente della portata della sfida e riconoscere che, nella maggior parte dei casi, ciò che è stato fatto in termini di competenze e cultura sino ad oggi non è abbastanza. D’altro canto, anche i classici ci insegnano che la città di Troia cadde, nonostante le sue possenti mura, per una vulnerabilità dei suoi cittadini, che non furono opportunamente preparati a intercettare e affrontare una forma imprevista di attacco, quella dell’inganno.

Notizie della settimana

Archivio storico dei numeri di DIRIGENTI INDUSTRIA in pdf da scaricare, a partire da Gennaio 2013.

I più visti

Contratto Dirigenti Industria 2019-2023

Il Contratto Nazionale di Lavoro dei dirigenti industria costituisce l’impegno fra le rappresentanze dei dirigenti e quelle datoriali sulla regolamentazione e gestione del rapporto di lavoro. Un documento Confindustria-Federmanager di 63 pagine aggiornato con l'accordo del 30 luglio 2019 è riassunto di seguito per facilitarne la consultazione.
01 ottobre 2019

Il danno alla salute del dirigente per eccessivi carichi di lavoro

La possibilità per il dirigente di modulare la prestazione lavorativa anche in relazione ai carichi di lavoro e alla fruizione di ferie e riposi non esclude la responsabilità del datore di lavoro per i danni alla salute conseguenti all’attività lavorativa
01 maggio 2022

Italia a rischio povertà energetica

Articolo scritto a gennaio e diventato d'attualità con il conflitto in Ucraina, per il quale esprimo solidarietà nei confronti delle vittime e di sostegno nei principi di libertà e fratellanza fra tutti i popoli. L’importazione di petrolio, gas e di elettricità espone il Paese alla crescita dei prezzi e al rischio sostenibilità, in particolare per le imprese industriali. Il Piano Nazionale di Ripresa e Resilienza dovrebbe investire in energie rinnovabili nazionali - fotovoltaico, eolico, dal mare e dal nucleare sicuro di nuova generazione - per ridurre quanto possibile la dipendenza dall’estero; senza se e senza ma.
01 marzo 2022

Basterà un GOL?

Nell'ambito del Piano Nazionale di Ripresa e Resilienza è previsto il finanziamento di un programma di Politiche Attive per la Garanzia Occupabilità Lavoratori (GOL). In un contesto aggravato dalle conseguenze della guerra in Ucraina, scarsità e aumento dei prezzi delle materie prime saremo in grado di far fronte al susseguirsi delle crisi?
01 maggio 2022

Conviene riscattare gli anni di Università per anticipare la pensione?

Il 24 febbraio si è tenuto un webinar con partecipazione record di centinaia di manager, sul tema "Riscatto di laurea in forma ordinaria o agevolata?"
01 aprile 2022