La sfida della cybersecurity nell’Oil & Gas

Non solo tecnologia, ma soprattutto cultura e competenze

Roberto Nava

Partner Bain & Company

Giacomo Calligaris

Consulente Bain & Company
La progressiva digitalizzazione e automazione delle attività produttive lungo tutta la catena del valore O&G e i nuovi ecosistemi digitali (IoT) espongono le imprese a un crescente rischio di attacchi informatici del tutto nuovi: immaginiamo, ad esempio, un impianto di raffinazione dotato di molteplici sensori interconnessi con standard e livelli di sicurezza spesso non allineati, che comunicano con un’infrastruttura altamente complessa e gestita da più stakeholder in contemporanea, come fornitori e operatori terzi. 
Oltre a un potenziale impatto economico, un attacco informatico a un player O&G può provocare conseguenze importanti in termini ambientali, come sversamenti di idrocarburi nell’ambiente, e di sicurezza delle persone, a causa del malfunzionamento di impianti o attrezzature, fino a una potenziale interruzione del servizio al pubblico, nel caso di depositi e stazioni di servizio

In questo contesto di crescenti minacce, gli investimenti privati in cybersecurity hanno raggiunto un record storico. Una recente ricerca di Bain & Company rileva che il 97% delle grandi aziende è stato oggetto di audit o valutazioni in ambito cybersecurity negli ultimi tre anni, il 70% aggiorna regolarmente gran parte delle proprie tecnologie e tre su quattro sono dotati di figure di management dedicate, come Chief Information Security Officer. Oggi il 43% dei dirigenti ritiene che le proprie aziende siano in linea con le best practice internazionali, anche se un'analisi più approfondita rivela che solo circa il 24% delle aziende lo è effettivamente. Troppe società affrontano la questione solamente a livello tattico, cercando soluzioni troppo spesso nella tecnologia, anziché guardare il problema da una prospettiva più ampia.
Infatti, secondo quanto emerge dalla ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano, il comportamento umano continua a essere il principale elemento di rischio: distrazione e scarsa consapevolezza dei dipendenti rappresentano le criticità prevalenti per l’82% delle aziende intervistate, molto più di altri aspetti legati alle infrastrutture. In base alla ricerca di Bain & Company meno della metà delle aziende intervistate offre una formazione regolare del personale su temi di cybersecurity e, molto più sorprendentemente, solo il 55% offre una formazione adeguata ai propri professionisti IT. 
In questo scenario, l’acquisizione di nuove competenze tecniche in ambito cybersecurity, una formazione adeguata del personale per renderlo cosciente delle nuove minacce e una cultura aziendale orientata alla prevenzione devono essere priorità per il Senior Management aziendale.
La capacità del business di reggere un potenziale attacco dipende anche dal modello operativo adottato, non solo tecnologico, ma anche organizzativo, per rendere embedded la cybersecurity con gli altri processi aziendali. L’obiettivo è sviluppare un atteggiamento resiliente, in grado sia di prevenire potenziali attacchi sia di saper gestire quelli reali, circoscrivendo per quanto possibile l’impatto sul business.
Infine, anche il budget dedicato allo sviluppo e gestione della cybersecurity deve essere opportunamente commisurato alla reale esposizione del business al rischio di attacchi informatici, che può variare sensibilmente lungo la catena del valore O&G. Poiché è difficile trovare parametri di riferimento affidabili, molte aziende cercano di allineare le stime a quelle dei propri peer di riferimento, rischiando di creare un circolo vizioso all’interno del settore. In generale, ci si limita a replicare il budget dell’anno precedente o aggiungere incrementi annuali, invece di ripensare il preventivo di spesa ripartendo da zero e giustificando ogni singolo elemento di costo in funzione della sua effettiva utilità
Un approccio integrato alla cybersecurity per gli operatori della filiera O&G deve passare necessariamente attraverso lo sviluppo e il miglioramento nel tempo di un insieme di capacità strategiche per raggiungere un livello di maturità sufficiente per contrastare le minacce esterne. 
Questo può richiedere un percorso di lavoro basato su una chiara sequenza di step:

  1. Definizione della baseline di riferimento: comprendere il punto di partenza misurando l’attuale livello di maturità delle capacità aziendali in tema di cybersecurity (competenze, tecnologie, processi, organizzazione, etc.)

  2. Individuare il benchmark di riferimento e stabilire un obiettivo di maturità: stabilire il livello di maturità-target appropriato per la propria azienda, anche in funzione di un benchmarking esteso ad altre realtà e settori, tenendo in considerazione anche aspetti come geografia e tipologia di asset, che possono richiedere forme di protezione diverse.

  3. Definire una roadmap implementativa e avviare un percorso strutturato: affrontare in maniera prioritaria i punti deboli che impattano la vulnerabilità degli asset più critici per il business, per poi estendere il perimetro ad altre aree.

  4. Sensibilizzare tutti i livelli aziendaliBoard, Organi di controllo, Management, forza lavoro – sull'importanza della cybersecurity e sulla rilevanza che i comportamenti individuali rivestono per massimizzarne l’efficacia.

  5. Adottare un approccio di miglioramento continuo alla cybersecurity: rivalutare periodicamente i requisiti e i livelli di maturità raggiunti, adottando un approccio di miglioramento continuo. Aggiornare la tabella di marcia per assicurare la prioritizzazione degli sforzi ove più necessario, in funzione anche dell’evoluzione del contesto esterno.

Nel complesso questo non è un percorso troppo differente da altre iniziative di trasformazione aziendale (pensiamo, nel recente passato, allo sforzo fatto in ambito HSE) e, poiché l’impegno richiesto alla struttura può essere elevato e durare per anni, è fondamentale sviluppare e mantenere un momentum for change. Per completare con successo la trasformazione e proteggere efficacemente organizzazione, asset aziendali e stakeholder dalle minacce del prossimo decennio, il Management deve essere cosciente della portata della sfida e riconoscere che, nella maggior parte dei casi, ciò che è stato fatto in termini di competenze e cultura sino ad oggi non è abbastanza. D’altro canto, anche i classici ci insegnano che la città di Troia cadde, nonostante le sue possenti mura, per una vulnerabilità dei suoi cittadini, che non furono opportunamente preparati a intercettare e affrontare una forma imprevista di attacco, quella dell’inganno.

Notizie della settimana

Archivio storico dei numeri di DIRIGENTI INDUSTRIA in pdf da scaricare, a partire da Gennaio 2013.

I più visti

Contratto Dirigenti Industria 2019-2024

Il Contratto Nazionale di Lavoro dei dirigenti industria costituisce l’impegno fra le rappresentanze dei dirigenti e quelle datoriali sulla regolamentazione e gestione del rapporto di lavoro. Il documento Confindustria-Federmanager di 63 pagine, aggiornato con l'accordo del 30 luglio 2019, è riassunto di seguito per facilitarne la consultazione.
01 ottobre 2019

CCNL Dirigenti Industria. Confindustria e Federmanager firmano il rinnovo 2025-2027

Aumentano le retribuzioni e si rafforza il welfare
15 novembre 2024

Lavori in corso per il rinnovo del CCNL

Enti, ruolo del dirigenti, tutele legali, welfare e retribuzione: molti i temi affrontati nel primo ciclo di incontri con Confindustria
01 novembre 2024

Spunti e riflessioni in vista del rinnovo del Contratto Collettivo Dirigenti Aziende Industriali

Sintesi dell’incontro sul diritto del lavoro che ha visto la partecipazione di Federmanager e di esperti giuslavoristi
01 novembre 2024

Riforma fiscale: quanto gli italiani pagano più dei francesi?

La legge delega per la riforma fiscale, approvata dal Consiglio dei Ministri il 16 marzo 2023, apre un confronto sull'equità e sulla semplificazione tributaria. Un'occasione per un confronto con le politiche tributarie di altri Paesi europei che iniziamo - in questa prima puntata - con la Francia, per rilevare che una famiglia italiana con due figli e un reddito di 100mila euro paga 26mila euro di tasse in più rispetto all'analoga famiglia francese.
01 maggio 2023