Le tecnologie di informazione e comunicazione moderne e il loro collegamento in rete arricchiscono per tanti versi la nostra vita, garantendoci comfort, sicurezza e risparmio di tempo. La sempre maggiore dipendenza dai sistemi digitali, però, porta con sé anche una serie di pericoli, ad esempio in termini di gestione dei dati sensibili e, quindi, di continuità operativa delle aziende. Con l’aumento del livello di collegamento in rete nei processi industriali automatizzati, anche l’area esposta agli attacchi cresce di conseguenza.
Per un’azienda altamente specializzata come Bouygues E&S Process Automation, che fornisce servizi completi in molti settori industriali e infrastrutturali sensibili, investire nella sicurezza di informazioni e dati è fondamentale per la credibilità sul mercato e la continuità operativa. Il processo di «vulnerability management» («gestione delle vulnerabilità») mira ad accrescere la consapevolezza dei rischi e a identificare ed eliminare i punti deboli nell’infrastruttura IT di un’organizzazione. L’obiettivo è approfondire le conoscenze dei collaboratori, consentendo loro di gestire in modo ancora più consapevole i dati sensibili. Perché i collaboratori sono una componente centrale nella protezione contro la compromissione dei dati.
Per sottoporre la propria gestione di dati e informazioni a un controllo indipendente, Bouygues E&S Process Automation ha richiesto un audit di certificazione ISO 27001. La norma stabilisce i «requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, mantenere e migliorare un sistema documentato all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione». L’ottenimento della certificazione è una prova importante che dimostra a clienti e partner il rispetto, da parte dell’azienda, dei più elevati standard di sicurezza nella gestione dei dati.
Inizialmente, però, è stato necessario preparare l’organizzazione alla certificazione e formare team di progetto focalizzati sui settori di intervento rilevanti. Sulla base di un’analisi della sicurezza, si è provveduto a definire prima le misure organizzative e tecniche da attuare come, ad esempio, restrizioni locali degli accessi, ampliamenti tecnici della rete o elaborazione di linee guida e istruzioni di lavoro per collaboratori.
Per produrre la documentazione necessaria relativa al sistema di gestione della sicurezza delle informazioni, il team di progetto ha fatto ricorso a una nuova piattaforma software, realizzata sullo stile di una semplice wiki aziendale e contenente, tra l’altro, workflow per il tracciamento di determinati task. In questo modo si assicurano una visibilità e una tracciabilità trasparenti di tutte le misure della norma ISO relativamente alla loro attuazione e conformità.
Come dimostrato dall’analisi della sicurezza all’inizio del progetto, i possibili punti deboli nella sicurezza dei dati per i quali è richiesta l’attuazione di misure sono riscontrabili in tutti i settori. Quali settori meritano un’attenzione speciale in termini di protezione? Quali misure è necessario adottare per raggiungere gli obiettivi desiderati? Quali sono gli sforzi opportuni per un’adeguata implementazione della documentazione? La preparazione dell’audit vero e proprio ha richiesto circa un anno. La questione del giusto equilibrio tra misure di protezione e sforzi è stato il filo conduttore che ha accompagnato il lavoro del team di progetto.
Nel corso dell’attuazione di aspetti tecnici come il controllo degli accessi, l’archiviazione e il miglioramento della sicurezza della rete presso la sede di Olten, il team di progetto ha potuto contare sul supporto di altri settori di Bouygues Energies & Services. Oltre ai colleghi del settore Impiantistica per edifici, anche quelli dell’IT e del settore specialistico Qualità e Ambiente, diretto da Ursina Schori, hanno supportato il team di progetto nella preparazione dell’audit.
L’audit si è svolto in due fasi ed è durato circa tre giorni, nel corso dei quali è stato richiesto al team di progetto di illustrare minuziosamente agli auditor esperti l’attuazione adeguata al modello di business di Bouygues E&S Process Automation. La certificazione conseguita nell’estate del 2022 è stata infine la giusta ricompensa per un anno intenso di preparazione coscienziosa e collaborazione interna. Nonostante ciò, il riconoscimento non rappresenta la fine, ma l’inizio di una nuova cultura della sicurezza presso Bouygues E&S Process Automation SA.
