Gruppo Hera, la cybersecurity parte dalla formazione
La multiutility utilizza le piattaforme Cyber Guru per creare awareness e migliorare le difese degli utenti interni.
Con sede principale a Bologna, il Gruppo Hera è una delle principali multiutility in Italia. Una realtà in cui operano oltre 9.000 dipendenti e che, come ogni azienda, si trova ogni giorno di fronte alle sfide della cybersecurity, diventate via via sempre più complesse. Proprio per tenere conto dell’evoluzione del contesto esterno e prevenire possibili criticità, Hera ha deciso di rafforzare il presidio delle tematiche di sicurezza informatica costituendo nel 2020 la struttura “Information and Cyber Security Management” dedicata al presidio della sicurezza in ambito IT (Information Technology) e OT (Operation Technology), anche attraverso la collaborazione con le altre strutture aziendali che intervengono/ contribuiscono nel modello di funzionamento complessivo in ambito information security. La struttura comprende tre unità organizzative, rispettivamente Security Operations, Design and Engineering e Planning and Monitoring. La responsabile di quest’ultima è Caterina Corbo. “La mia area supporta le strutture aziendali di competenza nelle attività di analisi del rischio cyber, sviluppando di conseguenza i piani operativi di miglioramento e il loro trasferimento all’interno del Gruppo. Pensando alle persone come ele mento fondamentale nei processi aziendali e come possibile obiettivo di attacco da parte dei cyber criminali, nelle nostre competenze rientrano anche la security digital awareness e lo sviluppo della sensibilizzazione verso le minacce informatiche. Tematiche portate avanti di concerto con la Direzione Centrale Personale e Organizzazione e affrontate in modo strategico già dal 2017, anno in cui è stata avviata dapprima una formazione tecnica su sicurezza e privacy riservata esclusivamente alla famiglia professionale ICT, per poi compiere alcuni passi ulteriori, a livello più diffuso su tutto il personale”, spiega Corbo. In particolare, è stata messa in piedi una capillare campagna di awareness, durata nove mesi, con pillole formative distribuite mensilmente sulla intranet aziendale e sull’house organ interno per approfondire particolari tematiche, dall’uso delle password al phishing fino alle buone pratiche da seguire, veicolando anche i messaggi principali con screen saver dedicati ai dipendenti dotati di una postazione di lavoro. Successivamente gli stessi temi sono stati oggetto delle prime iniziative di ‘gamification’ con l’utilizzo, per esempio, di vignette da analizzare per individuare errori di comportamento. Contemporaneamente sono state condotte le prime campagne di ‘ethical phishing’, ossia l’invio di falsi messaggi fraudolenti agli utenti interni per valutarne la capacità di riconoscimento degli attacchi perpetrati via mail e le tecniche in gioco. “Siamo partiti con due campagne all’anno, veicolate su un numero sempre maggiore di utenti aziendali informatizzati (fino a raggiungerne oltre 7.000) e tarate su più livelli di difficoltà, conseguendo un miglioramento lento e graduale dei comportamenti, comprese le segnalazioni di campagne sospette tramite il canale interno dedicato. Questo però non ci bastava”, prosegue Corbo.
Un salto di qualità
Con l’avvio della nuova organizzazione dedicata alla Cyber Security, avvenuto nel 2020, Hera ha quindi deciso di porsi obiettivi più sfidanti non solo in termini di formazione, ma anche di creazione di una più ampia cultura aziendale sulla tematica. Ecco che, dopo aver condotto un’approfondita fase di scouting, il Gruppo ha deciso di affidarsi alla proposta di Cyber Guru per compiere quel salto di qualità ricercato. In particolare, la scelta è caduta sulle piattaforme Cyber Guru Awareness – dedicata all’e-learning con micro-lezioni strutturate per brevi pillole video e testuali sulle minacce e i comportamenti giusti per evitarle – e Cyber Guru Phishing – una soluzione di addestramento anti-phishing basata sull’intelligenza artificiale. Fondamentale sul tema della formazione e quindi della digital awareness è stato il coinvolgimento della Direzione Centrale Personale e Organizzazione. Giorgia Silvi, referente Organizzazione e Formazione dell’Area Innovazione del Gruppo Hera, spiega in tal senso che “Cyber Guru, attraverso una piattaforma accessibile direttamente dal nostro portale di e-learning MyAcademy, si è rivelato fin da subito pienamente integrabile con il percorso di evoluzione digitale avviato nel 2017 con il progetto HER@futura, che prevede un piano di change management strutturato e continuativo per accompagnare tutti colleghi nel percorso di trasformazione digitale della nostra azienda”. Il progetto Cyber Guru Awareness è su base volontaria, con un’adesione in costante crescita per un’attività che, veicolando contenuti risultati fin da subito stimolanti ed efficaci, ma semplici nel linguaggio e con riscontri nella vita quotidiana di ciascun dipendente, propone casi pratici di attacco che possono verificarsi anche nella sfera privata di ognuno. “Abbiamo registrato un grande entusiasmo da parte dei lavoratori, con feedback diretti sulla qualità e utilità dei contenuti. Sono stati apprezzati la semplicità di fruizione e la durata adeguata, oltre all’applicazione di quanto appreso anche nella vita privata. Uno dei punti di forza è stato anche il fatto che Cyber Guru sia un prodotto italiano, progettato in lingua italiana, che evita tecnicismi e termini inglesi superflui, ma che nel contempo, grazie all’aiuto del Customer Success Team di Cyber Guru, è stato possibile adattare al meglio per i colleghi esteri, favorendone la diffusione”, prosegue Silvi, aggiungendo che il progetto – che ha avuto fin dall’inizio il supporto dei vertici con video dedicati di Stefano Venier, Amministratore Delegato di Hera – prevede di far leva anche sulla comunicazione interna per stimolare la partecipazione non solo ai contenuti di micro-learning, ma anche alle iniziative di gamification che la piattaforma permette di progettare. In particolare, relativamente alla gamification sono state lanciate una serie di gare a squadre che prevedono vari quiz con assegnazione di punteggi, e che nel tempo hanno creato una sana competizione interna. Attraverso i canali aziendali, vengono forniti aggiornamenti sull’andamento delle classifiche, fermo restando che ogni partecipante può comunque verificare in tempo reale il proprio posizionamento consultando la propria dashboard.
Riconoscere le frodi via mail
Il secondo aspetto sul quale Hera ha scelto di avvalersi di Cyber Guru è quello di ethical phishing, compiendo un cambio di passo importante, laddove in precedenza si portavano avanti solo due ‘campagne flat’ all’anno, ossia uguali per tutti. “Grazie alla nuova piattaforma, l’approccio è stato radicalmente modificato per introdurre un vero e proprio allenamento degli utenti con traguardi di miglioramento raggiungibili grazie a un’efficace tecnologia auto adattativa. Mi riferisco all’invio di una mail mensile di simulazione di phishing costruita sulla base di dieci template diversi e con vari gradi di difficoltà. L’intelligenza artificiale decide che tipo di mail inviare, quando e a quali utenti, tenendo conto del livello raggiunto da ciascun destinatario, calcolato in base al comportamento tenuto con i messaggi ‘etici’ precedentemente ricevuti. Rispetto al vecchio metodo, abbiamo quindi riscontrato un deciso incremento delle prestazioni: gli utenti già ‘forti’ riescono a potenziare le loro capacità attraverso mail sempre più sfidanti, mentre gli utenti inizialmente più ‘deboli’ riescono a migliorare gradualmente attraverso campagne più semplici a loro dedicate. L’aggregazione dei dati permette inoltre di seguire l’andamento delle attività e di introdurre i correttivi necessari garantendo l’anonimità del personale coinvolto. Contemporaneamente, abbiamo notato una crescita delle segnalazioni dirette sul nostro canale dedicato, segno che la comunità si sente decisamente coinvolta e decide di contribuire quando ritiene di aver ricevuto un messaggio fraudolento”, spiega Corbo.
Sviluppi futuri
Per il futuro il Gruppo Hera prevede di confermare ulteriormente gli investimenti sul tema della cyber security e di creare percorsi sempre più mirati per famiglie e categorie professionali specifiche in un contesto in cui la sicurezza non riguarda solamente l’ambito IT ma coinvolge pesantemente anche i sistemi OT. “Non parliamo più di sistemi che operano in compartimenti chiusi, scollegati dalle reti aziendali, ma di infrastrutture con caratteristiche distintive e un’interrelazione sempre più spinta con i sistemi informativi. Da questo punto di vista è fondamentale compiere azioni studiate per le esigenze peculiari di ognuno dei nostri ambiti operativi e di business”, conclude Corbo.