Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25...

23
Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence

Transcript of Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25...

Page 1: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

Approccio Enel ai Cyber Risks

Workshop ISCOMRoma, 25 ottobre 2013

ing. Francesco CeccarelliResp. Security Governance and Business Intelligence

Page 2: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Agenda

2

Cyber Risks ed Energy Company

Il contesto Enel

L’approccio Enel

Workshop ISCOM

Il processo ISRM

Conclusioni

Page 3: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Cyber Risks ed Energy CompanyI fattori critici

Workshop ISCOM

3

Le recenti trasformazioni del mercato dell’energia che hanno avuto impatti rilevanti sotto il profilo della sicurezza:

Liberalizzazione del mercato della produzione e vendita di energia, con conseguente scenario competitivo

Avvento delle reti elettriche intelligenti (smart-grids)

Interconnessione con reti pubblichedelle reti di controllo della distribuzione e produzione di energia

Page 4: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

• Centrali elettriche• Stazioni elettriche• Centri di controllo• Tecnologie e sistemi di

gestione e trading di energia

• Linee e stazioni ad Alta Tensione

• Centri di controllo e dispacciamento

• Sistemi di controllo remoto

• Pipelines• Navi e moli• Nastri e depositi

carbone• Serbatoi combustibile

Key Assets

Major Impacts

• Blocco o ritardodell’operatività

• Ritardoapprovvigionamentomaterie prime

• Safety• Danneggiamento e/o

malfunzionamento degliimpianti

• Perdita di governo e o operatività degliimpianti

• Accesso informazioniriservate

• Condizionamento BorsaEnergia

• Rischio blackout

• Safety• Danneggiamento e/o

malfunzionamentodella rete

• Perdita di governo e operatività delle reti

• Accesso informazioniriservate

• Discontinuità del servizio elettrico e rischio blackout

• Linee e stazioni di Media e Bassa tensione

• Centri di controllo remoto

• Sistemi di misura dei consumi

• Sistemi IT • Dati sensibili

(commerciali e dei clienti)

• Sottrazione di dati edinformazioni riservate

• Perdita di vantaggiocompetitivo

• Frodi commerciali

Generazione Trasmissione Distribuzione Vendita e CCLogistica

Cyber Risks ed Energy CompanyGli impatti sulla catena del valore

• Safety• Danneggiamento e/o

malfunzionamentodella rete

• Perdita di governo e operatività delle reti

• Accesso informazioniriservate

• Discontinuità del servizio elettrico e rischio blackout

• Frodi sulla misura

Workshop ISCOM

4

Page 5: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Agenda

5

Cyber Risks ed Energy Company

Il contesto Enel

L’approccio Enel

Workshop ISCOM

Il processo ISRM

Conclusioni

Page 6: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Generation

Potential gas reservesSales to final customers

Il contesto EnelDimensione geografica

Workshop ISCOM

6

Page 7: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security 7

Security Governance and Business Intelligence

To monitor security risks concerning Group operations and businessdevelopment activities, through open sources analysis, damaging eventscollection, counterparties analysis coordination, aim to provide guidelines toSecurity operations in order to orient prevention and mitigation actions;

To define Group policies and standard for people, assets and businessprotection, promoting necessary actions of awareness in agreement withSecurity Operations. Defines the Global Security Master Plan and monitors theprocess indicators, coordinating Security Operation contributions collection;

To supervise efficacy of company information security management system,defining security strategies related to business targets, validating the policycompliance of the solutions adopted to protect business applications andindustrial automation systems, performing vulnerability assessment andpenetration test, managing computer forensic analysis and, according toGlobal ICT, critical security incidents.

Security Governance and Business Intelligence

To monitor security risks concerning Group operations and businessdevelopment activities, through open sources analysis, damaging eventscollection, counterparties analysis coordination, aim to provide guidelines toSecurity operations in order to orient prevention and mitigation actions;

To define Group policies and standard for people, assets and businessprotection, promoting necessary actions of awareness in agreement withSecurity Operations. Defines the Global Security Master Plan and monitors theprocess indicators, coordinating Security Operation contributions collection;

To supervise efficacy of company information security management system,defining security strategies related to business targets, validating the policycompliance of the solutions adopted to protect business applications andindustrial automation systems, performing vulnerability assessment andpenetration test, managing computer forensic analysis and, according toGlobal ICT, critical security incidents.

‒ Security Europe, North and Central America, Rest of the world (Row)‒ Security Iberia‒ Security Italy‒ Security Latam

To assess fraud threats and security risks for people and infrastructures, toguarantee the identification and implementation of technical, organizationaland management solutions in order to mitigate and contrast them, to supportGlobal Security Master Plan definition and to measure process indicators;

to define local security procedures according to Group policy and to follow thecrisis management process, ensuring the reporting and management ofdamaging events;

to manage relationships with local authorities and ensure the country lawsfulfillments for critical infrastructures protection and homeland security andState secret protection where Enel runs its operations.

‒ Security Europe, North and Central America, Rest of the world (Row)‒ Security Iberia‒ Security Italy‒ Security Latam

To assess fraud threats and security risks for people and infrastructures, toguarantee the identification and implementation of technical, organizationaland management solutions in order to mitigate and contrast them, to supportGlobal Security Master Plan definition and to measure process indicators;

to define local security procedures according to Group policy and to follow thecrisis management process, ensuring the reporting and management ofdamaging events;

to manage relationships with local authorities and ensure the country lawsfulfillments for critical infrastructures protection and homeland security andState secret protection where Enel runs its operations.

Il contesto EnelOrganizzazione Security

Workshop ISCOM

Page 8: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Il contesto EnelLe sfide attuali

8

Infrastruttura IT e servizi globali

Semplificazione di processi e procedure

Cyber threats espressione di più ampie forme di aggressione (es. causa ambientalista)

Attacchi mirati ad interrompere il funzionamento di infrastrutture critiche informatizzate (teleconduzioneimpianti di produzione e telecontrollo rete di distribuzione)

Esterne Nuove forme di minacce informatiche (“slow and low”

threats) non rilevate dai sistemi di difesa convenzionali

Ottimizzazione degli investimenti

Workshop ISCOM

Efficienza

Proattività

Interne

Page 9: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Il contesto EnelL’approccio strategico

9

Priorità di sicurezza tarate sugli obiettivi di business

Unico modello di governo della sicurezza all’interno del Gruppo

Intelligence integrata nel processo di gestione dei cyber risks

Partecipazione attiva ai tavoli di standardizzazione ed allo studio di nuove soluzioni architetturali e tecnologiche

Modello di misura e monitoraggio degli obiettivi tramite specifici KPI

Workshop ISCOM

I fattori chiave

Page 10: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Agenda

10

Cyber Risks ed Energy Company

Il contesto Enel

L’approccio Enel

Workshop ISCOM

Il processo ISRM

Conclusioni

Page 11: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

L’approccio EnelIl Processo ISRM (Information Security Risk Management)

11

Business Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

Workshop ISCOM

Per far fronte alla complessità e dinamicità dello scenario di minaccia ed alla sfida

dell’internazionalizzazione è stato definito un unico processo di riferimento, sostenuto da un set di Policy e Procedure globali

Information Security Risk Management

Page 12: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Agenda

12

Cyber Risks ed Energy Company

Il contesto Enel

L’approccio Enel

Workshop ISCOM

Il processo ISRM

Conclusioni

Page 13: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Il processo ISRMLa Business Intelligence

13

L’intelligence è divenuta una fondamentale componente del processo di security risk management

Assume sempre più rilievo nell’ambito dei rischi di sicurezza IT, per intercettare le minacce interne ed esterne emergenti e sostenere lo sviluppo di capacità “proattive”, in luogo di un approccio “reattivo”, che risulta

sempre meno efficace o comunque non sufficiente

Workshop ISCOMBusiness

Intelligence

Risk AssessmentRisk Assessment

Impact estimation

Impact estimation

RiskAssurance

RiskAssurance

Risk MonitoringRisk Monitoring

Coordination and CommunicationCoordination and Communication

Process mappingProcess mapping

Risk Evaluation

Risk Evaluation

Risk TreatmentRisk Treatment

ImplementationImplementationPlanningPlanning

Web site

Social

Stampa

Blogs

Forum Scouting & Acquisition

SemanticEngines

Data Mining

Fonti esterne

Incident reporting

Anagrafiche

Cruscotto KPI

..altro

Fonti interne

Per garantire un’efficace attività di Business Intelligence sono necessari competenze interne e strumenti di supporto (to make the best use of

knowledge)

Brand Reputation

Fraud

Supplier Reputation

Travel risks

IT Attacks

Tanto più si vuole essere proattivi, tanto maggiore è il bisogno di strumenti di analisi e previsione

Page 14: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Il processo ISRMLa Business Impact Analysis (BIA)

14

Identificazione dei processi, dei sotto-processi, delle informazioni gestite e scambiate, fino ad identificare le applicazioni informatiche a supporto.

2 . 1 F i n a n c i a l I m p a c t £ 0 0 0 ' s ( p l e a s e i n d i c a t e & d e s c r i b e b e l o w ) 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sT r e a s u r y

£ 0 £ 0 £ 0 £ 0 £ 0L o s t R e v e n u e

£ 0 £ 0 £ 0 £ 0 £ 0D e l a y e d P r o c e s s i n g

£ 0 £ 0 £ 0 £ 0 £ 0R e g u l a t o r y /C o n t r a c t u a l / L e g a l £ 0 £ 0 £ 0 £ 0 £ 0A d d i t i o n a l E x p e n s e

£ 0 £ 0 £ 0 £ 0 £ 0T o t a l : £ 0 £ 0 £ 0 £ 0 £ 0

2 . 2 O p e r a t i o n a l I m p a c t ( p l e a s e i n d i c a t e b e l o w ) : 1 - m i n i m a l ; 2 - s i g n i f i c a n t ; 3 - v e r y s i g n i f i c a n t 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sS e r v i c e t o c u s t o m e r

0 0 0 0 0M a n a g e m e n tC a p a b i l i t y 0 0 0 0 0I m a g e

0 0 0 0 0R e g u l a t o r y A g e n c i e s /L e g a l 0 0 0 0 0I n t e r - D e p e n d e n c i e s

0 0 0 0 02 . 3 L i s t a l t e r n a t i v e p r o c e d u r e s t o p e r f o r m b u s i n e s s f u n c t i o n s w i t h o u t e x i s t i n g r e s o u r c e s

2 . 1 F i n a n c i a l I m p a c t £ 0 0 0 ' s ( p l e a s e i n d i c a t e & d e s c r i b e b e l o w ) 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sT r e a s u r y

£ 0 £ 0 £ 0 £ 0 £ 0L o s t R e v e n u e

£ 0 £ 0 £ 0 £ 0 £ 0D e l a y e d P r o c e s s i n g

£ 0 £ 0 £ 0 £ 0 £ 0R e g u l a t o r y /C o n t r a c t u a l / L e g a l £ 0 £ 0 £ 0 £ 0 £ 0A d d i t i o n a l E x p e n s e

£ 0 £ 0 £ 0 £ 0 £ 0T o t a l : £ 0 £ 0 £ 0 £ 0 £ 0

2 . 2 O p e r a t i o n a l I m p a c t ( p l e a s e i n d i c a t e b e l o w ) : 1 - m i n i m a l ; 2 - s i g n i f i c a n t ; 3 - v e r y s i g n i f i c a n t 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sS e r v i c e t o c u s t o m e r

0 0 0 0 0M a n a g e m e n tC a p a b i l i t y 0 0 0 0 0I m a g e

0 0 0 0 0R e g u l a t o r y A g e n c i e s /L e g a l 0 0 0 0 0I n t e r - D e p e n d e n c i e s

0 0 0 0 02 . 3 L i s t a l t e r n a t i v e p r o c e d u r e s t o p e r f o r m b u s i n e s s f u n c t i o n s w i t h o u t e x i s t i n g r e s o u r c e s

2 . 1 F i n a n c i a l I m p a c t £ 0 0 0 ' s ( p l e a s e i n d i c a t e & d e s c r i b e b e l o w ) 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sT r e a s u r y

£ 0 £ 0 £ 0 £ 0 £ 0L o s t R e v e n u e

£ 0 £ 0 £ 0 £ 0 £ 0D e l a y e d P r o c e s s i n g

£ 0 £ 0 £ 0 £ 0 £ 0R e g u l a t o r y /C o n t r a c t u a l / L e g a l £ 0 £ 0 £ 0 £ 0 £ 0A d d i t i o n a l E x p e n s e

£ 0 £ 0 £ 0 £ 0 £ 0T o t a l : £ 0 £ 0 £ 0 £ 0 £ 0

2 . 2 O p e r a t i o n a l I m p a c t ( p l e a s e i n d i c a t e b e l o w ) : 1 - m i n i m a l ; 2 - s i g n i f i c a n t ; 3 - v e r y s i g n i f i c a n t 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sS e r v i c e t o c u s t o m e r

0 0 0 0 0M a n a g e m e n tC a p a b i l i t y 0 0 0 0 0I m a g e

0 0 0 0 0R e g u l a t o r y A g e n c i e s /L e g a l 0 0 0 0 0I n t e r - D e p e n d e n c i e s

0 0 0 0 02 . 3 L i s t a l t e r n a t i v e p r o c e d u r e s t o p e r f o r m b u s i n e s s f u n c t i o n s w i t h o u t e x i s t i n g r e s o u r c e s

Availability Impact Insignificant Minor Moderate Major Catastrophic

Total Impact = Financial Impact Score +

Maximum Non Quantifiable Impact1 2 3 4 5

Integrity Impact Insignificant Minor Moderate Major Catastrophic

Sensible Data X

Proprietary Information X

Unique Information X

Confidentiality Impact Insignificant Minor Moderate Major Catastrophic

Sensible Data XProprietary Information X

Unique Information X

Applicazione 1

Applicazione 2

Business Impact

Catastrophic

Minor

Availability Integrity Confidentiality

Major tInsignificant

Major Minor

Stima degli impatti sui processi di business (economici, di immagine, conseguenze legali, safety…) secondo i diversi aspetti di disponibilità, integrità e riservatezza.

Individuazione del livello di impatto massimoper ogni applicazione secondo una metrica standard.

Workshop ISCOMBusiness

Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

La BIA assicura che le misure a protezione delle minacce, siano in linea con la mission, gli obiettivi, gli obblighi di legge per l’ambito definito.Consente di concentrare le risorse aziendali sui processi di business maggiormente critici.

1°step

2°step

3°step

Page 15: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

L’attività di IT Security Risk Assessment è finalizzata all’individuazione del realelivello di esposizione al rischio ed alla conseguente identificazione dei controllinecessari per la sua mitigazione.

Il processo ISRMLa valutazione e gestione dei rischi

15

Rischio

Impatto

Minaccia Vulnerabilità

Workshop ISCOMBusiness

Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

Sistemi Gestionali Sistemi di Processo

Organizzativi -

Linee guida per la progettazione e realizzazione di applicazioni

informatiche gestionali (riferimenti: NIST, ISO2700X)

Linee guida per la progettazione e realizzazione dei sistemi di

automazione industriale (riferimenti: ISA 99, IEC62351)

Controlli di base Baseline Baseline

Matrice minacce/controlli Matrice minacce/controlli

Controlli applicativi non standard Controlli applicativi non standard

TecniciControlli avanzati

Tipologia Interventi

Sono presi in esame: i risultati della BIA le minacce possibili ed i controlli idonei a contrastarle il gap tra i controlli necessari e quelli presenti

Page 16: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Individuati nell’ambito di un’iniziativa congiunta Enel – GCSEC (Global Cyber Security Center) Ispirati ai principali standards mondiali (NERC, IEC, EURACOM, ISO, NIST, SANDIA, etc.) Organizzati secondo il modello ISO 27001

Il processo ISRMFocus sui controlli per i sistemi di processo (1/2)

16

Security Program Organization of security Security Policy Risk Management Asset Management Human Resources Security Physical and Environmental Security Business Continuity Management Security Incident Management Compliance and improvements

Malicious software protection Cryptography & Key Management Capacity Management Software control Host Access Control

Network Architecture Firewall Specific network services Data transmission security Wireless security Network Access Control

800 controlli e requisiti di sicurezza

identificati e classificati

Workshop ISCOM

Governance

Requirements

HostRequirements

NetworkRequirements

Business Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

Page 17: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Verifica periodica applicazione policy e procedure Controllo politiche di accesso e rispetto principi di Segregation of Duties (SOD) Piano annuale di Vulnerability Assessment Penetration test periodici e spot

Sistemi gestionali

Il processo ISRMAssurance

17

Workshop ISCOMBusiness

Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

Test di policy (per. es patching, firewall rules) Confronto di diverse architetture Verifica di standard (e.g. protocolli) Simulazione di attacchi e test di prodotti di mercato (3 analisi

condotte nel 2012)

Sistemi di processo

Laboratorio Cyber Security SCADA

Attack Vendor 01 Vendor 02 Vendor 03

Port scan detection Negative Negative Positive

MS06-040 Positive Negative Positive

MS08-067 Negative Negative Positive

MS12-020 Negative Negative NegativeObfuscated executable Trojan Positive Negative Negative

Obfuscated dll Trojan Positive Negative NegativeAdobe util.print - buffer overflow Positive Negative Negative

Page 18: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Il processo ISRMMonitoring

18

Strumento di reporting strategico finalizzato a:‒ monitorare il

raggiungimento degli obiettivi di sicurezza per Security

‒ comunicare agli stakeholder aziendali i livelli di sicurezza rilevati

‒ individuare le esigenze di sicurezza prioritarie per l’azienda

Consente viste sintetiche per:‒ obiettivi della sicurezza ‒ domini ‒ altro

Strutturazione gerarchica (obiettivi, FCS, KPI) con logiche di drill down fino al singolo indicatore

Possibile bacino di indicatori per altre funzioni (es. Sicurezza IT)

Obiettivo

Dominio del framework

Business continuity

Analisi e monitoraggio

VISTE

Cruscotto Security

Report Direzionali SOC

Sistemi Operazionali (controllo applicazioni operative)

Target Consuntivo ∆

KPI 1

KPI 2

KPI 3

Workshop ISCOMBusiness

Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

FCS 1

FCS 5FCS 6

FCS 2 FCS 3

FCS 4

Page 19: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Il processo ISRM Formazione e Comunicazione

19

Security alert (via posta elettronica)

Community Web

Corsi di formazione a distanza

Corsi in aula

Codice etico

Diffusione e mantenimento della consapevolezza sui rischidi sicurezza

Affermazione di “etica della sicurezza”

Workshop ISCOMBusiness

Intelligence

Risk Assessment

Impact estimation

RiskAssurance

Risk Monitoring

Coordination and Communication

Process mapping

Risk Evaluation

Risk Treatment

ImplementationPlanning

ObiettiviObiettivi

StrumentiStrumenti

L’attività di informazione, formazione e sensibilizzazionesulla sicurezza deve essere costante

Page 20: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Cooperazioni in essere

20

Workshop ISCOM

Convenzione con Polizia delle Comunicazioni

Protocollo Nazionale di legalità tra Enel e Ministero dell’Interno

Osservatorio sui furti di rame

Protocolli territoriali

Page 21: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Agenda

21

Cyber Risks ed Energy Company

Il contesto Enel

L’approccio Enel

Workshop ISCOM

Il processo ISRM

Conclusioni

Page 22: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

L’evoluzione da un approccio “reattivo” ad un approccio “proattivo” è fondamentale per reggere alle sfide attuali e per garantire un adeguato livello

di controllo dei rischi

La Business Intelligence, la Business Impact Analysis e la capacità di indirizzare standard e soluzioni tecnologiche, sono tra i principali fattori

abilitanti per questo processo di cambiamento

Un sistema complesso, quale quello di una grande azienda, è proattivo quando fornisce risposte forti a segnali deboli

Conclusioni

22

Workshop ISCOM

Page 23: Approccio Enel ai Cyber Risks - ISCOM · Approccio Enel ai Cyber Risks Workshop ISCOM Roma, 25 ottobre 2013 ing. Francesco Ceccarelli Resp. Security Governance and Business Intelligence.

GBS / Security

Q&A

23

?

Workshop ISCOM