La valutazione e la gestione dei rischi per la sicurezza delle informazioni in BRT

L’AZIENDA  

BRT è un’azienda italiana nata a Bologna nel 1928, leader nel settore del trasporto di merci e logistica, parte del Gruppo DPD. In Italia è presente con circa duecento filiali sul territo­rio e i suoi automezzi sono riconoscibili dalla livrea di colore rosso. Nel pieno della trasformazione digitale BRT si posizio­na in uno dei più importanti settori strategici del mercato. In tale contesto, la sicurezza delle informazioni è riconosciu­ta come un elemento fondamentale che richiede un presidio maturo e continuo a tutti i livelli.  

IL MODELLO ORGANIZZATIVO DI GESTIONE DELLA SICUREZZA  

Il Gruppo DPD di cui BRT fa parte ha definito le responsabi­lità in tema di Governance della sicurezza delle informazioni disegnando una struttura organizzata di CISO i quali, ope­rando a stretto contatto, condividono periodicamente rischi ed opportunità della gestione della sicurezza nel Gruppo. In questo contesto ogni CISO declina le politiche del Gruppo in modo da adattarle al contesto in cui agisce. In particolare, in BRT la sicurezza delle informazioni è sorvegliata da un presi­dio funzionale appositamente dedicato alla Security e alla Compliance.  Uno degli obiettivi che si è data BRT negli ultimi anni è stato quello di ampliare gli interlocutori delle tematiche relati­ve alla sicurezza delle informazioni. Grazie all’opportuni­tà offerta dal Regolamento generale per la protezione dei dati personali n. 2016/679 (GDPR), a partire dal 2017 BRT è riuscita ad intraprendere un percorso virtuoso di conformità normativa, integrandolo in un approccio più esteso e compo­sito di protezione della sicurezza delle informazioni a tutto tondo, per evitare che gli aspetti di compliance risultassero slegati dal contesto operativo dei processi e delle procedure quotidiane.  Anche a causa della crescente rilevanza delle cyber-minacce, la sicurezza delle informazioni è stata oggetto di una mag­giore sensibilizzazione verso tutte le aree aziendali. La cul­tura della sicurezza in BRT è diventata un tema trasversale a partire dall’assunto che debba essere messa in atto con ap­proccio sistemico, tenendo in considerazione anche il punto di vista procedurale e organizzativo e non solo tecnologico.  

L’ESIGENZA

In tale ottica, BRT ha portato avanti insieme al Gruppo Lutech un progetto di perfezionamento della gestione della sicurezza a trecentosessanta gradi. Hanno spinto la società ad agire in questa direzione:  la necessità di aumentare i livelli di chiarezza nell’alloca­zione delle responsabilità in relazione alla sicurezza delle informazioni;  

  • l’esigenza di monitorare e valutare nel dettaglio e in modo costante i rischi alla sicurezza delle informazioni;
  • l’importanza di adottare le più adeguate misure di sicu­rezza per il contenimento dei rischi così individuati;
  • l’opportunità di documentare le policy, i processi e le pro­cedure di gestione della sicurezza e strutturarli secondo best practice di settore, in modo che siano sempre corri­spondenti alle modalità concrete messe in atto;
  • l’importanza di soddisfare i livelli di sicurezza richiesti dai Clienti e dal Gruppo DPD.

IL PROGETTO IMPLEMENTATO  

Con il supporto del Gruppo Lutech, BRT ha innanzitutto definito una metodologia per la valutazione e la gestione dei rischi per la sicurezza delle informazioni, la quale è stata successivamente codificata e adeguatamente condivisa. La metodologia si basa sullo standard ISO/IEC 27005 dal titolo “Information security risk management”.  In seguito, è stato disegnato il framework documentale a supporto. Gli standard presi a modello per l’architettura del framework sono stati lo Standard ISO/IEC 27001 e l’Infor­mation Technology Infrastructure Library (ITIL). L’utilizzo di standard internazionali per la sicurezza delle informazioni si è rivelato indispensabile per assicurarsi di non trascurare alcun aspetto rilevante nella gestione della security e per attribuire alle attività messe in atto il carattere sistemico e di solidità temporale.  L’information Security Policy è stata il pilastro portante sulla quale si è basato l’intero progetto. La stessa è com­prensiva degli obiettivi e degli intenti di BRT sul tema e di tutti gli aspetti che via via sono stati analizzati, definiti e dettagliati.  Per svolgere il progetto è stato individuato un team di lavoro flessibile che, con il supporto delle rispettive aree funzio­nali di BRT, ha strutturato i processi relativi alla sicurezza, adattandoli alle policy di alto livello basate sugli standard citati ed appositamente redatte. A titolo esemplificativo, sono stati ristrutturati e documentati adeguati processi di IT Service Continuity (con relativo perfezionamento del piano e procedure operative di Disaster Recovery), di Incident Mana­gement e di Problem Management, di Asset Management, di Access Management, etc. I processi e le procedure così definiti sono stati oggetto di una programmazione di training awareness che, in modo costante, sarà affiancata ad una attività di continuous impro­vement la quale consentirà di adeguare la gestione della sicurezza ai fattori mutevoli del contesto.

 I BENEFICI  

Il percorso di sensibilizzazione e di innalzamento del livello di sicurezza complessivo all’interno dell’organizzazione di BRT ha rafforzato la consapevolezza relativa alla security, in primis tra coloro che operano nel mondo IT e successiva­mente alle altre aree aziendali.  Un beneficio ottenuto è stato quello di dare voce anche alla security (intesa non già come safety, ma come sicurezza delle informazioni), in un’azienda operante in un settore, quello dei trasporti e logistica, che ha tradizionalmente prestato maggiore attenzione alla sicurezza fisica delle persone e del­le merci, più che a quella delle informazioni e dei sistemi.  Tutto il progetto ha consentito di avere una visione globale sulla protezione della sicurezza delle informazioni, avviando un discorso nevralgico di sensibilizzazione a tutti i livelli, che sostiene l’organizzazione nella gestione proattiva delle minacce. Inoltre, la razionalizzazione dei processi condotta secondo framework documentati e consolidati si riflette in efficienza ed efficacia delle attività realizzate, con la previ­sione di un maggiore controllo e contenimento dei rischi.  Proseguendo in tale percorso, nel prossimo futuro BRT intende continuare nell’implementazione di un sistema di gestione unico ed integrato per la gestione della sicurez­za delle informazioni che comprenda al suo interno anche la gestione della normativa privacy e potenzialmente al­tri adempimenti richiesti, fra i quali ad esempio il D.lgs. 65/2018 in attuazione della Direttiva NIS, sulla sicurezza delle reti e dei sistemi informativi, adottata nel 2016 a livello europeo, sempre nell’ottica di disporre di un impianto che abbracci la tematica della security nella sua totalità e non consenta viceversa agli aspetti legati alle normative di essere circoscritti ad atti formali.   

Siamo a tua disposizione per informazioni e assistenza

Martina Vertemati

Martina Vertemati

Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18
Alessia Barone

Alessia Barone

Assistenza Da Lunedì al Venerdì, dalle 09 alle 18
La valutazione e la gestione dei rischi per la sicurezza delle informazioni in BRT

Le migliori Aziende italiane si aggiornano su Osservatori.net