Bilancio di Sostenibilità 2020

Il contesto pandemico del 2020 in molti casi ha accentuato i livelli di stress ed ansia comportando interferenze con i processi di concentrazione. Il lavoro da remoto con un sempre maggior utilizzo di device in contesto domestico può ridurre il livello di attenzione e percezione del rischio proprio in relazione allamaggior confidenza che ciascuno sperimenta in casa propria (zona di comfort) esponendo a comportamenti meno accorti. Infine la difficoltà di separare ambito familiare e professionale per ragioni logistiche può comportare episodi di distrazione che favoriscono condotte imprudenti. Conseguentemente sono stati registrati unmaggior numero di incidenti e violazioni lungo tutto il 2020, furti di credenziali e tentativi di intrusioni per i quali la Security si è attivata in tempo reale in modo da contenerne gli effetti. Se i fattori di rischio non sono gestiti correttamente, con azioni correttive e piani di trattamento, la riservatezza, l’integrità e la disponibilità delle informazioni del Gruppo non possono essere adeguatamente garantiti e ciò può comportare danni o perdite finanziarie (perdita di competitività sul mercato in termini di riduzione del margine o aumento dei costi), reputazionali (perdita della reputazione dei marchi), operativi (interruzione o ritardo dei processi aziendali) e legali (mancanza di conformità a regolamenti, leggi e requisiti contrattuali). All’inizio del 2019, il Gruppo ha definito e adottato una serie di indicatori di prestazione utili per valutare il livello di sicurezza delle informazioni. Usando sistematicamente KPI e KRI, Prysmian può avere una panoramica continua e aggiornata dello stato della sicurezza, individuando potenziali carenze e risolvendole tempestivamente. Gli indicatori coprono tutte le aree del framework di sicurezza delle informazioni definito a livello di Gruppo, rispondendoaduediverseesigenze: lemetricheorientatealbusinessfornisconoalmanagement la rappresentazione più chiara e diretta possibile della posture, mentre le metriche tecniche misurano l’efficienza e l’adeguatezza delle soluzioni tecnologie utilizzate. Anche nel 2020 il Comitato per la Sicurezza delle Informazioni ha supervisionato i piani operativi di attuazione delle iniziative pianificate, con periodici aggiornamenti. Nel 2020 sono stati gestiti ogni mese oltre 120 eventi di sicurezza delle informazioni (“incidents”), di varia gravità. Sono stati inoltre identificati e segnalati alle competenti autorità 87 domini Internet utilizzati per campagne di phishing e ransomware. Sono state inoltre rilasciate mensilmente oltre 130 clearance di sicurezzaper autorizzarechange significativi susistemi ITo fornireaccessoa risorsecritichedell’azienda. Sono state infine condotte 33 investigazioni interne per contenere e prevenire attività di furto e frode e per contrastare potenziali danni di reputazione. Perfronteggiareilsignificativoincrementoiincidentièstataincrementatalacapacitàdiprevenzionedelle infezioni da malware, raccogliendo una maggiore quantità di tracce (log delle attività) degli endpoint, dei server e nei nodi critici della rete, e basando analisi e correlazioni non più solo sul riconoscimento di pattern di infezioni note, ma su tecniche di machine learning; è stato inoltre potenziato il monitoraggio dello scambio dei dati, intervenendo sugli aspetti della protezione dell’identità digitale delle persone (autenticazione a due fattori richiesta negli accresciuti contesti di rischio) ed attuando la cifrature per tutti i nuovi flussi di dati scambiati dai sistemi del Gruppo verso l’esterno. Descrizione UM 2020 2019 Corsi di formazione sulla sicurezza delle informazioni Numero 11 10 Tempo medio per la risoluzione di vulnerabilità ad alto rischio Settimane 33 37 Percentuale di log sources integrate con la soluzione SIEM Percentuale 82 79 Numero di incidenti di sicurezza informatica Numero 1439 534 Percentuale di attacchi informatici sul totale incidenti registrati Percentuale 9 19 Tempo medio per le investigazioni forensi dopo un incidente ore 4 3 Dichiarazione consolidata di carattere non finanziario 2020 03_ESG GOVERNANCE