Oltre il firewall: come GEA garantisce la sicurezza di ciò che conta
7 luglio 2025
Le aziende come GEA trattano e archiviano grandi quantità di dati sensibili. Tuttavia, gli incidenti di sicurezza, come attacchi ransomware, intrusioni fisiche e spionaggio industriale, sono in continua espansione. GEA sta trasformando in vantaggio sulla concorrenza l'efficace protezione dei dati dei suoi partner commerciali, nonché delle informazioni di sua proprietà esclusiva. Abbiamo discusso con Iskro Mollov, Chief Information Security Officer di GEA, in merito alle misure necessarie per proteggere un'azienda globale in un mondo in continua evoluzione.
Iskro Mollov, Chief Information Security Officer, GEA (immagine: GEA)
Non solo gestiamo i nostri impianti, ma costruiamo anche impianti e macchinari per i nostri clienti. Grazie alla nostra esperienza e alla nostra esposizione unica, siamo in grado di offrire soluzioni di sicurezza informatica all'avanguardia e spesso altamente personalizzate, in linea con i più recenti requisiti normativi.
Iskro Mollov
Chief Information Security Officer, GEA
Cos'è la sicurezza delle informazioni?
Iskro Mollov (IM): In linea generale, la sicurezza delle informazioni riguarda la protezione delle informazioni aziendali, inclusi naturalmente i dati digitali. Tali dati possono contenere informazioni sensibili relative a clienti, fornitori e partner commerciali, nonché nostre informazioni riservate, quali proprietà intellettuale, posizione finanziaria e strategica e dati personali dei nostri dipendenti. Proteggere queste informazioni è innanzitutto un compito di governance a 360 gradi. Ha lo scopo di evitare attacchi hacker, prevenire lo spionaggio, garantire la conformità normativa e contrattuale, salvaguardare i sistemi critici e prevenire qualsiasi tipo di interruzione dell'attività. I nostri stakeholder richiedono giustamente la garanzia che le loro informazioni siano al sicuro, non solo nell'ambito delle normali attività operative, ma soprattutto in circostanze straordinarie come attacchi informatici o disastri naturali.
In che modo GEA gestisce la sicurezza delle informazioni?
IM: In GEA, esaminiamo tutte le aree e le funzioni in modo olistico per comprendere i rischi per la sicurezza dell'azienda. Sulla base di ciò, implementiamo misure di sicurezza efficaci ed efficienti. La sicurezza delle informazioni è particolarmente rilevante per la tecnologia dell'informazione (IT), la tecnologia operativa (OT), i nostri prodotti e i processi di sviluppo dei prodotti, la presenza su Internet, i beni fisici e i siti, i fornitori e le risorse umane. È fondamentale sottolineare che la sicurezza presenta anche una componente culturale importante: un'organizzazione veramente sicura deve trasmettere una cultura in cui la sicurezza sia una prerogativa per tutti i dipendenti, indipendentemente dal loro ruolo, e non sia considerata di esclusiva competenza degli specialisti.
Quali sono le principali responsabilità del Chief Information Security Officer (CISO) di GEA e del suo team?
IM: Ho tre responsabilità principali e interconnesse. La prima è quella di monitorare e migliorare costantemente la governance della sicurezza delle informazioni in GEA. Nel nostro team stiamo adottando diverse misure a tale scopo. Ciò include gestire i nostri sistemi di sicurezza delle informazioni (ISMS) a livello mondiale, ottenere le certificazioni di sicurezza e conformità, nonché supervisionare la gestione dei rischi per la sicurezza, occuparsi della formazione dei dipendenti, gestire le identità e gli accessi, rispondere agli incidenti di sicurezza, misurare le prestazioni, eseguire audit e test di penetrazione. Inoltre, testiamo regolarmente i nostri sistemi e prodotti digitali tramite attacchi hacker simulati.
La seconda è garantire la continuità operativa. In altre parole, garantire il regolare funzionamento di GEA anche in circostanze straordinarie. Ciò include essere preparati a diversi tipi di possibili interruzioni delle nostre attività, come ransomware, interruzioni della produzione e della catena di approvvigionamento, disastri naturali, mancanza di servizi pubblici, disordini sociali, pandemie o questioni legali.
La terza è la gestione delle crisi. Le crisi aziendali possono assumere molte forme che in passato sono state limitate dalla pandemia di Covid e dai conflitti internazionali (militari). Uno scenario rilevante per il quale ci stiamo preparando con grande impegno è naturalmente un attacco ransomware con impatto globale. In definitiva, la gestione delle crisi è un compito complesso e intenso che può coinvolgere molte funzioni aziendali diverse e richiede un coordinamento straordinario.
Come è composto il Suo team?
IM: Direi piuttosto eterogeneo! Il nostro team di Information Security, Business Continuity and Crisis Management è composto da professionisti provenienti da tutto il mondo e con diversi background professionali. Disponiamo di esperti in vari aspetti della sicurezza, quali sicurezza fisica, IT, OT e dei prodotti, nonché gestione della continuità operativa, governance generale della sicurezza e gestione dei rischi. Anche il loro background formativo è molto diversificato e comprende lauree in ingegneria, informatica ed economia aziendale.
Perché la sicurezza delle informazioni è così importante per il successo aziendale al giorno d'oggi?
IM: La sicurezza delle informazioni si è evoluta da ruolo di supporto a funzione dedicata che offre un vantaggio competitivo nel nostro settore. Se implementata correttamente, una governance della sicurezza delle informazioni di livello superiore può rappresentare un fattore determinante per acquisire nuovi clienti. Purtroppo, gli incidenti informatici sono in aumento, così come lo spionaggio. Ad esempio, nel 2024, nove organizzazioni su dieci in tutto il mondo hanno subito almeno un attacco ransomware. Inoltre, fenomeni come il ransomware-as-a-service richiedono solo pochi dollari e uno sforzo minimo per sferrare un attacco potenzialmente devastante. Quasi tutte le aziende che operano nel settore dell'ingegneria meccanica e di processo, così come molte altre, stanno giustamente adottando soluzioni di connettività, intelligenza artificiale e cloud per sfruttare i vantaggi della digitalizzazione. Il lato negativo: tutto questo comporta un aumento dei punti vulnerabili. Inoltre, le catene di approvvigionamento globali sono diventate più fragili e negli ultimi anni abbiamo assistito a un aumento dell'instabilità del contesto geopolitico.
Inoltre, anche il panorama normativo sta diventando più complesso: normative estese come il Cyber Resilience Act e la NIS2 nell'Unione Europea si rivolgono direttamente agli operatori e ai costruttori di impianti. GEA è entrambi. Non solo gestiamo i nostri impianti, ma costruiamo anche impianti e macchinari per i nostri clienti. Questa combinazione è vantaggiosa per noi dal punto di vista della sicurezza delle informazioni: ci consente di acquisire un'esperienza completa e concreta su un'ampia gamma di requisiti, possibilità e potenziali sfide in numerosi settori industriali. Grazie alla nostra esperienza e alla nostra esposizione unica, siamo in grado di offrire soluzioni di sicurezza informatica all'avanguardia e spesso altamente personalizzate, in linea con i più recenti requisiti normativi.
Ha notato una maggiore consapevolezza e richiesta di sicurezza delle informazioni da parte dei clienti?
IM: Certamente, questo argomento continua ad acquisire importanza. Ciò si riflette chiaramente nei feedback che riceviamo dai colleghi delle vendite in tutte le nostre divisioni e regioni, che sottolineano tutti la crescente importanza della sicurezza delle informazioni nelle interazioni con i clienti. I clienti hanno bisogno del nostro supporto per far crescere le loro attività. Offrire un'eccellente governance della sicurezza è fondamentale per costruire e mantenere la fiducia dei clienti e consente a GEA di acquisirne di nuovi.
Perché la certificazione è un argomento così importante nella sicurezza delle informazioni?
IM: Molti clienti preferiscono espressamente collaborare con aziende certificate, ad esempio secondo la norma ISO/IEC 27001. Si tratta di uno standard internazionale per i sistemi di gestione della sicurezza delle informazioni. Specifica i requisiti per stabilire, implementare, mantenere e migliorare costantemente un sistema di gestione completo della sicurezza delle informazioni all'interno di un'organizzazione. E per un numero crescente di loro, è un prerequisito obbligatorio. Le certificazioni attestate da enti di riferimento sono uno standard per la sicurezza delle informazioni e forniscono ai nostri clienti informazioni obiettive e trasparenti sui rigorosi criteri di sicurezza delle informazioni che adottiamo in GEA. Sono rilasciate esclusivamente da importanti istituti di controllo, come nel nostro caso il TÜV Rheinland tedesco.
Nel 2021, GEA ha ottenuto la prima certificazione globale ISO/IEC 27001 che è stata estesa di anno in anno ad altri siti ed entità giuridiche di GEA. La più recente ricertificazione, ottenuta nel 2024, questa volta secondo l'ultima versione 2022 della norma ISO/IEC 27001, copre tutte le attività commerciali di 53 siti GEA in tutto il mondo. Si tratta di un risultato significativo, poiché la ISO/IEC 27001 è lo standard internazionale di riferimento per i sistemi di gestione della sicurezza delle informazioni, ampiamente riconosciuto in tutti i settori industriali. I nostri siti di produzione e il nostro processo di sviluppo dei prodotti sono inoltre certificati secondo le norme IEC 62443 2-1 e 4-1, gli standard di riferimento per l'automazione industriale e la sicurezza dei sistemi di controllo. Anche queste sono certificazioni collettive di gruppo, alle quali aggiungiamo ogni anno altre nostre sedi.
Certificazione globale ISO/IEC 27001
Certificazione IEC 62443-4-1
Avete compiuto progressi significativi nella certificazione. Quali sono gli obiettivi futuri?
IM: Il nostro obiettivo è ottenere la certificazione di sicurezza per tutti i siti e i prodotti GEA rilevanti entro il 2027, nell'ambito del Programma di sicurezza globale GEA. Inoltre, al fine di migliorare ulteriormente i nostri rating secondo gli standard ESG internazionali, puntiamo a ottenere una certificazione che copra oltre il 75% dei dipendenti entro la fine del 2025. Un altro compito prioritario è preparare GEA alle normative imminenti. Ad esempio, la legge dell'UE sulla resilienza informatica (CRA) richiederà ai produttori di considerare la sicurezza informatica durante l'intero ciclo di vita dei prodotti, secondo norme rigorose e accompagnate da requisiti di rendicontazione approfonditi.
Tuttavia, ancora più importante di tali questioni internazionali è fornire assistenza ai nostri clienti e aiutarli a migliorare la loro sicurezza, conformità e preparazione al futuro. Ovvero, da un lato fornire prodotti e servizi digitali GEA sicuri e, dall'altro, fornire prodotti e servizi di sicurezza dedicati nell'ambito dell'offerta GEA, come GEA Asset Care.
In che direzione si sta evolvendo la sicurezza delle informazioni in GEA nel lungo termine?
IM: È semplice: GEA si impegna a rafforzare costantemente la propria governance in materia di sicurezza delle informazioni per promuovere l'innovazione e la fiducia. Desideriamo che i nostri elevati standard di sicurezza delle informazioni siano uno dei motivi principali per cui i clienti scelgono GEA, esattamente come la nostra reputazione di eccellenza ingegneristica. Continuando a eccellere in questo settore, potremmo potenzialmente sfruttare la profonda esperienza acquisita per supportare altri settori industriali. La complessità della nostra attività e il contesto normativo in cui operiamo ci consentono di occupare una posizione di rilievo in questo settore.
