Presentazione a supporto dell'intervento di Ivan Grumelli, DussmannS al webinar "15 ANNI DAL D.LGS.81/2008 E L’EVOLUZIONE DELLA FIGURA DEL RSPP: PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024

1. Sicurezza dell’informazione
all’interno di una Società di Facility:
l’esperienza di Dussmann
31/01/2024
Ivan Grumelli
Direttore Sistemi Informativi Dussmann Service

2. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi

3. Facility Management
 Sanificazione ospedaliera
 Pulizie civili e industriali
 Sanificazione sui mezzi di trasporto
 Manutenzione e gestione degli edifici
 Servizi per la terza età
 Sicurezza armata e non armata
 Sterilizzazione set chirurgici
Food services
 Servizi di ristorazione ospedaliera, aziendale,
scolastica, per la terza età
 Catering e banqueting
 Servizi accessori
Technical Solutions
 Hard maintenance
 Gestione e manutenzione impiantistica
 Costruzione Impianti
 Termomeccanici
 Elettrici
 Idraulici
 Reti
 Speciali
Scenario di riferimento: cosa fa Dussmann?

4. Scenario di riferimento:
i numeri
• +26.000 dipendenti (90% blue collar)
• Food services: 45 Milioni di pasti/anno
• Facility Management: 25 Milioni di m2 gestiti / anno (+15 MLD puliti) ;
2500 pulizie treni/giorno; 2000 clienti Sicurezza; 48 RSA gestite;
+2000 ferri medici sterilizzati al giorno
• Technical Solutions : 150 impianti; +130.000 componenti
• +2000 production sites

5. Dove siamo
Italy ICT Dept - Lansdcape
5
 Dussman Service HQ
 Kursana
Capriate S. G. (BG)
 Securducale Vigilanza
Parma
 Steritalia
Pierantonio (PG)
 Regional Offices
 Caresanablot (VC)
 Modugno (BA)
 Olbia (OT)
 Acireale (CT)
 Rome
 Trieste
 Cooking Center
 La Spezia
 Aosta
 Fossalta
 Vibo Valentia
 Prato
 Padova
 Settimo M.
 Marghera
 Brescia
 Pavia
 Torino
 Gorgonzola
 Dussmann Service
Branch sites
 Nord Ovest
Capriate S. G. (BG)
Torino
 Sud
Napoli
 Nord Est
Marghera (VE)
 Centro
Prato
 Adriatica
Cesena (FC)
 B&I Catering
Capriate S. G. (BG)
 B&I IFM
Capriate S. G. (BG)
 Trasporti
Napoli
 Ristorazione scolastica
Capriate S. G. (BG)

6. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi

7. Le minacce - 1
Attacchi andati “a buon fine” (hanno generato danni significativi e sono divenuti di dominio
pubblico)
Gli attacchi verso vittime italiane rappresentano il 9,6%
[Fonte: Rapporto Clusit 2023 - Sicurezza ICT in Italia]

8. Le minacce - 2

9. I danni
FERMO AZIENDA – PERDITA DI FATTURATO
COSTI DI RIPRISTINO
DANNO REPUTAZIONALE
FURTO DI INFORMAZIONIBREVETTI
RANSOM - ESTORSIONE
GDPR - MULTE

10. Truffe online

11. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi

12. Cybersecurity in Dussmann - 1
• Il tema delle sicurezza delle informazioni in Dussmann è stato
affrontato da tempo su anche su sollecitazione della capo Gruppo
• Molte misure sono state traguardate sulle iniziative legate alla
normativa sulla Privacy con decisa accelerazione con l’avvento della
normativa europea (GDPR)
• La diffusione della digitalizzazione anche nei processi di facility
management e l’aumento delle minacce di cybercrime ha ulteriormente
messo attenzione sul tema anche al di fuori dell’area ICT

13. Le informazioni da proteggere
Data Center
Impiegati di
ufficio
Pulitori
Cucine
Dietiste
Capi
commessa
Referenti
servizio
Manutentori
Asset Informativi
 30 applicazioni principali
 +1.800 postazioni di lavoro
 circa 5.000 smartphone/tablet
 +600.000 mail/mese
 30 milioni di documenti archiviati
(incluso documenti di gara, contratti,
documenti operativi, ….)
 600.000 fatture / anno
 5.000 ricette; 200.000 articoli;
 Clienti
 Dipendenti
 Clienti dei clienti
(alunni, genitori, pazienti, visitatori, …)
 Fornitori
 Minori
 Dati personali comuni
 Dati con categorie particolari (diete, …)
 Dati videosorveglianza
Tipologia di dati

14. Cybersecurity in Dussmann - 2
• Allo scopo di raggiungere un livello adeguato di sicurezza sono state
definite dal Gruppo alcune misure minime in linea con lo standard
ISO27001
• E’ stato istituito un ruolo dedicato per la protezione delle informazioni
(CISO) ad oggi in carico alla Direzione Sistemi Informativi
• E’ stato varato un piano di iniziative che si sviluppa in tre direzioni
• Sensibilizzazione
• Organizzativo-procedurale
• Tecnologiche

15. Da dove siamo partiti
Cyber/InfoSec
Per capire come eravamo posizionati abbiamo fatto un self-assemment basato sui controlli
ISO27001:2013 e identificato un piano di azioni di miglioramento
Maturity Assessment
• Capire l’attuale livello di maturità per Cyber and Data Protection Maturity
Risultati
• Identificate le good practice
• Identificati i punti di debolezza
• Identificati controlli da mettere in campo
Miglioramenti
• Plan, Do, Check, Act:
o Definito un programma per di inziative
o Continuo miglioramento
ARRIVA CONFIDENTIAL
DPA
PCI-DSS
GDPR

16. Sensibilizzazione
• Formazione obbligatoria su piattaforma elarning
• Attivata piattaforma dedicata di sensibilizzazione
• Portale Information Security - MySafeDussman
• Newsletter bi-settimanale
• Campagne di phishing con messaggi formativi
• Mail periodiche di richiamo alle buone norme

17. Piattaforma dedicata
17
Security Day 20/09/2022
Attacchi BEC: argomenti comuni
• Più di 400 pillole formative (5-20 min)
 Video animati
 Video Interattivi
 Video con attori
 Storie con e decisioni/scelte
 Training Game
• Materiale per Sensibilizzazione
 Poster/Infografiche/Flyer
 Presentazioni/ Screensaver

18. Tecnologia - 1
• Aggiornamento antivirus nuova generazione
• Segregazione reti
• Multi Factor Authentication
• Monitoraggio reti/comportamenti con ausilio AI
• Cyber Treath intelligence
• Controllo complessità / password
• Vulnerability assessment periodico

19. Tecnologia - 2 Attività periodica di RED TEAM per simulazione di attacchi multi
sorgente e relative piano di contromisure da mettere in campo

20. Organizzazione - 1
• Avviato comitato permanente (BLU TEAM)
multi-divisionale.
• Tale comitato è presieduto dall’AD e
composto da
• CISO/ Direttore Sistemi Informativi
• Security Team IT
• Direttore Sviluppo Risorse Umane
• Responsabili di Struttura / Direzioni
• Riferimenti della comunità utenti di
appalto
• Obiettivo: condividere strategia per cybersecurity,
aggiornare piano di azioni non tecniche, analizzare
report su incidenti e vulnerabilità e valutare
allineamento con le linee guida di Gruppo / ISO27001

21. Organizzazione - 2
• Integrazione attività DPO nei processi aziendali
• Piattaforma per gestione trattamenti dati personali
• Attivazione Security Operations Center
• Revisione impianto Security Policies
• Certificazione ISO27001:2022
raggiunta a dicembre 2023!!

22. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi

23. • Non abbassare mai la guardia
• Le persone sono la prima area di
vulnerabilità ….
• Usare tutti i canali e le occasioni per
diffondere la cultura della sicurezza
• Dare il buon esempio
SFIDE FUTURE
• Risorse specialistiche
• Sicurezza IOT / Cifratura
• Sorveglianza ISO27001