CLIENTE

ASM Terni S.p.A.

ASM Terni S.p.A. è una società di capitali che fornisce servizi pubblici essenziali nel territorio di Terni e provincia. Con un forte radicamento nel territorio e un impegno verso l’innovazione e la sostenibilità, ASM Terni si distingue per la sua capacità di guidare la trasformazione digitale sicura, offrendo servizi come la produzione e distribuzione di energia elettrica, acqua potabile, e gas naturale. Società per azioni partecipata dal Comune di Terni (socio pubblico) e da Acea S.p.A. e altre società del Gruppo Acea (socio privato) e fondata nel 1960 come Azienda Servizi Municipalizzati, trasformata in S.p.A. nel 2000. I principali servizi offerti riguardano:

  • Produzione e distribuzione di energia elettrica
  • Pubblica illuminazione
  • Servizio di igiene ambientale (raccolta, trasporto e selezione dei rifiuti)
  • Distribuzione di acqua potabile e depurazione acque reflue
  •  

Distribuzione di gas naturale (tramite la partecipata Umbria Distribuzione Gas) e gestisce oltre 100 unità ospedaliere italiane per quanto riguarda gli asset tecnologici.

Alcuni dati chiave

  • Fatturato: €68.569.633 (2022)
  • Dipendenti: 385 (2024)
  • Capitale sociale: €84.752.541 (2024)

ASM Terni si distingue per il suo ruolo di fornitore integrato di servizi essenziali, con un forte radicamento nel territorio e un impegno verso l’innovazione e la sostenibilità.

ESIGENZA

L’esigenza di ASM Terni consiste in una verifica approfondita dello stato della sicurezza informatica dell’organizzazione, richiesta dall’Organismo di Vigilanza. Questa richiesta si articola in due componenti principali:

Verifica della sicurezza della rete

  • Analisi completa dell’infrastruttura di rete per identificare potenziali vulnerabilità
  • Valutazione delle configurazioni di sicurezza dei dispositivi di rete
  • Controllo dell’efficacia delle misure di protezione perimetrale

Verifica della sicurezza degli applicativi

  • Analisi delle applicazioni in uso per individuare eventuali falle di sicurezza
  • Valutazione della gestione degli accessi e delle autorizzazioni
  • Controllo dell’aggiornamento e del patching dei software

L’obiettivo principale è l’identificazione puntuale del livello di vulnerabilità presente nei sistemi, che comprende:

  • Classificazione delle vulnerabilità in base alla loro criticità
  • Valutazione del potenziale impatto di ciascuna vulnerabilità sulla sicurezza complessiva
  • Prioritizzazione degli interventi necessari per mitigare i rischi identificati

Questa richiesta dell’Organismo di Vigilanza è in linea con le best practice di Cybersecurity e le normative vigenti, come il D.Lgs. 231/2001, che richiedono un monitoraggio continuo e proattivo della sicurezza informatica aziendale. L’approccio suggerito è quello di un Vulnerability Assessment completo, che può essere integrato, per sistemi particolarmente critici, con attività di Penetration Testing mirate.

L’esecuzione di questa verifica permetterà all’organizzazione di:

  • Ottenere una panoramica dettagliata dello stato attuale della sicurezza informatica
  • Identificare e prioritizzare le aree che richiedono interventi immediati
  • Fornire all’Organismo di Vigilanza le informazioni necessarie per valutare l’adeguatezza delle misure di sicurezza in atto
  • Supportare la definizione di un piano d’azione per il miglioramento continuo della postura di sicurezza aziendale

LA SOLUZIONE:

L’approccio del Red Team adottato da ACGROUP per identificare le vulnerabilità si è basato su una simulazione realistica di attacchi informatici, seguendo una metodologia strutturata in più fasi proprie della cyber kill chain:

Pianificazione e riconoscimento

  • Raccolta approfondita di informazioni sull’organizzazione target
  • Mappatura dell’infrastruttura e identificazione di potenziali punti deboli
  • Definizione degli obiettivi specifici dell’assessment

Esecuzione degli attacchi

  • Simulazione di tecniche utilizzate da veri attaccanti
  • Utilizzo di metodi avanzati come social engineering e attacchi fisici
  • Tentativo di accesso non autorizzato a sistemi e dati critici

Movimento laterale e persistenza

  • Sfruttamento di vulnerabilità per muoversi all’interno della rete
  • Elevazione dei privilegi per accedere a risorse protette
  • Mantenimento dell’accesso evitando il rilevamento

Valutazione delle difese

  • Test delle capacità di rilevamento e risposta del team di sicurezza
  • Verifica dell’efficacia dei controlli di sicurezza in place
  • Identificazione di punti ciechi nella postura di sicurezza complessiva

Reporting e raccomandazioni

  • Documentazione dettagliata delle vulnerabilità scoperte
  • Analisi dell’impatto potenziale di ciascuna debolezza
  • Suggerimenti concreti per migliorare la sicurezza

Questo approccio olistico ha permesso di valutare non solo le vulnerabilità tecniche, ma anche l’efficacia dei processi di sicurezza e la preparazione del personale, fornendo una visione completa dello stato di sicurezza dell’organizzazione.

Vuoi ottenere risultati simili per la tua azienda?

Richiedi una consulenza +

Entra in contatto con noi!

Linkedin
Mappa del sito
Contattaci:
Copyright 2025 © All Right Reserved by ACGroup S.R.L.    |    Cookie Policy  –  Privacy Policy