Veolia è un’azienda leader mondiale nella gestione ottimizzata delle risorse, con 163.000 dipendenti. Progetta e fornisce soluzioni per la gestione idrica, energetica e dei rifiuti che contribuisce allo sviluppo sostenibile di comunità e aziende.
John Hield, oggi Data Protection e Information Governance Leader di Veolia nel Regno Unito, nel corso della sua carriera si è impegnato a migliorare i processi IT per rispondere agli standard di conformità ed è stato sempre più coinvolto in ambito sicurezza e compliance, tanto che nel 2010 è stato promosso a Infosecurity e Compliance Manager.
Le attività dell’azienda si basano molto sulla collaborazione con numerosi fornitori indipendenti e Hield si è occupato personalmente di assicurarsi che fossero sempre al corrente dei regolamenti principali e che operassero in modo sicuro e conforme.
Il suo interesse proattivo per il GDPR, a metà 2016, lo ha reso un pioniere del settore e si è occupato della pianificazione della compliance di Veolia, diventando prima Project Manager per il GDPR e in seguito Data Protection Officer per Veolia in Regno Unito e Irlanda. Tra le sue responsabilità, assicurare che gli utenti Veolia ricevano formazione e training sulla protezione.
Il team di Hield ha testato metodi differenti di training, tra cui la formazione via email, con l’invio di infografiche e statistiche, con blog condivisi sull’intranet e caricando informazioni su Google Communities. “Sfortunatamente gli utenti non sono così coinvolti da questi metodi, le email non vengono aperte e i blog ignorati,” sottolinea Hield.
Il suo team non poteva quindi dimostrare realmente le proprie attività di formazione, risultando così non conformi ai regolamenti, tra cui il GDPR. Hield cambia metodo, facendo presentazioni di un’ora ai team delle differenti sedi, ma molti non avevano spazi adatti per il training. Organizza quindi piccole sessioni interattive, in gruppi da 6 a 8 persone alla volta. Era un metodo efficace, ma con 5.500 utenti IT distribuiti in 400 siti tra Regno Unito e Irlanda e una squadra di tre persone, non era una strada percorribile. Di conseguenza inizia prendere in considerazione i software di formazione sulla cybersicurezza.
Dopo una serie di test effettuati dalle divisioni HR, finance e IT, la soluzione di Wombat Security, divisione di Proofpoint, è stata la prescelta grazie ai moduli interattivi e progressivi, più coinvolgenti ed efficaci.
Spiega Hield “Il nostro obiettivo, quando abbiamo sviluppato i training, era di renderli il più accessibili possibile. Non volevamo creassero timori.” La soluzione di Wombat è stata implementata tra maggio e giugno 2017. La prima campagna è partita con un’email introduttiva nella quale si invitavano tutti i dipendenti a completare il training di “security essentials” obbligatorio, con la possibilità di effettuare altri moduli di formazione opzionali. Nella prima settimana, sono stati completati 1.200 moduli, tra obbligatori e volontari e, solo nel primo mese, l’80% degli utenti aveva realizzato quello obbligatorio.
É stato particolarmente elevato il numero di dipendenti che ha portato a termine training volontari: da giugno a dicembre, 4.120 moduli sono stati completati e 100 membri dello staff hanno completato tutti quelli disponibili. La sicurezza dei dispositivi mobili è stato uno degli argomenti più seguiti.
Hield ha realizzato un attacco phishing fittizio ai suoi utenti lo scorso marzo 2017, durante la Cyber and Physical Security Week interna in Veolia: 700 persone su 5.300 hanno cliccato su un link contenuto nell’email.
Il numero era stato relativamente basso, quindi Hield ha deciso di sfidare i propri utenti con un altro test phishing nei mesi di novembre e dicembre dello stesso anno. Ha effettuato una simulazione con l’invio di un allegato e email ancor più “corporate” all’apparenza, causando un numero maggiore di “vittime” rispetto al test precedente. Una volta identificato il problema, ha trovato subito la giusta soluzione: pianificare un nuovo corso di formazione obbligatorio per “evitare gli allegati pericolosi”.
Il ROI del training è stato straordinario, con un equivalente di 250 giornate intere di corsi da giugno a ottobre 2017, un numero particolarmente significativo se consideriamo che i moduli hanno una durata di circa 15 minuti l’uno.
Il budget risparmiato è stato stanziato per l’anno successivo e uno dei primi passi di Hield nel ruolo di DPO è stato di realizzare una campagna di formazione per gli utenti con i moduli Wombat dedicati al GDPR, nonostante in molti li avessero già seguiti volontariamente.
