Cyber Security e Data protection

I dati e le informazioni gestite dal Gruppo A2A rappresentano elementi strategici che possono essere compromessi da attacchi cyber e da incidenti causati dalle molte vulnerabilità presenti nelle reti informatiche. Eventualità di questo tipo possono minare la resilienza dell’azienda, compromettendo i servizi offerti al cliente e la sua stessa reputazione.

È quindi fondamentale che queste minacce siano intercettate rapidamente e gestite efficacemente.

Le attività a presidio della minaccia cyber

A2A attraverso le direzioni “Group Security & Cyber Defence” e “Group Information and Communication Technologies & Digital Enablement” si impegna ad assicurare la protezione dei dati, dei propri dipendenti, dei clienti e di tutti i suoi stakeholder.

Il Gruppo A2A ha deciso di fronteggiare la minaccia cyber attraverso le seguenti attività di presidio:

  1. Analisi dei rischi Cyber degli Asset e dei Servizi Digitali (Corporate - Impianti)
  2. Processi e controlli di Sicurezza IT/OT(1) compliant ai migliori standard internazionali (i.e. ISO27001 e IEC 62443) e alle normative di settore
  3. Sistema di gestione della continuità del business e della sicurezza delle informazioni
  4. Valutazione della robustezza cyber delle terze parti
  5. Partnership Pubblico - Privato
  6. Consapevolezza - Formazione - Addestramento
  7. Attività di intelligence per minacce cyber

Nota: (1) IT: Information Technology - OT: Operational Technology

Group security & cyber defence

La Direzione “Group Security & Cyber Defence” è attiva nell’ambito della security delle Operational Technology - OT (sistemi di controllo industriale e di controllo e acquisizione dei dati) con le seguenti responsabilità:

  • monitoraggio dei livelli di sicurezza dei sistemi OT attraverso l’analisi degli incidenti e la definizione di opportune azioni correttive
  • reportistica di monitoraggio delle reti anche in caso di incidente
  • supporto dei Risk Owner nell'elaborazione delle procedure ai fini della migliore postura cyber

Caso pratico: Progetto OT Security in A2A


Il progetto, iniziato nel Settembre 2019, è nato con l’obiettivo di garantire la sicurezza e la resilienza delle reti e dei sistemi informativi, attraverso adeguate e proporzionate misure tecniche e organizzative per la gestione dei rischi dei propri asset critici, applicando i principi contenuti nel Framework Nazionale di Cyber Security – FNCS.
Le attività del progetto hanno riguardato la generazione idroelettrica, la distribuzione elettrica, la distribuzione gas e il ciclo idrico.

1) Valutazione dei livelli di sicurezza

  • Assessment di sicurezza dello stato dell’arte delle infrastrutture e dei sistemi informativi
  • Analisi del rischio rispetto alle minacce di settore
  • Piano di trattamento del rischio rivolto a mitigare l’esposizione alle minacce e conseguentemente ad innalzare il livello di sicurezza.

2) Implementazione di un sistema di gestione della Cyber Security

Adozione del miglior assetto organizzativo volto a garantire la sicurezza e la resilienza delle reti e dei sistemi informativi: definizione dei processi, delle procedure e delle competenze delle persone incaricate di gestire la sicurezza delle Operational Technologies (OT).

Group ICT & digital enablement

La direzione “Group ICT & Digital Enablement” è responsabile della Digital Security e garantisce la data protection, la resilienza dei servizi di business e delle infrastrutture ICT implementando l’Information Security Management System (ISMS). In particolare, la funzione di ICT Security fornisce, evolve e consolida servizi di Digital Security di nuova generazione in grado di proteggere i business della nostra azienda nel suo percorso di innovazione continua.

A2A ha costituito un’unità ad alta specializzazione chiamata IRIS - Intelligent Resilience Information Security Services. L’unità è formata da esperti in sicurezza informatica, preposti alla difesa e alla risposta agli attacchi contro le informazioni, le infrastrutture informatiche e i servizi di business digitale.

IRIS offre i seguenti servizi di sicurezza informatica:

Attività di monitoraggio della sicurezza e rapida reazione

Protegge l’azienda contro i criminali digitali, è operativo h24x7 e monitora in tempo reale le minacce alla sicurezza riducendo l’esposizione e l’impatto degli attacchi ai servizi, applicazioni e asset digitali di A2A

Resilienza delle piattaforme

Integra tecnologie digitali e di sicurezza, garantisce che la miglior postura di sicurezza e l’efficacia dei controlli sia mantenuta nel tempo secondo i «threat model» più aggiornati

Difesa attiva

Valutazione del livello di resilienza dell’azienda e dei suoi servizi attraverso un Security Lab, un team di white hat (hacker etici) e specialisti deputato alla valutazione del livello di resilienza dell’azienda e dei suoi servizi per definire gli scenari di rischio attuali più critici e studiare i trend di minaccia futuri.

Attività di intelligence sulle minacce cyber

Fornisce capacità di Intelligence attraverso attività di ricerca e analisi proattiva di fonti esterne pubbliche e non. Supporta le decisioni strategiche di sicurezza e supporta le Security Operations monitorando i dati digitali di A2A da un uso improprio ed il suo brand

PRIVACY

Al fine di garantire la conformità a quanto previsto dal Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito il “GDPR”), il Gruppo A2A si è dotato di un Modello di organizzazione e gestione dei dati personali nel quale:

  • sono individuati i ruoli coinvolti attivamente nella gestione della privacy in ambito aziendale e le relative responsabilità;
  • sono definite le modalità di gestione dei dati personali in linea con i principi e le disposizioni del GDPR, tra cui i principi della protezione dei dati fin dalla progettazione (cd. “privacy by design”) e della protezione dei dati per impostazione predefinita (cd. “privacy by default”) in base ai quali il Titolare del trattamento pone in essere adeguate misure di sicurezza tecniche e organizzative volte alla tutela dei diritti degli interessati.

Il Gruppo A2A ha predisposto, inoltre, un sistema procedurale volto a disciplinare le seguenti tematiche:

  • la definizione delle tempistiche di conservazione dei dati personali (cd. data retention);
  • lo svolgimento della valutazione preliminare del rischio per ciascun trattamento di dati personali e della valutazione d’impatto in relazione ai trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche (cd. DPIA - Data Protection Impact Assessment) al fine di valutare la necessità e la proporzionalità nonché i relativi rischi di tali trattamenti a rischio elevato e l’individuazione delle misure idonee ad affrontarli;
  • la gestione delle richieste con cui gli interessati esercitano i propri diritti;
  • la gestione delle violazioni di dati (cd. data breach) che comprende l’analisi della rilevanza della violazione e l’individuazione di un piano di azioni correttive (cd. remediation plan) con l’obiettivo di gestire il privacy incident individuato e mitigare il rischio rilevato.

Inoltre, con i fornitori che trattano dati personali per conto delle società del Gruppo A2A vengono stipulati appositi accordi che, oltre a recepire le previsioni normative, contengono specifiche istruzioni che il fornitore è tenuto ad osservare nella gestione di tali dati.