Cyber Security e Data protection

I dati e le informazioni gestite dal Gruppo A2A rappresentano elementi strategici che possono essere compromessi da attacchi cyber e da incidenti causati dalle molte vulnerabilità presenti nelle reti informatiche. Eventualità di questo tipo possono minare la resilienza dell’azienda, compromettendo i servizi offerti al cliente e la sua stessa reputazione.

È quindi fondamentale che queste minacce siano intercettate rapidamente e gestite efficacemente.

Le attività a presidio della minaccia cyber

La direzione “Group Security & Cyber Defence” adotta un approccio olistico per la gestione della Sicurezza del Gruppo A2A, in particolare si impegna ad assicurare la protezione dei dati, dei propri dipendenti, dei clienti e di tutti i suoi stakeholder di A2A.

Il Gruppo A2A fronteggia la minaccia cyber attraverso:

  1. Analisi dei rischi Cyber degli Asset Industriali e dei Servizi Digitali
  2. Processi e presidi di Cyber Security conformi alle best practice e agli standard internazionali (i.e. ISO27001 e IEC 62443) nonché alle normative di settore
  3. Sistema di gestione della continuità del business e della sicurezza delle informazioni
  4. Valutazione della robustezza cyber delle terze parti
  5. Partnership Pubblico - Privato
  6. Consapevolezza, Formazione, Training Continuo dei dipendenti
  7. Attività di intelligence per minacce cyber
La Politica della Security Aziendale

Cyber defence

A tale scopo viene deputata la Struttura “Cyber Defence”, con la mission di gestire in maniera unitaria e convergente la crescente complessità delle minacce che riguardano sia l’ambito ICT “classico” che i mondi Industriali.

Nello specifico, garantisce la data protection e la resilienza Cyber dei servizi di business e delle infrastrutture digitali implementando l’Information Security Management System (ISMS). La funzione di “Cyber Defence” fornisce, evolve e consolida servizi di Digital Security di nuova generazione in grado di proteggere a 360 gradi i business della nostra azienda nel suo percorso di innovazione continua, garantendo un allineamento continuo rispetto al Board.

All’interno della struttura “Cyber Defence” è costituita inoltre un’unità ad alta specializzazione chiamata IRIS - Intelligent Resilience Information Security Services. L’unità è formata da esperti in sicurezza informatica, preposti alla difesa e alla risposta agli attacchi contro le informazioni, le infrastrutture informatiche e i servizi di business digitale.

IRIS offre i seguenti servizi di sicurezza informatica:

Attività di monitoraggio della sicurezza e rapida reazione

Protegge l’azienda contro i criminali digitali, operativo h24x7 e monitora in tempo reale le minacce alla sicurezza sia l’infrastruttura ICT che Industriale riducendo l’esposizione e l’impatto degli attacchi ai servizi, applicazioni e asset digitali e industriali di A2A

Resilienza delle piattaforme

Integra tecnologie digitali e di sicurezza, garantisce che la miglior postura di sicurezza e l’efficacia dei controlli sia mantenuta nel tempo secondo i «threat model» più aggiornati

Difesa attiva

Valutazione del livello di resilienza dell’azienda e dei suoi servizi attraverso un Security Lab, un team di white hat (hacker etici) e specialisti deputato alla valutazione del livello di resilienza dell’azienda e dei suoi servizi per definire gli scenari di rischio attuali più critici e studiare i trend di minaccia futuri.

Attività di intelligence sulle minacce cyber

Fornisce capacità di Intelligence attraverso attività di ricerca e analisi proattiva di fonti esterne pubbliche e non. Supporta le decisioni strategiche di sicurezza e supporta le Cyber Security Operations monitorando i dati digitali di A2A da un uso improprio ed il suo brand.

Privacy

Al fine di garantire la conformità a quanto previsto dal Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito il “GDPR”), il Gruppo A2A si è dotato di un Modello di organizzazione e gestione dei dati personali nel quale:

  • sono individuati i ruoli coinvolti attivamente nella gestione della privacy in ambito aziendale e le relative responsabilità;
  • sono definite le modalità di gestione dei dati personali in linea con i principi e le disposizioni del GDPR, tra cui i principi della protezione dei dati fin dalla progettazione (cd. “privacy by design”) e della protezione dei dati per impostazione predefinita (cd. “privacy by default”) in base ai quali il Titolare del trattamento pone in essere adeguate misure di sicurezza tecniche e organizzative volte alla tutela dei diritti degli interessati.

Il Gruppo A2A ha predisposto, inoltre, un sistema procedurale volto a disciplinare le seguenti tematiche:

  • la definizione delle tempistiche di conservazione dei dati personali (cd. data retention);
  • lo svolgimento della valutazione preliminare del rischio per ciascun trattamento di dati personali e della valutazione d’impatto in relazione ai trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche (cd. DPIA - Data Protection Impact Assessment) al fine di valutare la necessità e la proporzionalità nonché i relativi rischi di tali trattamenti a rischio elevato e l’individuazione delle misure idonee ad affrontarli;
  • la gestione delle richieste con cui gli interessati esercitano i propri diritti;
  • la gestione delle violazioni di dati (cd. data breach) che comprende l’analisi della rilevanza della violazione e l’individuazione di un piano di azioni correttive (cd. remediation plan) con l’obiettivo di gestire il privacy incident individuato e mitigare il rischio rilevato.

Inoltre, con i fornitori che trattano dati personali per conto delle società del Gruppo A2A vengono stipulati appositi accordi che, oltre a recepire le previsioni normative, contengono specifiche istruzioni che il fornitore è tenuto ad osservare nella gestione di tali dati.