Cyber Security e Data protection

I dati e le informazioni gestite dal Gruppo A2A rappresentano elementi strategici che possono essere compromessi da attacchi cyber e da incidenti causati dalle molte vulnerabilità presenti nelle reti informatiche. Eventualità di questo tipo possono minare la resilienza dell’azienda, compromettendo i servizi offerti al cliente e la sua stessa reputazione.

È quindi fondamentale che queste minacce siano intercettate rapidamente e gestite efficacemente.

Le attività a presidio della minaccia cyber

A2A attraverso le direzioni “Group Security & Cyber Defence” e “Group Information and Communication Technologies & Digital Enablement” si impegna ad assicurare la protezione dei dati, dei propri dipendenti, dei clienti e di tutti i suoi stakeholder.

Il Gruppo A2A ha deciso di fronteggiare la minaccia cyber attraverso le seguenti attività di presidio:

  1. Analisi dei rischi Cyber degli Asset e dei Servizi Digitali (Corporate - Impianti)
  2. Processi e controlli di Sicurezza IT/OT(1) compliant ai migliori standard internazionali (i.e. ISO27001 e IEC 62443) e alle normative di settore
  3. Sistema di gestione della continuità del business e della sicurezza delle informazioni
  4. Valutazione della robustezza cyber delle terze parti
  5. Partnership Pubblico - Privato
  6. Consapevolezza - Formazione - Addestramento
  7. Attività di intelligence per minacce cyber

Nota: (1) IT: Information Technology - OT: Operational Technology

Group security & cyber defence

La Direzione “Group Security & Cyber Defence” è attiva nell’ambito della security delle Operational Technology - OT (sistemi di controllo industriale e di controllo e acquisizione dei dati) con le seguenti responsabilità:

  • monitoraggio dei livelli di sicurezza dei sistemi OT attraverso l’analisi degli incidenti e la definizione di opportune azioni correttive
  • reportistica di monitoraggio delle reti anche in caso di incidente
  • supporto dei Risk Owner nell'elaborazione delle procedure ai fini della migliore postura cyber

Caso pratico: Progetto OT Security in A2A


Il progetto, iniziato nel Settembre 2019, è nato con l’obiettivo di garantire la sicurezza e la resilienza delle reti e dei sistemi informativi, attraverso adeguate e proporzionate misure tecniche e organizzative per la gestione dei rischi dei propri asset critici, applicando i principi contenuti nel Framework Nazionale di Cyber Security – FNCS.
Le attività del progetto hanno riguardato la generazione idroelettrica, la distribuzione elettrica, la distribuzione gas e il ciclo idrico.

1) Valutazione dei livelli di sicurezza

  • Assessment di sicurezza dello stato dell’arte delle infrastrutture e dei sistemi informativi
  • Analisi del rischio rispetto alle minacce di settore
  • Piano di trattamento del rischio rivolto a mitigare l’esposizione alle minacce e conseguentemente ad innalzare il livello di sicurezza.

2) Implementazione di un sistema di gestione della Cyber Security

Adozione del miglior assetto organizzativo volto a garantire la sicurezza e la resilienza delle reti e dei sistemi informativi: definizione dei processi, delle procedure e delle competenze delle persone incaricate di gestire la sicurezza delle Operational Technologies (OT).

Group ICT & digital enablement

La direzione “Group ICT & Digital Enablement” è responsabile della Digital Security e garantisce la data protection, la resilienza dei servizi di business e delle infrastrutture ICT implementando l’Information Security Management System (ISMS). In particolare, la funzione di ICT Security fornisce, evolve e consolida servizi di Digital Security di nuova generazione in grado di proteggere i business della nostra azienda nel suo percorso di innovazione continua.

A2A ha costituito un’unità ad alta specializzazione chiamata IRIS - Intelligent Resilience Information Security Services. L’unità è formata da esperti in sicurezza informatica, preposti alla difesa e alla risposta agli attacchi contro le informazioni, le infrastrutture informatiche e i servizi di business digitale.

IRIS offre i seguenti servizi di sicurezza informatica:

Attività di monitoraggio della sicurezza e rapida reazione

Protegge l’azienda contro i criminali digitali, è operativo h24x7 e monitora in tempo reale le minacce alla sicurezza riducendo l’esposizione e l’impatto degli attacchi ai servizi, applicazioni e asset digitali di A2A

Resilienza delle piattaforme

Integra tecnologie digitali e di sicurezza, garantisce che la miglior postura di sicurezza e l’efficacia dei controlli sia mantenuta nel tempo secondo i «threat model» più aggiornati

Difesa attiva

Valutazione del livello di resilienza dell’azienda e dei suoi servizi attraverso un Security Lab, un team di white hat (hacker etici) e specialisti deputato alla valutazione del livello di resilienza dell’azienda e dei suoi servizi per definire gli scenari di rischio attuali più critici e studiare i trend di minaccia futuri.

Attività di intelligence sulle minacce cyber

Fornisce capacità di Intelligence attraverso attività di ricerca e analisi proattiva di fonti esterne pubbliche e non. Supporta le decisioni strategiche di sicurezza e supporta le Security Operations monitorando i dati digitali di A2A da un uso improprio ed il suo brand