La sicurezza delle informazioni

in

EU21Terna, per il ruolo che riveste nel settore elettrico, detiene nei propri databasedati riservati degli utenti dei servizi di trasmissione e dispacciamento, in particolare dei produttori di energia elettrica e dei trader, tra cui ad esempio dati specifici degli impianti, con relative capacità di produzione e programmi di immissione presentati alla Borsa dell’energia elettrica.

Considerato il rilevante valore commerciale, queste informazioni sono classificate e trattate come informazioni di elevata sensibilità e per esse sono messe in atto adeguate strategie di protezione, per evitare che possano essere accessibili a terzi non autorizzati o sottoposte a violazioni indebite. Lo stesso approccio vale anche per:

  • i dati raccolti presso gli operatori di settore per la produzione delle statistiche di settore,compito svolto da Terna nel quadro del Sistema Statistico Nazionale;
  • i dati messi a disposizione dall’Autorità di settore per il monitoraggio del Mercato Elettrico (come previsto dalla Delibera n. 115/08 dell’AEEG).

Terna inoltre impiega in misura crescente sistemi di “Information & Communication Technology” (ICT) per supportare le proprie attività core sul sistema elettrico, con l’esigenza di elevati standard di continuità operativa e pratiche efficaci di cyber-security.

Per garantire la sicurezza delle informazioni e dei sistemi ICT aziendali, Terna adotta un avanzato Modello di Information Security Governance - ispirato ai principali standard internazionali – ove sono stabiliti il framework e le policy, con relativi ruoli, responsabilità e modalità esecutive, a tutela anche dei requisiti di legge sui trattamenti dei dati personali conferiti a Terna, in linea con quanto previsto dal Documento Programmatico sulla Sicurezza.

Il 2011 ha registrato un aumento del grado di penetrazione del Security Framework all’interno del parco ICT e il perfezionamento dei meccanismi di verifica, controllo e monitoraggio del livello di sicurezza. L’anno è stato inoltre caratterizzato da un vasto piano di formazione e sensibilizzazione all’interno della società sulla sicurezza delle risorse informative, col doppio scopo di aumentare la cultura diffusa e la confidenza degli “addetti ai lavori” con le regole e le metodiche del framework.

Tra le iniziative e i progetti più significativi del 2011 si segnalano:

  • l’ottenimento della certificazione ISO/IEC 27001:2005 del servizio TIMM (Testo Integrato per il Monitoraggio del Mercato Elettrico), traguardo utile a caratterizzare ancor più l’attenzione di Terna nel campo della governance della sicurezza e a migliorare la fiducia tra l’azienda e i suoi stakeholder. La nuova certificazione, seppur riferita a uno specifico processo aziendale con un ridotto perimetro ICT, mette in luce un elevato standard gestionale/organizzativo. Molti dei controlli previsti dallo standard e riscontrati dall’Organismo di certificazione, infatti, non hanno effetti positivi sul solo ambito certificato, ma generano benefici “trasversali”, a tutela dell’intero patrimonio informativo aziendale. L'impostazione dello standard ISO/IEC 27001, adottando un approccio di miglioramento continuo, è inoltre coerente con quella degli altri sistemi di gestione aziendali in essere in Terna (Qualità-Ambiente-Sicurezza);
  • la realizzazione di una piattaforma aziendale avanzata di vulnerability management delle infrastrutture ICT, in grado di rendere sistematiche le attività di rilevazione e analisi di vulnerabilità tecnologiche che possono esporre Terna ai cyber-risk. Le funzionalità della piattaforma – applicabili all’intero parco ICT (reti, postazioni di lavoro, server, ecc.) – forniscono elementi dettagliati sulle vulnerabilità, corredati da priorità e modalità di correzione o eliminazione e possibilità avanzate di analisi di trend e nel biennio 2012-2013 saranno ulteriormente arricchite di nuove funzionalità di testing e reporting;
  • l’estensione dei servizi di monitoraggio in tempo reale della sicurezza permessa da nuove funzionalità del sistema SIEM (Security Information Event Management) attivo presso il Security Operations Center,che ha la responsabilità del controllo della sicurezza degli impianti e delle reti informatiche. Il potenziamento della piattaforma di correlazione eventi garantisce una maggiore capacità di rilevazione dello stato della sicurezza logica e di risposta tempestiva a eventuali eventi anomali contro le reti e il parco informatico.

PR8Sul fronte della protezione dei dati personali, nel corso del 2011, al pari di quanto registrato negli anni precedenti, non sono stati rilevati episodi di reclamo relativi a violazioni della privacy o a indebito utilizzo da parte di utenti non autorizzati di dati personali affidati a Terna, né attraverso la specifica casella per le notifiche (privacy@terna.it) né attraverso qualsiasi altro canale di segnalazione o di rilevamento.