Cyber Security e Data protection

I dati e le informazioni che gestiamo rappresentano asset strategici che possono essere compromessi da attacchi cyber e da incidenti causati da eventuali vulnerabilità presenti nelle reti informatiche. Situazioni di questo tipo possono minare la resilienza dell’azienda, compromettendo i servizi offerti al cliente e la sua stessa reputazione.

Lavoriamo per intercettare rapidamente tali minacce al fine di gestirle nel modo più efficace possibile.

Le attività a presidio della minaccia cyber

La nostra direzione “Group Security & Cyber Defence” adotta un approccio olistico per la gestione della Sicurezza del Gruppo. In particolare lavora per assicurare la protezione dei dati, dei nostri dipendenti, dei clienti e di tutti i nostri stakeholder.

Fronteggiamo le minaccia cyber attraverso le seguenti attività:

  1. Analisi dei rischi Cyber degli Asset Industriali e dei Servizi Digitali
  2. Processi e presidi di Cyber Security conformi alle best practice e agli standard internazionali (i.e. ISO27001 e IEC 62443) nonché alle normative di settore
  3. Sistema di gestione della continuità del business e della sicurezza delle informazioni
  4. Valutazione della robustezza cyber delle terze parti
  5. Partnership Pubblico - Privato
  6. Consapevolezza, Formazione, Training Continuo dei dipendenti
  7. Attività di intelligence per minacce cyber

Cyber defence

La nostra Struttura “Cyber Defence” ha l’obiettivo di gestire in maniera unitaria e convergente la crescente complessità delle minacce che riguardano sia l’ambito digital “classico” che i mondi Industriali.

Nello specifico, garantisce la data protection e la resilienza Cyber dei servizi di business e delle infrastrutture digitali implementando l’Information Security Management System (ISMS). Inoltre, fornisce, evolve e consolida servizi di Digital Security di nuova generazione in grado di proteggere a 360 gradi i business della nostra azienda nel suo percorso di innovazione continua, garantendo un allineamento continuo rispetto al Board.

Infine, tramite l’unità IRIS - Intelligent Resilience Information Security Services, composta da esperti in sicurezza informatica, predisponiamo le attività di difesa e risposta agli attacchi contro le informazioni, le infrastrutture informatiche e i servizi di business digitale.

IRIS offre i seguenti servizi di sicurezza informatica:

Attività di monitoraggio della sicurezza e rapida reazione

A2A ha costituito A2A Cert che protegge l’azienda 365 giorni l'anno contro i criminali digitali, e monitora in tempo reale le minacce alla sicurezza sia per l’infrastruttura digital che Industriale, riducendo l’esposizione e l’impatto degli attacchi ai servizi, applicazioni e asset digitali e industriali del Gruppo.

Resilienza delle piattaforme

Integra tecnologie digitali e di sicurezza garantendo che la miglior postura di sicurezza e l’efficacia dei controlli siano mantenuti nel tempo secondo i «threat model» più aggiornati.

Difesa attiva

Valuta il livello di resilienza dell’azienda e dei suoi servizi attraverso un Security Lab, un team di white hat (hacker etici) e specialisti deputato alla valutazione del livello di resilienza dell’azienda e dei suoi servizi per definire gli scenari di rischio attuali più critici e studiare i trend di minaccia futuri.

Cyber threat intelligence activities

Fornisce capacità di Intelligence attraverso attività di ricerca e analisi proattiva di fonti esterne, pubbliche e non. Supporta le decisioni strategiche di sicurezza e le Cyber Security Operations monitorando i dati digitali del Gruppo da un uso improprio ed il nostro brand.

Pagina Cyber Security e Data protection
Pagina Cyber Security e Data protection

Privacy

Al fine di garantire la conformità a quanto previsto dal Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito il “GDPR”), ci siamo dotati di un Modello di organizzazione e gestione dei dati personali nel quale:

  • sono individuati i ruoli coinvolti attivamente nella gestione della privacy in ambito aziendale e le relative responsabilità;
  • sono definite le modalità di gestione dei dati personali in linea con i principi e le disposizioni del GDPR, tra cui i principi della protezione dei dati fin dalla progettazione (cd. “privacy by design”) e della protezione dei dati per impostazione predefinita (cd. “privacy by default”) in base ai quali il Titolare del trattamento pone in essere adeguate misure di sicurezza tecniche e organizzative volte alla tutela dei diritti degli interessati.

Il Gruppo A2A ha predisposto, inoltre, un sistema procedurale volto a disciplinare le seguenti tematiche:

  • la definizione delle tempistiche di conservazione dei dati personali (cd. data retention);
  • lo svolgimento della valutazione preliminare del rischio per ciascun trattamento di dati personali e della valutazione d’impatto in relazione ai trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche (cd. DPIA - Data Protection Impact Assessment) al fine di valutare la necessità e la proporzionalità nonché i relativi rischi di tali trattamenti a rischio elevato e l’individuazione delle misure idonee ad affrontarli;
  • la gestione delle richieste con cui gli interessati esercitano i propri diritti;
  • la gestione delle violazioni di dati (cd. data breach) che comprende l’analisi della rilevanza della violazione e l’individuazione di un piano di azioni correttive (cd. remediation plan) con l’obiettivo di gestire il privacy incident individuato e mitigare il rischio rilevato.

Inoltre, con i fornitori che trattano dati personali per conto delle società del Gruppo A2A vengono stipulati appositi accordi che, oltre a recepire le previsioni normative, contengono specifiche istruzioni che il fornitore è tenuto ad osservare nella gestione di tali dati.