Information Security

Sulla spinta del chiaro commitment rappresentato dagli Indirizzi Strategici in materia di Information Security emessi dal vertice alla fine dell’anno precedente, l’anno 2009 ha visto il varo di un vero e proprio programma, di respiro triennale, per il “miglioramento della sicurezza di informazioni e sistemi aziendali” e per il costante e tempestivo allineamento agli obblighi e alle dinamiche del quadro normativo cogente.

Il programma è stato caratterizzato nella prima parte dell’anno dalla pubblicazione del corpo normativo di secondo livello della Information Security Policy, composto da una serie di policy specifiche in grado di indirizzare i processi (e le tecnologie a loro supporto) verso un contesto di crescente sicurezza. Il programma si è sviluppato inoltre sotto forma di varie iniziative di natura tecnico-organizzativa, tese da un lato a facilitare l’adozione del framework per la sicurezza nei nuovi progetti a elevato contenuto tecnologico, fin dalle loro prime fasi di vita, dall’altro a verificare il livello corrente di conformità alle policy di alcuni sistemi o servizi informativi in esercizio.

L’introduzione guidata degli strumenti e dei metodi evoluti per l’analisi e il trattamento del rischio presso le strutture informatiche responsabili delle tecnologie ha, di fatto, rappresentato l’anteprima di una attività sistematica di promozione e crescita della cultura, della sensibilità e della consapevolezza in materia di sicurezza.
Sul fronte delle verifiche e dei controlli della sicurezza corrente su sistemi in esercizio, sono state promosse e sviluppate le prime azioni di Information Security Assessment su sistemi e infrastrutture ICT rilevanti, con il molteplice obiettivo di misurare il livello di rischio potenziale, di verificarne il grado di conformità al modello di Information Security stabilito in Terna e di varare gli eventuali piani di azione (c.d. piani di rientro) necessari per eliminare le vulnerabilità rilevate.