Information Security

Nell’anno 2010 è proseguito il programma di respiro pluriennale mirato al graduale “miglioramento della sicurezza di informazioni e sistemi aziendali” e, in parallelo, al costante allineamento agli obblighi e alle dinamiche del quadro normativo cogente, in continua evoluzione.

Le iniziative principali hanno riguardato da una lato il consolidamento del modello di “governance” della sicurezza delle informazioni, con nuove policy specifiche e strumenti di supporto alla progettazione di applicazioni sicure, dall’altro la crescita di una cultura diffusa in materia per tutti i livelli aziendali, attraverso un piano formativo a più livelli per un’azione mirata ad aumentare sensibilità e “awareness”; in aggiunta, sono state varate anche iniziative tecniche verso le strutture
informatiche per facilitare l’introduzione guidata degli strumenti e dei metodi stabiliti in azienda per l’analisi ed il trattamento del rischio sul patrimonio informativo.
Nel 2010 ha preso maggior campo il fronte delle verifiche e dei controlli della sicurezza corrente sulle piattaforme in esercizio, mediante varie azioni di Information Security Assessment su sistemi e infrastrutture ICT rilevanti che hanno avuto i molteplici obiettivi di misurare il livello di rischio potenziale e di verificarne il grado di conformità al modello stabilito in Terna nonché di varare eventuali piani di azione (c.d. piani di rientro) tesi a eliminare le vulnerabilità rilevate.

Grazie ai contenuti del programma, e alla predisposizione di nuovi strumenti tecnologici e organizzativi per la valutazione del livello di sicurezza, il grado di applicazione del modello di “governance” è cresciuto, facendo al contempo crescere il livello di protezione per le informazioni e le infrastrutture tecnologiche aziendali dalle minacce più comuni, di tipo fisico ma anche provenienti dal c.d. “cyberspace”.
Il medesimo programma ha garantito, in coerenza con le attese, una tempestiva conformità dell’azienda al quadro normativo in materia, in costante evoluzione in funzione dell’importanza che il bene “informazione” sta assumendo nei processi di business di aziende e altre organizzazioni ad alto contenuto tecnologico.
Infine, nell’ambito delle iniziative finalizzate al miglioramento dei processi di sicurezza, nella seconda parte del 2010 è stato avviato il percorso verso la certificazione alla norma ISO/IEC 27001:2005 relativamente a un ambito informativo specifico di Terna, rappresentato dalle applicazioni TIMM (Testo Integrato Monitoraggio Mercato), con l’obiettivo di raggiungerla nel 2011. Il percorso, condiviso con l’Autorità per l'Energia Elettrica e il Gas, si pone l’obiettivo di caratterizzare ancor più Terna nel campo di una efficace governance della sicurezza delle informazioni e di migliorare la fiducia tra l’azienda ed i suoi stakeholder.

La certificazione della conformità di Terna alla citata norma ISO/IEC, cioè ai requisiti che la stessa norma richiede per un Sistema di Gestione per la Sicurezza Informazioni (SGSI, in inglese ISMS), permette infatti, seppur applicata a un delimitato caso aziendale, di mettere in mostra un elevato standard di natura gestionale/organizzativa, ben oltre quello di natura tecnico/operativa proprio degli aspetti informatici e tecnologici.