La sicurezza delle informazioni

La sicurezza delle informazioniTernai, in qualità di operatore del settore elettrico, detiene nei propri databasedati riservati degli utenti dei servizi di trasmissione e dispacciamento, in particolare dei produttori di energia elettrica e dei trader, tra cui ad esempio dati specifici degli impianti, con relative capacità di produzione e programmi di immissione presentati alla Borsa dell’energia elettrica.

Considerato il rilevante valore commerciale di queste informazioni, Terna pone in atto le migliori pratiche di protezione di dati sensibili, per evitare che informazioni in suo possesso possano essere accessibili a terzi non autorizzati o sottoposte a violazioni. Lo stesso concetto vale anche per:

  • i dati raccolti – presso gli operatori di settore – ai fini della produzione delle statistiche di settore, compito svolto da Terna nel quadro del Sistema Statistico Nazionale;
  • i dati messi a disposizione dall’Autorità di settore per il monitoraggio del Mercato Elettricoi (applicazioni TIMM, Testo integrato del monitoraggio del mercato all'ingrosso dell'energia elettrica e del Mercato per il Servizio di Dispacciamentoi, oggetto della Delibera n. 115/08 dell’AEEG).

Responsabilità e modalità relative alla sicurezza delle informazioni e dei sistemi ICT aziendali sono stabilite nel quadro normativo dell’Information Security Policy di Terna e riprese in modo specifico, ai fini di quei trattamenti riguardanti dati personali conferiti a Terna da soggetti esterni, nel Documento Programmatico sulla Sicurezza, costantemente aggiornato.

Nel corso del 2010, il livello di protezione delle informazioni e dei sistemi informativi si è ulteriormente rafforzato grazie ai primi risultati del programma di miglioramento della Information Security Governance avviato in Terna nel 2009, incentrato sull’adozione di un framework strutturato, ispirato ai principali standard internazionali di riferimento. Il nuovo framework permette la selezione e messa in campo delle misure di protezione più idonee ad aumentare la sicurezza delle informazioni trattate con strumenti informatici, con riflessi positivi anche sulla tutela dei dati personali.

Il programma garantisce inoltre la conformità dell’azienda al quadro normativo in materia di sicurezza delle informazioni, incluso quello relativo alla protezione dei dati personali.

A sostegno del programma è stato messo a punto, e in parte erogato nell’ultima parte dell’anno, un piano di formazione e sensibilizzazione, con iniziative a vari livelli mirate ad aumentare, da un lato, la cultura diffusa della sicurezza delle informazioni in tutta l’azienda, dall’altro, per le figure specialistiche che gestiscono le tecnologie, la confidenza con gli strumenti e le metodiche introdotte dal framework.

Nella seconda parte del 2010 è stato avviato un percorso verso la certificazione ISO/IEC 27001:2005 delle applicazioni TIMM, con l’obiettivo di ottenerla nel 2011. Il progetto, condiviso con l’Autorità per l’Energia e il Gas, vuole caratterizzare ancor più Terna nel campo della governance e migliorare la fiducia tra l’azienda e i suoi stakeholder.
Lo standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni, in particolare per gli aspetti della sicurezza fisica, logica e organizzativa (Information Security Management System ISMS).
L'impostazione dello standard ISO/IEC 27001 adotta un approccio di miglioramento continuo ed è coerente con quella del Sistema di Gestione per la Qualità ISO 9001 e del Risk Management.

La certificazione della conformità alla norma ISO/IEC, anche se applicata a un delimitato caso aziendale, permette di mettere in mostra un elevato standard gestionale/organizzativo, ben oltre quello tecnico/operativo proprio delle soluzioni di sicurezza informatiche e tecnologiche.

Anche nel corso del 2010, al pari di quanto registrato negli anni precedenti, non sono stati rilevati episodi di reclamo relativi a violazioni della privacy o a incauto utilizzo di dati personali da parte di utenti non autorizzati.