Page 68 - DNF_2017
P. 68
del SecMS e agli standard di sicurezza ritenuti ap- lifecycle” e indirizzata attraverso procedure, in con-
plicabili. tinuo aggiornamento, che considerano l’emissione di
Il processo, ispirato a logiche di continuo migliora- requisiti tecnico-operativi, metriche ed indicatori fina-
mento, mira al costante presidio delle minacce e alla lizzati al rafforzamento della cultura e della consape-
rilevazione e contestuale tempestiva risoluzione delle volezza della security (sia con programmi di training
vulnerabilità, con un costante raccordo a processi di che con esercitazioni svolte verso tutto il personale, a
Threat intelligence e ad acquisizione di informazioni livelli differenziati).
dagli Enti istituzionalmente preposti alla sicurezza e
difesa nazionali. È proseguita la sostanziale evoluzione del Security Ope-
ration Center di ENAV, con una forte caratterizzazione
Segnalazione e gestione degli incidenti di security verso strumenti open source, alcuni dei quali sviluppati
Gli obiettivi principali del processo di segnalazione internamente. Sono state definite azioni coerenti per ga-
e gestione degli incidenti sono l’identificazione tem- rantire la sicurezza del personale in missione e avviati
pestiva degli incidenti relativi alla security, la pre- gli adeguamenti complessivi per la piena conformità al
disposizione di quanto necessario per evitare che Regolamento europeo sulla sicurezza dei dati personali
gli incidenti relativi alla security provochino impatti (GDPR). Continua la cooperazione con le istituzioni na-
superiori in termini di estensione e/o di intensità del zionali deputate alla sicurezza delle infrastrutture e ciber-
danno, l’eliminazione delle cause all’origine degli netica a seguito della sottoscrizione di una convenzione
incidenti ed il ripristino delle condizioni iniziali per con il Dipartimento della Pubblica Sicurezza presso il
68 il ritorno nel più breve tempo possibile alla normale Ministero dell’Interno per la protezione della sicurezza
operatività. A questa attività, cruciale per la dimen- fisica delle infrastrutture e del personale di ENAV, che
sione di protezione di interessi vitali per il Gruppo si aggiunge alle convenzioni sulla sicurezza delle infor-
e a tutela di valori di primario rilievo nell’architettu- mazioni e dei dati con la medesima Autorità Nazionale
ra costituzionale, è preposto il Security Operation di Pubblica Sicurezza e con l’Autorità Cibernetica na-
Center, nella sua duplice strutturazione di centro di zionale (DIS), per l’integrale ed effettivo soddisfacimento
riferimento per la sicurezza fisica e del personale e del dovere di diligenza sancito nella Security Policy. In
per la sicurezza delle informazioni. attuazione dei principi della Security Policy è proseguita
la campagna di promozione della cultura della security
LE PRINCIPALI ATTIVITÀ SVOLTE con differenti modalità per raggiungere i livelli attesi di
PER LA SECURITY condivisione dei valori. Un ulteriore sviluppo dei piani
L’attività di security si fonda su un processo analitico di continuità operativa di ENAV, conformi allo Standard
del rischio, basato sullo standard ISO 31000 e l’attivi- ISO 22301, ha coinvolto anche la componente dei pro-
tà di analisi, con cadenza annuale, copre i tre domini cessi di gestione e manutenzione dei sistemi del Gruppo.
della sicurezza fisica, del personale e delle informa-
zioni con un processo ispirato al miglioramento conti-
nuo. La gestione del rischio viene sviluppata attraverso
i principi di “security by design” e “security through
