Security

Al fine di garantire la sicurezza e la regolarità della fornitura dei Servizi della Navigazione Aerea, nel rispetto della normativa vigente, nazionale e internazionale, ENAV assume il pieno convincimento che la protezione del personale, le infrastrutture e la sicurezza delle informazioni che riceve, produce, utilizza e trasferisce siano elementi determinanti e imprescindibili al fine di tutelare la comunità che, direttamente e indirettamente, si avvale dei propri servizi.

Security policy

La Security Policy esplicita l’impegno di ENAV nell’assicurare la sicurezza dei propri impianti e del personale, in modo da prevenire qualsiasi indebita interferenza nella fornitura dei servizi della navigazione aerea, e la protezione dei propri sistemi e dati dalle minacce alla sicurezza delle informazioni che possano comportare l’interferenza illecita nella fornitura dei servizi della navigazione aerea ed alle informazioni vitali e rilevanti anche nell’interesse della comunità finanziaria.

Security management system

ENAV ha sviluppato un proprio Security Management System, certificato secondo lo standard UNI EN ISO 27001:2014: un sistema che si compone di misure tecniche ed organizzative messe in atto al fine di incrementare, nel complesso, la capacità di prevenire e mitigare gli effetti di atti di interferenza illecita nella fornitura dei servizi di navigazione aerea e di proteggere e tutelare le persone e il patrimonio informativo aziendale che ha riflessi diretti nell’attività istituzionale di ENAV. L’attività è fortemente caratterizzata alla gestione dell’intero ciclo di vita della security e trova un suo punto qualificante nelle attività del Security Operation Center, che costituisce il motore operativo dei processi di prevenzione, rilevazione, contenimento, risposta e concorso alla recovery, nell’ipotesi di eventi pregiudizievoli per la sicurezza. ENAV partecipa alla strategia di sicurezza cibernetica nazionale ed al quadro di protezione degli interessi di sicurezza e difesa nazionali, nella sua dimensione di infrastruttura critica e soggetto erogatore di servizi essenziali.

Di seguito una breve descrizione dei processi principali che costituiscono il security management system.

Gestione del rischio

Il processo è finalizzato all’individuazione dei rischi associati a possibili situazioni di pericolo per la sicurezza (Security) di ENAV e nello specifico per la sicurezza degli impianti e del personale di ENAV e delle informazioni che ENAV riceve, produce o utilizza ed a pianificare ed attuare le contromisure di sicurezza necessarie alla riduzione degli stessi a livelli ritenuti accettabili per ENAV. La gestione del rischio è espressamente estesa al personale in missione.

Classificazione delle informazioni

Lo scopo del processo di classificazione delle informazioni è quello di supportare la corretta applicazione nell’intero contesto aziendale delle regole e dei principi di riservatezza delle informazioni attraverso la definizione del livello di classificazione in termini di riservatezza e la definizione dei soggetti autorizzati al trattamento delle informazioni, sia all’interno che all’esterno dell’Organizzazione.

Gestione della sicurezza fisica

Il processo di gestione della sicurezza fisica ha l’obiettivo di evitare accessi non autorizzati, danni e interferenze al personale, alle infrastrutture tecnologiche e agli immobili di ENAV tramite misure di protezione commisurate alla natura delle strutture stesse, alla tipologia di servizi in esse svolti, al personale ospitato e, più in generale, all’analisi del rischio svolta sulla specifica installazione.

Gestione degli accessi logici e Backup e restore dei dati

I processi di gestione degli accessi logici, pertinenti sia l’ambito operativo che gestionale, hanno l’obiettivo di prevenire gli accessi non autorizzati alle risorse informatiche di ENAV.

Le attività di backup e restore dei dati vengono effettuate sia per i dati operativi che gestionali, al fine di garantirne la disponibilità e l’integrità e si proiettano nell’ottica della garanzia della continuità dei servizi istituzionali e correlati al perseguimento della missione.

Security event monitoring e Verifiche di sicurezza ICT

Le attività di monitoraggio del livello di sicurezza delle infrastrutture ICT relative alla rete operativa e alla rete gestionale di ENAV, svolte in continuità dal Security Operation Center in raccordo con tutte le funzioni di linea di ENAV, hanno lo scopo di individuare eventuali comportamenti anomali e, in caso di rilevazione di attacchi/minacce, di attivare il processo di gestione degli incidenti di security.

Le verifiche di sicurezza ICT, invece, hanno lo scopo di verificare che gli asset ICT siano conformi alle regole cogenti, alle ‘ICT Security Policy’, alle Regole del SecMS e agli standard di sicurezza ritenuti applicabili.

Il processo, ispirato a logiche di continuo miglioramento, mira al costante presidio delle minacce e alla rilevazione e contestuale tempestiva risoluzione delle vulnerabilità, con un costante raccordo a processi di Threat intelligence e ad acquisizione di informazioni dagli Enti istituzionalmente preposti alla sicurezza e difesa nazionali.    

Segnalazione e gestione degli incidenti di security

Gli obiettivi principali del processo di segnalazione e gestione degli incidenti sono l’identificazione tempestiva degli incidenti relativi alla security, la predisposizione di quanto necessario per evitare che gli incidenti relativi alla security provochino impatti superiori in termini di estensione e/o di intensità del danno, l’eliminazione delle cause all’origine degli incidenti ed il ripristino delle condizioni iniziali per il ritorno nel più breve tempo possibile alla normale operatività. A questa attività, cruciale per la dimensione di protezione di interessi vitali per il Gruppo e a tutela di valori di primario rilievo nell’architettura costituzionale, è preposto il Security Operation Center, nella sua duplice strutturazione di centro di riferimento per la sicurezza fisica e del personale e per la sicurezza delle informazioni.

Le principali attività svolte per la security

L'attività di security si fonda su un processo analitico del rischio, basato sullo standard ISO 31000 e l'attività di analisi, con cadenza annuale, copre i tre domini della sicurezza fisica, del personale e delle informazioni con un processo ispirato al miglioramento continuo. La gestione del rischio viene sviluppata attraverso i principi di "security by design" e "security through lifecycle" e indirizzata attraverso procedure, in continuo aggiornamento, che considerano l'emissione di requisiti tecnico-operativi, metriche ed indicatori finalizzati al rafforzamento della cultura e della consapevolezza della security (sia con programmi di training che con esercitazioni svolte verso tutto il personale, a livelli differenziati).

È proseguita la sostanziale evoluzione del Security Operation Center di ENAV, con una forte caratterizzazione verso strumenti open source, alcuni dei quali sviluppati internamente. Sono state definite azioni coerenti per garantire la sicurezza del personale in missione e avviati gli adeguamenti complessivi per la piena conformità al Regolamento europeo sulla sicurezza dei dati personali (GDPR). Continua la cooperazione con le istituzioni nazionali deputate alla sicurezza delle infrastrutture e cibernetica a seguito della sottoscrizione di una convenzione con il Dipartimento della Pubblica Sicurezza presso il Ministero dell'Interno per la protezione della sicurezza fisica delle infrastrutture e del personale di ENAV, che si aggiunge alle convenzioni sulla sicurezza delle informazioni e dei dati con la medesima Autorità Nazionale di Pubblica Sicurezza e con l’Autorità Cibernetica nazionale (DIS), per l'integrale ed effettivo soddisfacimento del dovere di diligenza sancito nella Security Policy. In attuazione dei principi della Security Policy è proseguita la campagna di promozione della cultura della security con differenti modalità per raggiungere i livelli attesi di condivisione dei valori. Un ulteriore sviluppo dei piani di continuità operativa di ENAV, conformi allo Standard ISO 22301, ha coinvolto anche la componente dei processi di gestione e manutenzione dei sistemi del Gruppo.