La CSEA – Cassa per i servizi energetici e ambientali è un ente pubblico economico che opera nei settori dell’elettricità, del gas e dell’acqua offrendo servizi innovativi a cittadini e imprese attraverso un modello che sfrutta l’interoperabilità tra diverse piattaforme digitali per la condivisione e la valorizzazione del patrimonio informativo.
Nel contesto precedentemente descritto la sicurezza delle informazioni trattate mediante l’infrastruttura ICT a supporto dei servizi erogati e la continuità operativa dell’infrastruttura stessa, sono aspetti di primaria importanza per il perseguimento della mission dell’Ente e la conformità ai requisiti cogenti, ovvero quelli stabiliti da leggi, regolamenti, direttive, e prescrizioni obbligatorie in genere.
A tal proposito, l’Area Sistemi Informativi svolge le attività di progettazione, sviluppo ed esercizio del sistema informativo dell’Ente adottando i migliori standard di riferimento in materia di sicurezza delle informazioni e continuità operativa.
In particolare, la CSEA ha fatto la scelta strategica di stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione Integrato per la Sicurezza delle Informazioni e la Continuità Operativa conforme ai requisiti dello Standard ISO/IEC 27001 e dello Standard ISO 22301 nell’ambito dei processi di gestione dell’infrastruttura ICT.
L’adozione di un Sistema di Gestione Integrato per la Sicurezza delle Informazioni e la Continuità Operativa consente di preservare la riservatezza, l’integrità e la disponibilità delle informazioni trattate mediante l’infrastruttura ICT e la continuità operativa dell’infrastruttura stessa sfruttando un approccio basato sulla gestione del rischio.
I principi che ispirano la presente politica riflettono i valori di sicurezza e resilienza che la CSEA intende garantire nell’ambito dei servizi digitali offerti attraverso la propria infrastruttura ICT, e costituiscono il quadro di riferimento per la definizione di specifici obiettivi legati alla sicurezza delle informazioni e alla continuità operativa:
• rispondere alle esigenze ed alle aspettative del mercato, e più in generale di tutte le parti interessate;
• offrire un’immagine di affidabilità nell’ambito dei servizi erogati mediante la propria infrastruttura ICT;
• garantire la riservatezza, l’integrità e la disponibilità delle informazioni trattate mediante l’infrastruttura ICT a supporto dei servizi;
• garantire la resilienza e la continuità operativa dell’infrastruttura ICT a supporto dei servizi;
• valorizzare il personale della CSEA e le proprie competenze, promuovendo la cultura della sicurezza delle informazioni e della continuità operativa all’interno della propria organizzazione, e assicurando che tutto il personale sia consapevole del valore delle informazioni trattate e conosca le misure di sicurezza per proteggerle;
• garantire la conformità a tutti i requisiti cogenti in materia di sicurezza delle informazioni e continuità operativa, con particolare riferimento alla normativa comunitaria e nazionale relativa alla protezione dei dati personali;
• assicurare che le parti esterne coinvolte nella progettazione, sviluppo ed esercizio dell’infrastruttura ICT a supporto dei servizi, e più in generale quelle che erogano servizi che possono avere un impatto sulla sicurezza e la continuità operativa dell’infrastruttura ICT stessa adottino tutte le misure previste dalle politiche di sicurezza dell’Ente;
• assicurare che gli incidenti di sicurezza siano gestiti attraverso opportuni sistemi di prevenzione, comunicazione e reazione, al fine di minimizzare l’impatto sui servizi erogati e le informazioni trattate.
In linea con le indicazioni fornite dallo Standard ISO/IEC 27014, l’approccio organizzativo adottato da CSEA per la gestione della sicurezza delle informazioni e la continuità operativa nell’ambito dell’infrastruttura ICT si basa su quattro elementi fondamentali:
• le decisioni strategiche prese dalla Direzione Generale della CSEA all’attenzione della quale l’Area Sistemi Informativi sottopone proposte su tematiche relative alla sicurezza delle informazioni e la continuità operativa nell’ambito dell’infrastruttura ICT;
• la realizzazione da parte dell’Area Sistemi Informativi degli interventi necessari al raggiungimento degli obiettivi di sicurezza delle informazioni e continuità operativa nell’ambito dell’infrastruttura ICT, coerentemente con le decisioni strategiche prese dalla Direzione Generale della CSEA;
• la definizione e la consuntivazione da parte dell’Area Sistemi Informativi di specifici indicatori che forniscono una misura ripetibile, non auto-referenziata, e confrontabile delle performance di sicurezza delle informazioni e continuità operativa nell’ambito dell’infrastruttura, e un’indicazione puntuale circa il raggiungimento o meno degli obiettivi prefissati.
• l’esecuzione di controlli di terzo livello da parte dell’Area Audit per la verifica della corretta implementazione dei requisiti di sicurezza delle informazioni e continuità operativa nell’ambito dell’infrastruttura ICT ed il suggerimento di eventuali correzioni o azioni correttive.