Al fine di garantire la sicurezza e la regolarità della fornitura dei Servizi della Navigazione Aerea, ENAV opera nella consapevolezza che la protezione del personale e delle infrastrutture la sicurezza delle informazioni che riceve, produce, utilizza e trasferisce siano elementi determinanti e imprescindibili per salvaguardare la comunità che, direttamente e indirettamente, si avvale dei servizi del Gruppo e contribuisce altresì alla difesa, della pubblica sicurezza e della security dell’aviazione civile.

Esiste una forte interdipendenza tra i concetti di safety e di security relativamente al rischio di incidente aeronautico ed agli aspetti di continuità.

Il modello concettuale tradizionale rappresenta la safety come la disciplina che si occupa delle misure da intraprendere contro il rischio di incidente aeronautico causato da atti non intenzionali mentre rappresenta la security come la disciplina che si occupa delle misure da intraprendere qualora tale rischio sia dovuto ad atti intenzionali e deliberati.

Tale modello si sta progressivamente evolvendo riconoscendo che la negligenza non intenzionale dell’utente, l’imprudenza (quale mancata attuazione non volontaria di norme precauzionali di security) o l’imperizia (errata configurazione di sistemi, carenza nelle misure di security) sono elementi che rientrano nella security, poiché possono indurre vulnerabilità nel sistema ATM sfruttabili da terzi, generando un potenziale impatto sulla safety.

Security policy

La Security Policy esplicita l’impegno assunto da ENAV nel garantire la sicurezza degli impianti del Gruppo, del personale e dei propri sistemi, nonché dei dati e delle informazioni in essi contenuti, al fine di prevenire qualsiasi interferenza indebita nella fornitura dei servizi della navigazione aerea e, in generale, la violazione della disponibilità, dell’integrità e della riservatezza delle informazioni aziendali, anche nell’interesse della comunità finanziaria.

Security management system

L’attività è caratterizzata dalla gestione dell’intero ciclo di vita della security e trova un suo punto qualificante nel Security Operation Center.

Al fine di garantire la maggior sicurezza possibile dei propri processi aziendali, ENAV ha sviluppato uno specifico sistema di gestione definito Security Management System, certificato secondo lo standard UNI EN ISO 27001:2014. Tale sistema si compone di misure tecniche e organizzative messe in atto al fine di incrementare, nel complesso, la capacità di prevenire e mitigare gli effetti negativi generati da atti di interferenza illecita nella fornitura dei servizi di navigazione aerea e di proteggere e tutelare le persone e il patrimonio informativo aziendale, con rilevante impatto diretto sull’attività istituzionale di ENAV. L’attività è caratterizzata dalla gestione dell’intero ciclo di vita della security e trova un suo punto qualificante nel Security Operation Center, organo che costituisce il motore operativo dei processi di prevenzione, rilevazione, contenimento, risposta e concorso alla recovery, nell’ipotesi di eventi pregiudizievoli per la sicurezza. Inoltre, nel suo ruolo di infrastruttura critica e soggetto erogatore di servizi essenziali, ENAV partecipa alla strategia di sicurezza cibernetica nazionale ed al quadro di protezione degli interessi di sicurezza e difesa nazionali. Di seguito viene riportata una breve descrizione dei processi principali che costituiscono il Security Management System.

Processi del security management system
Gestione del rischio Il processo è finalizzato all’individuazione dei rischi associati a possibili situazioni di pericolo per la sicurezza (Security) di ENAV e, nello specifico, per la sicurezza degli impianti, del personale e delle informazioni che la Società riceve, produce o utilizza. Tale processo è volto anche a pianificare ed attuare le contromisure di sicurezza necessarie alla riduzione degli stessi a livelli ritenuti accettabili per il Gruppo. La gestione del rischio è espressamente estesa al personale in missione.
Classificazione delle informazioniLo scopo di questo processo consiste nel supportare la corretta applicazione, nell’intero contesto aziendale, delle regole e dei principi di riservatezza delle informazioni attraverso la definizione del livello di classificazione in termini di riservatezza e la definizione dei soggetti autorizzati al trattamento delle informazioni, sia all’interno che all’esterno dell’Organizzazione.
Gestione della sicurezza fisicaIl processo di gestione della sicurezza fisica ha l’obiettivo di evitare accessi non autorizzati, danni e interferenze al personale, alle infrastrutture tecnologiche e agli immobili di ENAV tramite misure di protezione commisurate alla natura delle strutture stesse, alla tipologia di servizi in esse svolti, al personale ospitato e, più in generale, all’analisi del rischio svolta sulla specifica installazione.
Gestione degli accessi logici, backup e restore dei datiI processi di gestione degli accessi logici, pertinenti sia l’ambito operativo sia gestionale, hanno l’obiettivo di prevenire gli accessi non autorizzati alle risorse informatiche di ENAV. Le attività di backup e restore dei dati vengono effettuate sia per i dati operativi sia gestionali, al fine di garantirne la disponibilità e l’integrità e si proiettano nell’ottica della garanzia della continuità dei servizi istituzionali e correlati al perseguimento della missione aziendale.
Security event monitoring e Verifiche di sicurezza ICTLe attività di monitoraggio del livello di sicurezza delle infrastrutture ICT, relative alla rete operativa e alla rete gestionale di ENAV, svolte in continuità dal Security Operation Center in raccordo con tutte le funzioni di linea di ENAV, hanno lo scopo di individuare eventuali comportamenti anomali e, in caso di rilevazione di attacchi/minacce, di attivare il processo di gestione degli incidenti di security. Le verifiche di sicurezza ICT, invece, hanno lo scopo di verificare che gli asset ICT siano conformi alle regole cogenti, alle ‘ICT Security Policy’, alle Regole del Security Management System e agli standard di sicurezza ritenuti applicabili. Il processo, ispirato a logiche di continuo miglioramento, mira al costante presidio delle minacce e alla rilevazione e contestuale tempestiva risoluzione delle vulnerabilità, con un costante raccordo a processi di Threat intelligence e ad acquisizione di informazioni dagli Enti istituzionalmente preposti alla sicurezza e difesa nazionali.
Segnalazione e gestione degli incidenti di securityGli obiettivi principali del processo di segnalazione e gestione degli incidenti riguardano l’identificazione tempestiva delle criticità relative alla security, la predisposizione di quanto necessario per evitare che queste provochino impatti superiori in termini di estensione e/o di intensità del danno, l’eliminazione delle cause all’origine degli incidenti e, infine, il ripristino delle condizioni iniziali per il ritorno nel più breve tempo possibile alla normale operatività. A questa attività, cruciale per la protezione degli interessi del Gruppo e per la tutela dei valori di primario rilievo nell’architettura costituzionale, è preposto il Security Operation Center, nella sua duplice funzione di centro di riferimento per la sicurezza fisica, del personale e delle informazioni.

Le principali attività svolte per la security

Il 2018 ha visto inoltre il proseguimento delle attività volte a garantire la sicurezza del personale in missione e la realizzazione degli adeguamenti complessivi per la piena conformità al Regolamento Generale Europeo sulla Protezione dei Dati Personali (GDPR).

L’attività di security si fonda su un processo analitico di gestione del rischio, basato sullo standard ISO 31000 che, con cadenza annuale, copre i tre domini della sicurezza fisica, del personale e delle informazioni con un processo ispirato al miglioramento continuo. La gestione del rischio viene sviluppata attraverso i principi di “security by design” e “security through lifecycle” e condotta sulla base di procedure in continuo aggiornamento, che considerano l’emissione di requisiti tecnico-operativi, metriche e indicatori finalizzati al rafforzamento della cultura e della consapevolezza della security, sia con programmi di training sia con esercitazioni svolte verso tutto il personale, a livelli differenziati.

Nel corso dell’anno è proseguita l’evoluzione del Security Operation Center di ENAV, basata su strumenti open source, alcuni dei quali sviluppati internamente, al fine consolidare competenze in ambito threat intelligence e acquisendo l’accreditamento di rilevanti istituti a livello internazionale, tra cui la Carnegie Mellon University. Il 2018 ha visto inoltre il proseguimento delle attività volte a garantire la sicurezza del personale in missione e la realizzazione degli adeguamenti complessivi per la piena conformità al Regolamento Generale Europeo sulla Protezione dei Dati Personali (GDPR). Continua la cooperazione con le istituzioni nazionali deputate alla sicurezza delle infrastrutture e cibernetica a seguito della sottoscrizione di una convenzione con il Dipartimento della Pubblica Sicurezza presso il Ministero dell’Interno per la protezione della sicurezza fisica delle infrastrutture e del personale di ENAV, che si aggiunge alle convenzioni sulla sicurezza delle informazioni e dei dati con la medesima Autorità Nazionale di Pubblica Sicurezza e con l’Autorità Cibernetica nazionale (DIS), per l’integrale ed effettivo soddisfacimento del dovere di diligenza sancito nella Security Policy. In attuazione dei principi della Security Policy è proseguita inoltre la campagna di promozione della cultura della security per raggiungere i livelli attesi di condivisione dei valori, attraverso la definizione di un corso di formazione e-learning e pubblicazione di pillole formative sui temi della security. Un ulteriore sviluppo dei piani di continuità operativa di ENAV, conformi allo Standard ISO 22301, ha coinvolto anche la componente dei processi di gestione e manutenzione dei sistemi del Gruppo. Infine, è stata promossa l’estensione delle procedure e delle regole per la gestione interna della security, previste all’interno del Security Management System di ENAV, anche alle controllate Techno Sky e ENAV Asia Pacific.