1. Sostenibilità
  2. Politiche di sostenibilità
  3. Global information security policy

Global Information Security Policy

La “Information Security Policy” di Pirelli esprime l’approccio dell’azienda su questioni relative alla Sicurezza Informatica, garantendo consistenza e conformità con la direzione strategica dell'organizzazione e i requisiti legali, normativi e contrattuali applicabili per la sicurezza dei sistemi informativi.

In particolare, la Policy definisce le caratteristiche chiave delle informazioni che le rendono preziose per l’organizzazione (Confidenzialità, Integrità e Disponibilità) fornendo un modello atto alla gestione dei rischi che possono affliggere informazioni aziendali e asset IT.

Versione Italiana (33,9 KB)
 Versione Inglese (34,3 KB)
Versione Tedesca (100 KB)
 Versione Portoghese (615 KB)
Versione Spagnola (432 KB)

    1. Information and Cyber Security Overview

      1. Le informazioni sono un asset significativo per Pirelli, in considerazione del suo valore competitivo e innovativo. Per questo Pirelli è intrinsecamente responsabile di fornire adeguati livelli di protezione dei dati e delle informazioni contro perdite, danni, furti o minacce di malware. A causa del crescente numero di attacchi informatici a livello globale e dell’attenzione del Gruppo Pirelli a garantire un’adeguata protezione di dati e asset aziendali, il Gruppo persegue i seguenti obiettivi:

        • supportare la strategia aziendale rendendo la sicurezza delle informazioni un fattore abilitante per il business;
        • salvaguardare il patrimonio del Gruppo e proteggere i dati e le informazioni riservate di Pirelli, dei suoi dipendenti, delle sue controllate, dei terzi e dei partner commerciali, compresi i clienti;
        • rispettare le leggi e i regolamenti in materia di sicurezza delle informazioni ove Pirelli opera;
        • rispondere in modo proattivo ed efficace all'aumento delle minacce informatiche.
        • identificare i rischi e gli eventi rilevanti, aggiornando la strategia di sicurezza informatica di Pirelli per gestirli.

        A tal fine, Pirelli ha istituito una Direzione Information Security con il compito di prestare particolare attenzione alla valutazione dei rischi legati alla cybersecurity, anche con riferimento alla catena di fornitura, e di garantire la predisposizione di adeguate ed efficaci misure organizzative e tecniche per la mitigazione dei rischi e la gestione di eventuali eventi critici.
        La Direzione Information Security riporta gerarchicamente al Direttore Generale Corporate e funzionalmente al Chief Digital Officer.

        Nel 2021 Pirelli ha costituito l’Information Security Committee con l’obiettivo di assistere il top management nella gestione dei rischi di Information e Cyber Security. In particolare, l’Information Security Committee è responsabile di:

        • approvare la strategia in materia di gestione dei rischi e gli obiettivi di Information Security per l’Organizzazione;
        • valutare l’allineamento della strategia di Information Security e delle collegate iniziative agli obbiettivi generali dell’Organizzazione;
        • assicurare la compliance con le normative interne ed esterne in tema di Information Security;
        • garantire l’assegnazione di ruoli, responsabilità e risorse per le iniziative di Information Security;
        • valutare, almeno annualmente, i risultati rispetto alle strategie e agli obiettivi definiti in ambito Information Security, definendo azioni e iniziative per il continuo miglioramento, considerando eventuali cambi di scenario di rischi interni ed esterni.

        L’Information Security Committee alla data di chiusura dell’Esercizio, è composto da:

        • General Manager Corporate;
        • Head of Information Security (Executive Manager responsabile della gestione dell’Information e Cyber Security);
        • Referenti delle principali funzioni dell’Organizzazione impattate dalle tematiche di Information e Cyber Security.

        Inoltre, la funzione riporta periodicamente lo stato di rischi, eventi significativi e aggiornamenti sulla strategia di Information Security ai seguenti comitati:

        • Operational Risk Committee;
        • Comitato di Board Audit, Risks and Corporate Governance

        Ove opportuno, si tengono anche riunioni di induction per gli Organi di Controllo e per i membri del Consiglio di Amministrazione, il cui amministratore incaricato dell'istituzione e del mantenimento del Sistema di Controllo Interno, e quindi responsabile dell'Information e Cyber Security, è l'Amministratore Delegato di Pirelli.

        Di seguito si riporta una selezione delle attività svolte a fronte dei rischi individuati, da intendersi come esempi indicativi ma non esaustivi:

        • implementazione di iniziative di cyber security awareness attraverso test, formazione ad hoc, corsi di formazione e comunicazione con l'obiettivo di aggiornare gli utenti sulle regole (inclusi i processi di escalation da seguire in caso di eventi sospetti), sui comportamenti corretti e sui principali rischi di cyber security;
        • definizione di piani di continuità operativa/contingenza e procedure di incident response (testate almeno una volta all'anno);
        • audit perimetrale esterno e analisi delle vulnerabilità (audit interni ed esterni del sistema di gestione, test di vulnerabilità di terze parti, anche con attacchi simulati);
        • audit dell'infrastruttura IT e dei sistemi di gestione della sicurezza delle informazioni da parte di terzi (revisori, appaltatori esterni basati su best practice e standard del settore come VDA-TISAX, ISO 27001, NIST);
        • il monitoraggio continuo degli eventi di sicurezza viene effettuato 24 ore su 24, 7 giorni su 7, raccogliendo diverse fonti interne ed esterne (ad esempio, Threat intelligence, CSIRT internazionale). Gli eventi vengono classificati in base all'urgenza e all'impatto e gestiti in conformità alle procedure interne che identificano le parti interessate, i ruoli e le responsabilità e l'escalation verso i piani di continuità operativa, adottando un approccio completo durante tutte le fasi della gestione degli incidenti (dalla rilevazione alle lezioni apprese).

        Pirelli ha definito un piano pluriennale di adeguamento alla certificazione VDA-TISAX: nel 2024 Pirelli ha coperto con la certificazione TISAX la sede centrale AL2, il Data center centrale e 7 siti, portando la percentuale degli asset coperti dalla certificazione dal 6% a un sottoinsieme degli asset dell'intero gruppo Pirelli (impianti, sistemi) che copre il 70% dell'infrastruttura IT del gruppo Pirelli e del sistema di gestione della sicurezza delle informazioni.

Ultima revisione: 25 giu 2025