Chiamaci
chiama ora per una consulenza rapida e personalizzata.
ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection – Information security management systems – Requirements.
ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection – Information security controls.
GDPR, General Data Protection Regulation – Regolamento UE 2016/679 (in vigore a partire da maggio 2018).
Decreto Legislativo 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali.
Il Sistema Informativo di PIGNA366 S.r.l. (che comprende risorse tecnologiche e risorse umane dedicate alla loro amministrazione, gestione e utilizzo) è una risorsa aziendale di importanza cruciale per il proprio business, da salvaguardare per garantire il perseguimento degli obiettivi strategici e operativi della società.
Esso è caratterizzato da diversi livelli di riservatezza, a seconda dell’attività per cui sono utilizzate le informazioni, nonché da modalità di gestione delle informazioni che comprendono sia strumenti digitali, in maggioranza, che cartacei.
Nel proteggere le proprie informazioni l’Azienda si pone come obiettivo quello di garantire la salvaguardia dei seguenti aspetti:
Riservatezza: assicurare che le informazioni siano accessibili solamente a soggetti e/o processi autorizzati;
Integrità: salvaguardare le informazioni da modifiche o alterazioni non autorizzate;
Disponibilità: assicurare che le informazioni siano accessibili e utilizzabili – entro i tempi previsti – quando necessario dai soggetti autorizzati.
Il perseguimento degli obiettivi di sicurezza è conseguito attraverso la definizione, l’attuazione e l’aggiornamento periodico di procedure e politiche e la conseguente messa in atto di un Sistema di gestione della Sicurezza delle Informazioni (SGSI).
Nondimeno l’Azienda ha tra i suoi obiettivi quello di ottenere e mantenere la certificazione del SGSI secondo la norma ISO/IEC 27001:2022.
L’Azienda ha ritenuto di dotarsi di una Politica generale della sicurezza delle informazioni, in conformità alle richieste della ISO 27001/2022, con l’obiettivo di descrivere gli intenti dell’Azienda nell’ambito della gestione della sicurezza delle informazioni.
La presente Politica si applica a tutte le informazioni trattate, indipendentemente dallo loro natura e forma in relazione al campo di applicazione del SGSI definito nel documento Guida SGSI [1].
In qualità di fornitore di servizi di supporto a cui PIGNA366 affida la gestione della maggioranza delle proprie attività operative, la Hard Soft Team S.r.l. (“HST”) è ampiamente e direttamente coinvolta nella protezione delle informazioni gestite dall’organizzazione.
Si fa presente che, ove non diversamente specificato, i documenti e le procedure riferite nella presente Politica si riferiscono al SGSI di HST.
Sono tenuti al rispetto della presente Politica e del sistema di gestione delle informazioni tutti i soggetti che a vario titolo fruiscono dei servizi informativi di PIGNA366, nonché eventuali fornitori, visitatori e ospiti.
Copia della presente Politica è disponibile negli archivi elettronici che PIGNA366 mette a disposizione dei destinatari e, qualora il destinatario non abbia accesso a tale risorsa, verrà ad esso trasmesso tramite email.
Per le definizioni e gli acronimi utilizzati nel presente documento si rimanda al documento “Elenco delle definizioni e degli acronimi” [2].
La responsabilità di definire e approvare la Politica di sicurezza delle informazioni aziendale è in capo al Responsabile della Sicurezza delle informazioni (RSI), le cui funzioni, qualora non presente delega specifica, sono assunte dalla Direzione.
1. SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI
Alla base della sicurezza delle informazioni dell’azienda vi è:
la tutela degli asset informativi aziendali ritenuti strategici;
il rispetto dello standard ISO per la sicurezza delle informazioni e della normativa vigente in materia di protezione dei dati personali al fine di garantire la riservatezza, l’integrità e la disponibilità delle informazioni e il corretto trattamento dei dati personali;
la valutazione dei rischi di tutte le risorse (asset) che costituiscono il sistema di gestione delle informazioni, al fine di comprenderne le vulnerabilità, di valutare le possibili minacce, di predisporre le necessarie contromisure e di gestire il rischio ad un livello accettabile;
la necessità di un costante adeguamento al contesto in cui opera l’azienda e miglioramento dell’efficacia dei controlli in materia di sicurezza.
1.1. CONTESTO E OBIETTIVI
L’azienda fornisce servizi e soluzioni in cloud per la cyber security in modalità MSP.
Inoltre l’azienda si avvale dei servizi di HARD SOFT TEAM S.r.l. per tutte le attività di supporto, inclusa la gestione dei sistemi informativi necessari alla propria operatività.
La struttura organizzativa aziendale è descritta nell’Organigramma [3]. Oltre ai soggetti esterni incaricati come Responsabili del trattamento ai sensi dell’art.28 del GDPR, ulteriori fornitori coinvolti nella gestione delle informazioni sono: fornitori di servizi cloud.
Le informazioni trattate sono relative ai clienti e ai propri partner, al know-how aziendale, oltre che nella forma di elaborati progettuali, credenziali di accesso ai sistemi interni e di terze parti, dati di contabilità, informazioni riguardanti le licenze software, e comprendono sia dati anonimi che dati personali, la cui criticità viene valutata caso per caso.
L’obiettivo primario dell’azienda è quello di garantire la protezione del sistema informativo aziendale, in particolare per quanto riguarda l’erogazione dei servizi di cyber security, preservando la riservatezza, l’integrità e la disponibilità delle informazioni trattate, allo scopo di garantire la continuità operativa dei processi attraverso l’implementazione di un sistema di gestione in qualità, conforme alla ISO 27001/2022, alla normativa europea in materia di trattamento dei dati personali e al contesto in cui l’azienda opera.
Nello specifico gli intenti (a medio termine) dell’azienda in merito all’obiettivo definito sopra, compatibilmente con le possibilità aziendali, sono i seguenti:
adottare una serie di policy di sicurezza, e procedure da rendere operative, atte a garantire la riservatezza, l’integrità e la disponibilità delle informazioni e dei dati trattati relativamente a clienti e partner/riveditori, , la continuità operativa dei processi, ed il corretto utilizzo delle risorse aziendali;
la definizione di un sistema di gestione della sicurezza delle informazioni da applicare alle informazioni trattate nel campo di applicazione individuato nel documento Guida al SGSI di PIGNA366 [1] di qualsiasi natura e forma siano, e a tutti gli strumenti utilizzati per il loro trattamento e conservazione; le informazioni trattate devono essere accessibili solo a coloro che ne hanno necessità e in tempi certi;
il personale aziendale deve essere opportunamente formato in materia di sicurezza delle informazioni;
è necessario considerare i requisiti di sicurezza delle informazioni durante l’intero processo di gestione di un progetto e sin dalla contrattazione con il cliente per quanto riguarda i servizi erogati;
1.2. PRINCIPI GENERALI
Al fine di garantire il raggiungimento degli obiettivi fissati, PIGNA366 si attiene ai seguenti principi generali di sicurezza da adottare nell’ambito di tutti i processi e delle attività svolte dal personale interno ed esterno:
1.3. RISORSE PER LA GESTIONE DELLE INFORMAZIONI
L’Azienda considera gli asset che compongono il proprio sistema di gestione delle informazioni come strumenti di lavoro ed il loro uso da parte di coloro che vi operano, a qualunque livello e con qualsiasi rapporto, è regolato da policy documentate, tra cui ad esempio il documento “Regolamento di utilizzo degli strumenti informatici” [4] per quanto riguarda gli asset informatici.
Gli strumenti messi a disposizione devono essere utilizzati unicamente per lo svolgimento dell’attività lavorativa in modo strettamente pertinente alle specifiche finalità dei propri compiti, nel rispetto delle esigenze di funzionalità e sicurezza dei sistemi stessi e della rete.
2. ORGANIZZAZIONE DEL SISTEMA DI SICUREZZA
L’organizzazione del Sistema di sicurezza delle informazioni fa riferimento all’individuazione di ruoli, funzioni e responsabilità coinvolte nella realizzazione e gestione del Sistema.
L’attribuzione delle funzioni relative alla gestione del Sistema Informativo o alla gestione delle sue componenti si svolge previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni interne ed esterne anche quelle in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza.
2.1 RUOLI E RESPONSABILITÀ DELLA SICUREZZA DELLE INFORMAZIONI
L’obiettivo dell’Azienda è quello di assicurare che tutti i soggetti coinvolti nella sicurezza delle informazioni siano adeguatamente informati e formati sul ruolo che possono svolgere, al fine di minimizzare i rischi derivanti dalle minacce alla sicurezza del sistema di gestione delle informazioni.
Per il dettaglio dell’organizzazione aziendale e dei ruoli del sistema di sicurezza delle informazioni si rimanda al documento interno “Organigramma e ruoli di sicurezza” di PIGNA366 [3].
La responsabilità finale in merito alla sicurezza delle informazioni è assegnata alla Direzione, fermo restando l’importanza di altri ruoli di responsabilità e di controllo in materia di sicurezza delle informazioni che si collocano all’interno dell’organizzazione, come meglio specificato nel suddetto documento.
Salvo riesame della Direzione, non si ritiene necessario che debba essere nominato un Responsabile della Protezione dei Dati Personali (DPO).
2.2 SICUREZZA DELLE INFORMAZIONI NELLE RELAZIONI CON I FORNITORI
L’Azienda ha individuato e applica criteri per la valutazione, la selezione e la revisione periodica dei fornitori, sulla base della loro capacità di fornire processi o prodotti e servizi conformi ai requisiti di sicurezza delle informazioni [5].
Tutti i requisiti relativi alla sicurezza delle informazioni sono stabiliti e concordati con ciascun fornitore che potrebbe avere accesso, elaborare, archiviare, trasmettere o fornire informazioni e/o componenti dell’infrastruttura IT dell’organizzazione. Ove ritenuto necessario, sono sottoscritti accordi di riservatezza sia relativamente alle informazioni in generale che sul trattamento dei dati personali.
PIGNA366 ricorre unicamente a fornitori che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, nominando questi ultimi, ove previsto, responsabili del trattamento dei dati personali, come prescritto dall’art. 28 del Regolamento (UE) 2016/679.
PIGNA366 verifica periodicamente l’attuazione degli accordi con i fornitori per mantenere il livello concordato di sicurezza delle informazioni ed erogazione dei servizi.
3. ANALISI DEL RISCHIO
Alla base della sicurezza delle informazioni vi è la valutazione dei rischi, intesa come processo complessivo in tre fasi:
identificazione dei rischi in termini di possibili minacce alla sicurezza dei sistemi e delle informazioni;
analisi dei rischi, ovvero calcolo del livello di rischio in termini di probabilità di accadimento, gravità degli effetti e prevedibilità;
ponderazione dei rischi, volta a stabilire se i rischi siano o meno accettabili.
L’obbiettivo finale del documento specifico di valutazione dei rischi di PIGNA366 [6] , a cui si rimanda, è quello di predisporre adeguate misure di prevenzione e protezione delle risorse informative aziendali, al fine di consentire la gestione del rischio ad un livello accettabile.
4. POLITICHE DI DETTAGLIO DI SICUREZZA DELLE INFORMAZIONI
La politica generale di sicurezza delle informazioni deve essere sostenuta da politiche specifiche per ambito che impongano ulteriormente l’attuazione degli obbiettivi di controllo della sicurezza delle informazioni e che rispondano alle esigenze di determinati gruppi all’interno dell’organizzzione o riguardino ambiti specifici, vedasi l’esigenza di stabilire delle norme per l’utilizzo corretto dei dispositivi informatici aziendali e per la protezione dei dati personali, per cui si rimanda rispettivamente ai documenti operativi “Regolamento di utilizzo degli strumenti informatici” [4] e “Politica per il trattamento dei dati personali” [7] .
Qualsiasi eccezione deve essere documentata e approvata dalla Direzione e dal Responsabile della sicurezza delle informazioni.
5. NON OSSERVANZA DELLA POLITICA DI SICUREZZA
È fatto obbligo a tutti i destinatari di osservare le disposizioni della presente Politica.
L’inosservanza delle presenti disposizioni espone l’Azienda, oltre che ai rischi per la sicurezza del sistema e dei dati, anche a gravi responsabilità in caso di violazioni della normativa in materia di reati informatici e di quella a tutela dei diritti d’autore, sanzionabili anche penalmente e passibili di configurare la responsabilità amministrativa della Società.
L’Azienda sanzionerà il mancato rispetto o la violazione delle disposizioni del presente documento come segue:
nei confronti del personale dipendente, con i provvedimenti disciplinari e risarcitori previsti dal CCNL vigente e dal Sistema Disciplinare Interno;
nei confronti di collaboratori e consulenti, verificata la gravità della violazione accertata, con la risoluzione od il recesso dal contratto, fermo restando l’esercizio di tutte le azioni civili, penali e risarcitorie consentite
La Direzione, in qualità di Responsabile della sicurezza delle informazioni, ha il compito di approvare il presente documento e di revisionarlo periodicamente e qualora si presentino delle modifiche nel contesto operativo o nelle strategie aziendali, nell’ambito del riesame della Direzione, ferma restando la possibilità da parte dei destinatari del documento di concorrere all’aggiornamento di quest’ultimo, proponendo suggerimenti, modifiche e integrazioni all’attenzione della Direzione.