Politica per la Sicurezza delle Informazioni (Rev. 1.a).

IL TIGLIO SRL è consapevole che oggi viviamo in una società basata sulla conoscenza, in cui le informazioni sono un patrimonio prezioso. Le informazioni, sia relative a dati personali che ai dati aziendali, in qualsiasi forma devono essere protette adeguatamente da tutte le minacce e le vulnerabilità, siano esse interne o estere, intenzionali o accidentali. In particolare, devono essere assicurate la riservatezza, l’integrità e la disponibilità delle informazioni, nella misura richiesta dall’attività aziendale.

Il Regolamento Europeo [2016/679] relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (d’ora in poi GDPR) individua i principi applicabili al trattamento dei dati (Art. 5) e obbliga Il Tiglio srl in qualità di titolare del trattamento dei dati personali a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento (Art. 24).

IL TIGLIO SRL, in funzione dei servizi offerti, deve rispondere a legittime aspettative degli utilizzatori relativamente alla sicurezza delle informazioni.

IL TIGLIO SRL, consapevole che il proprio sistema informativo è un patrimonio aziendale, ha predisposto ed approvato la seguente Politica in merito alla Sicurezza delle Informazioni. L’attuazione di tale Politica prevede una adeguata valutazione dei rischi per individuare le minacce di eventi che impattano negativamente sulla sicurezza delle informazioni, la loro gravità e la probabilità di accadimento.

Tale Politica è stata divulgata a tutte le strutture organizzative interne ed esterne coinvolte nella gestione del Sistema Informativo.

La Politica si base sull’analisi del contesto sulla base di fattori interni quali:

  • Le strategie aziendali attuali e future e le relative priorità.
  • Il livello di innovazione, attuale e prevista, per la Società.
  • La struttura organizzativa per i sistemi informativi, inclusi i fornitori principali e i processi affidati all’esterno (in outsourcing o esternalizzati).
  • Le caratteristiche delle sedi dei locali dove sono trattate le informazioni e dove sono collocati gli archivi e i sistemi informatici, inclusi quelli presso fornitori o altre parti esterne.
  • Le tipologie delle informazioni trattate ed il relativo livello di protezione voluto.
  • I rapporti con il personale interno ed esterno e le loro competenze informatiche.
  • Le aspettative delle parti interne interessate (stakeholder), ossia del personale, degli azionisti e dei soci; tra queste aspettative vi è il rispetto dei contratti e degli accordi e la buona qualità dell’ambiente di lavoro.
  • L’evoluzione della tecnologia.
  • La normativa applicabile.
  • I concorrenti ed i potenziali concorrenti.
  • Le strategie di mercato, attuali e previste, dei fornitori e dei clienti attuali e potenziali.
  • Le aspettative delle parti esterne interessate, tra cui i clienti ed i fornitori attuali e potenziali.

IL TIGLIO SRL, per questi motivi, ha definito i seguenti obiettivi:

  • Istituire e condurre un Sistema di Gestione della Sicurezza delle Informazioni [SGSI] che sia:
    • Adeguato alle caratteristiche organizzative della Società ed alle necessità degli utenti.
    • Sostenibile dal punto di vista organizzativo e finanziario.
    • Conforme alle normative ed ai regolamenti vigenti.
    • In grado di assicurare la pianificazione ed il pieno controllo di tutte le attività.
  • Individuare e adottare una metodologia per definire, classificare ed analizzare obiettivi, opportunità e rischi.
  • Definire una struttura organizzativa che permetta di individuare responsabilità gestionali specifiche per la gestione della sicurezza delle informazioni.
  • Divulgare in forma adeguata, accessibile e comprensibile ai collaboratori ed alle terze parti interessate, le direttive e le procedure di sicurezza.
  • Assicurare il costante allineamento del sistema di gestione alla evoluzione tecnologica.
  • Certificare e mantenere presso un Ente terzo la conformità e l’efficacia del Sistema di Gestione.
  • Supporto organizzativo, finanziario e operativo da parte della Direzione per il raggiungimento degli obiettivi definiti e perseguire il miglioramento continuo del Sistema di gestione della sicurezza delle informazioni.

L’adozione di un SGSI dovrebbe garantire, con ragionevole sicurezza, gli obiettivi di sicurezza. In particolar modo i benefici che ci si aspetta di ottenere dall’implementazione del SGSI sono i seguenti:

  • Prevenire incidenti relativi alla sicurezza delle informazioni.
  • Rendere sistematica la gestione della sicurezza informatica.
  • Individuare le cause di inefficacia dei processi di gestione.
  • Determinare le conseguenze dei requisiti normativi e contrattuali.
  • Comunicare ai clienti gli sforzi per l’aumento consapevole della sicurezza delle informazioni.
  • Diffondere la cultura della sicurezza delle informazioni presso gli utilizzatori dei servizi.
  • Gestire un sistema di registrazione di non conformità, reclami, incidenti e quasi incidenti e di monitoraggio degli stessi e dei costi connessi.
  • Prevenire danni anche di immagine provenienti da incidenti sulla gestione della sicurezza delle informazioni.

IL TIGLIO SRL si impegna ad informare, con almeno 6 mesi di anticipo, tutti gli utenti in caso di cessazione del servizio per permettere di stampare tutti i dati fino ad allora inseriti tramite le normali stampe.

Politiche di dettaglio

La presente Politica è sostenuta da specifiche politiche di dettaglio.

Controllo degli accessi

Tutte le risorse informatiche devono essere protette dai rischi di accesso non autorizzato. A tal fine ogni utente deve essere dotato di adeguati e sicuri elementi identificativi univoci. I meccanismi di sicurezza per accessi devono essere proporzionati ai potenziali rischi connessi con i diritti dell’utente. Ogni utente deve avere unicamente i diritti necessari allo svolgimento delle attività di sua competenza.
I diritti di accesso devono essere riesaminati periodicamente ed eventuali credenziali rilasciate a personale che ha modificato i diritti (es. interruzione del rapporto di collaborazione) devono essere immediatamente disattivate.
Devono essere implementati opportuni controlli atti a garantire un accesso sicuro ai servizi internet.
I sistemi devono essere configurati in modo da prevedere la chiusura automatica della sessione lavorativa dopo un periodo predefinito di inattività.

Backup

Deve essere definito quali dati salvare, le varie metodologie utilizzate e il numero di versioni da mantenere. L’esito delle operazioni di backup deve essere monitorato. Devono essere descritte le metodologie per il ripristino dei dati.

Anti-malware

Misure di sicurezza per la prevenzione e la protezione da malware devono essere applicate a tutti i sistemi che costituiscono l’infrastruttura informatica aziendale. Tutto il software installato sui sistemi informativi deve essere conforme ai brevetti e/o ai termini delle licenze e costantemente aggiornato a fronte della rilevazione di criticità. I firewall devono essere configurati per impedire traffico non autorizzato verso i sistemi aziendali.

Classificazione delle informazioni

In funzione delle caratteristiche dei dati gestiti tutte le informazioni vengono considerate ai massimi livelli per quanto riguarda disponibilità, integrità e riservatezza.

Privacy e protezione dei dati personali

Gli utenti sono sensibilizzati alla corretta gestione della Privacy relativamente ai dati da loro inseriti tramite l’apposita appendice del manuale utente.

Obiettivi

I principali obiettivi che IL TIGLIO SRL si pone nell’attuazione del proprio Sistema per la Gestione della Sicurezza delle Informazioni sono:

  • Assicurare la continuità del servizio: Ore di non funzionamento [in orario lavorativo (9-13 e 15-19 dei giorni lavorativi) per interruzioni superiori ai 5 minuti] inferiori alle 8 ore/anno.
  • Assicurare la qualità di SQuadra: Numero di anomalie registrate nell’area Segnalazioni di SQuadra relative ad errori del programma inferiori a 3/anno.