POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

La presente pagina riporta la politica aziendale definita dal Consiglio di Amministrazione di Acus S.p.A. (da qui in avanti denominata “Direzione”) in merito alla gestione delle informazioni, dei dati e degli asset fisici, al fine di garantire la sicurezza delle informazioni e dei dati trattati dall’azienda, in termini di riservatezza, integrità e disponibilità.

La Direzione, consapevole dell’importanza e della necessità che assume la protezione del valore del patrimonio aziendale costituito dai dati, dai servizi, dalle metodologie e dagli strumenti adoperati per lo sviluppo del business e la soddisfazione dei Clienti, dichiara il proprio impegno diretto nell’operare assicurando l’adozione di tutti i provvedimenti necessari a garantire la sicurezza delle informazioni.

Per questa consapevolezza la Direzione identifica i processi strategici con cui ottenere gli obiettivi di sicurezza nei processi collegati alle attività di core business dell’Azienda, ovvero l’ideazione, progettazione e sviluppo di soluzioni applicative software e i servizi di Consulenza a supporto dei Clienti.

Ogni processo del SGSI (Sistema di Gestione della Sicurezza delle Informazioni) inerente al trattamento delle informazioni o che possa avere impatto con la sicurezza delle informazioni, deve uniformarsi alla politica delineata nel presente documento.

La presente politica si applica al Personale di Acus, di qualunque Area e Livello, coinvolto nei processi del SGSI.

L’attuazione della presente politica è obbligatoria e deve essere inserita nella regolamentazione degli accordi con qualsiasi soggetto esterno che, a qualsiasi titolo, possa essere coinvolto con il trattamento di informazioni dei processi del SGSI.

Responsabilità

Le responsabilità relative alla gestione di questo documento sono in capo al Responsabile del Sistema per la Sicurezza delle Informazioni.

Impegno della Direzione

La Direzione sostiene attivamente la sicurezza dell’azienda tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni. Questo impegno si attua attraverso i seguenti compiti:

  • promuovere, sostenere e applicare un sistema di gestione per la sicurezza delle informazioni che recepisce i requisiti di sicurezza espressi nelle norme internazionali riconosciute;
  • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi incontrino i requisiti aziendali;
  • stabilire i ruoli aziendali e le responsabilità per lo sviluppo e il mantenimento del SGSI;
  • fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGSI;
  • controllare che il SGSI sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente;
  • monitorare i cambiamenti dell’esposizione alle minacce delle informazioni chiave dell’azienda e analizzare gli incidenti alla sicurezza, rivedendo i criteri per l’accettazione del rischio e i livelli di rischio accettabili;
  • approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza;
  • attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.

Principi generali

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni gestite attraverso i processi compresi nel campo di applicazione, localizzate negli ambienti predisposti per tale gestione, ubicati presso le sedi principali di ACUS e presso i fornitori di servizi cloud in uso.

È necessario assicurare:

  • la riservatezza delle informazioni: ovvero le informazioni devono essere accessibili solo da chi è autorizzato;
  • l’integrità delle informazioni: ovvero proteggere la precisione e la completezza delle informazioni e dei metodi per la loro elaborazione;
  • la disponibilità delle informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle informazioni e ai beni collegati nel momento in cui lo richiedono.

La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti nonché ai danni di natura economica e finanziaria. Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.

Obiettivi

L’obiettivo generale del SGSI è di garantire la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni nell’ambito delle proprie attività in accordo con le indicazioni fornite dallo standard ISO/IEC 27001:2013 e dalle linee guida contenute nello standard ISO/IEC 27002 nelle loro ultime versioni.

Per il raggiungimento dell’obiettivo generale assicurando il mantenimento di riservatezza, integrità e disponibilità, nell’esecuzione dei trattamenti dei dati individuati dai processi aziendali, la Direzione identifica alcune attività strategicamente fondamentali:

  • l’individuazione delle aree potenziali di rischio e la definizione delle modalità di trattamento;
  • l’adempimento delle prescrizioni di legge e degli impegni contrattuali;
  • la gestione della continuità operativa aziendale;
  • la Formazione e la creazione di consapevolezza nel personale in materia di sicurezza;
  • il miglioramento continuo sulla base degli obiettivi definiti e dei risultati ottenuti;

In coerenza con queste premesse, la Direzione, nel corso del riesame del SGSI, stabilisce obiettivi dettagliati per la sicurezza delle informazioni che:

  • sono misurabili (ove possibile);
  • tengono in considerazione i risultati della valutazione e trattamento del rischio;
  • tengono in considerazione gli incidenti di sicurezza accaduti o gli eventi che comunque hanno avuto un impatto significativo sulla sicurezza;
  • sono comunicati sia internamente che esternamente agli opportuni livelli di responsabilità;
  • sono verificati e aggiornati periodicamente.

La pianificazione e verifica periodica degli obiettivi sono definiti nel corso del riesame della Direzione.

La pianificazione degli obiettivi determina le attività che devono essere effettuate, le responsabilità di attuazione, i tempi di completamento, le risorse necessarie e le modalità di verifica dei risultati.

Requisiti generali

L’Azienda identifica i requisiti di sicurezza tramite l’analisi dei rischi che consente di acquisire consapevolezza sul livello di esposizione a minacce del proprio sistema informativo. La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate. I risultati di questa valutazione determinano le azioni necessarie per gestire i rischi individuati e le misure di sicurezza più idonee.

Deve esistere ed essere costantemente aggiornato un inventario degli asset aziendali rilevanti ai fini della gestione delle informazioni e per ciascuno deve essere individuato un responsabile. Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza e integrità coerenti e appropriati.

Per garantire la sicurezza delle informazioni, ogni accesso ai sistemi deve essere sottoposto a una procedura d’identificazione e autenticazione. Le autorizzazioni di accesso alle informazioni devono essere diverse in base al ruolo e agli incarichi ricoperti dai singoli individui, e devono essere periodicamente sottoposte a revisione. È necessario, inoltre, prevenire l’accesso fisico non autorizzato alle sedi e ai singoli locali aziendali dove sono trattate le informazioni e dove deve essere garantita la sicurezza delle apparecchiature.

Devono essere definite delle policy e procedure per l’utilizzo sicuro degli asset aziendali.

Deve essere incoraggiata la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni in tutto il personale (dipendenti e collaboratori) a partire dal momento della selezione e per tutta la durata del rapporto di lavoro.

Devono essere definite procedure per la gestione degli incidenti di sicurezza, e tutti i soggetti coinvolti devono avere la possibilità e le conoscenze per identificare e notificare tempestivamente qualsiasi problema relativo alla sicurezza.

Deve essere definita una procedura di Business Continuity e deve essere predisposto un piano di Disaster Recovery che permetta all’azienda di affrontare efficacemente gli eventi imprevisti, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sugli obiettivi aziendali.

Gli aspetti di sicurezza devono essere inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.

Devono essere garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente alla sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

Deve essere assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.

Disposizioni generali

Sulla base dell’analisi dei rischi individuati e delle modalità per il loro trattamento la Direzione dispone:

  • la redazione di politiche e procedure;
  • l’attivazione della struttura organizzativa idonea alla gestione della sicurezza delle informazioni;
  • la gestione strutturata degli asset aziendali;
  • l’adozione di misure per il miglioramento della sicurezza fisica ed ambientale;
  • la tutela del sistema di comunicazione interno ed esterno;
  • il controllo degli accessi logici e fisici;
  • la regolamentazione dell’utilizzo degli asset aziendali;
  • l’adozione di misure di sicurezza idonee a garantire l’accesso ai sistemi informativi al solo personale autorizzato;
  • la gestione della prevenzione e dell’eventuale trattamento degli incidenti di sicurezza;
  • l’adozione di regole atte a garantire la sicurezza e la protezione dei dati e delle informazioni in ogni fase dei trattamenti;
  • un continuo aggiornamento finalizzato al rispetto delle disposizioni di legge, di statuti, regolamenti, obblighi contrattuali, norme internazionali;
  • l’impiego delle misure idonee a garantire il rispetto degli adempimenti contrattuali con i Clienti;
  • l’assegnamento di default ad asset e informazioni dei Clienti in classi alte di protezione;
  • l’attivazione di controlli interni a tutela della sicurezza delle informazioni;
  • l’attuazione del miglioramento continuo allo SGSI;
  • la messa in attività di procedure di Business Continuity e piani di Disaster Recovery.

Le singole Direzioni ed i responsabili di ciascuna area aziendale devono assicurare che la Politica di Sicurezza aziendale sia compresa ed attuata da tutto il personale nello svolgimento della propria attività. In presenza di cambiamenti ad ogni livello, i responsabili di ciascuna area aziendale devono valutare gli impatti specifici in termini di sicurezza delle informazioni garantendone una opportuna e completa gestione.

La precisa ed univoca identificazione dell’obiettivo di garantire la sicurezza dei dati e delle informazioni, si traduce nell’attuazione quotidiana di specifiche azioni di tutela di cui tutto il personale a tutti i livelli è eticamente e moralmente responsabile.

Riesame del SGSI

La Direzione verifica periodicamente e regolarmente, o in concomitanza di cambiamenti significativi, l’efficacia e l’efficienza del Sistema di Gestione della Sicurezza delle Informazioni, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire l’attivazione di un processo continuo, con cui viene mantenuto il controllo e l’adeguamento della politica in risposta ai cambiamenti dell’ambiente aziendale, del business, delle condizioni legali.

Il Responsabile del SGSI ha la responsabilità del riesame.