La sicurezza delle informazioni è un tema di estrema rilevanza per qualsiasi organizzazione ed in particolare per società come Italsicurezza S.r.l. che oltre a gestire informazioni vitali per il proprio business, viene spesso a contatto con informazioni e dati dei propri clienti.
Il progresso tecnologico e le rapide trasformazioni digitali degli ultimi anni hanno impattato sullo scenario di rischio dell’azienda che ha dovuto far fronte ad una crescita significativa del cyber risk volto a compromettere il patrimonio informativo aziendale.
Per questo motivo la Direzione ha ritenuto opportuno definire una politica per la gestione delle informazioni da diffondere a tutto il personale interno nonché a soggetti esterni che, interagendo con Italsicurezza S.r.l., possono venirne in possesso.
Lo scopo della presente politica è quello di definire:
- gli obiettivi generali;
- i principi di azione;
al fine di proteggere, da tutte le minacce, interne o esterne, intenzionali o accidentali, le informazioni che costituiscono il patrimonio informativo di Italsicurezza S.r.l., nonché le informazioni dei propri clienti che sono gestite nel ciclo di vita dei prodotti e servizi forniti. La Direzione si impegna a garantire costantemente la sicurezza delle informazioni implementando un insieme di processi, procedure e strutture organizzative.
La politica si applica alle attività di progettazione, commercializzazione, installazione, manutenzione e assistenza di sistemi antintrusione, sistemi di videosorveglianza, sistemi di gestione accessi, impianti rilevazione incendio e presidi antincendio nonché alle attività di progettazione, commercializzazione, installazione, manutenzione e assistenza di sistemi per la security e safety.
Consapevole del fatto che le proprie attività di progettazione, installazione e manutenzione per soggetti esterni possono comportare l’affidamento di dati e informazioni critiche, Italsicurezza S.r.l. opera secondo le normative di sicurezza internazionalmente riconosciute.
Su tale linea Italsicurezza S.r.l. ha deciso di porre in essere un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) conforme ai requisiti della norma internazionale ISO/IEC 27001. Il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) si basa fondamentalmente su tre obiettivi chiave:
- Riservatezza
- Integrità
- Disponibilità
Italsicurezza S.r.l., in riferimento ai servizi erogati e compresi nel proprio ambito di certificazione, identifica la triade R.I.D. come segue:
- Riservatezza = garantire che le informazioni siano preservate dal possibile utilizzo o accesso da parte di soggetti non autorizzati; è la capacità di un’informazione di essere disponibile in un dato momento solo ed esclusivamente ad utenti/processi autorizzati. La Direzione, per garantire la riservatezza delle informazioni, utilizza strumenti quali la crittografia, ID nome utente e password, specifiche procedure di autenticazione.
- Integrità = garantire che le informazioni non possano essere modificate o cancellate per azioni non autorizzate, volontarie o involontarie (anche per danni o malfunzionamenti dei sistemi); è la capacità di mantenere la veridicità delle informazioni. La Direzione, per garantire integrità delle informazioni ed il relativo controllo, utilizza sistemi di logging delle attività e procedure di ripristino da backup crittografati laddove necessario.
- Disponibilità = garantire che le informazioni siano immediatamente accessibili ed utilizzabili, per un tempo stabilito ed in modo ininterrotto, dagli utenti autorizzati; è la capacità di mantenere l’accessibilità alle informazioni durante un intervallo di tempo definito. La Direzione, per garantire la disponibilità delle informazioni, utilizza strumenti di disaster recovery e business continuity. Effettua inoltre un costante monitoraggio e manutenzione dell’infrastruttura IT.
La Direzione ha stabilito i seguenti obiettivi per la Sicurezza delle Informazioni:
- stabilire ed attuare un Sistema di Gestione per la Sicurezza delle Informazioni sulla base della norma ISO/IEC 27001;
- garantire un appropriato livello di sicurezza delle informazioni per tutta la durata dei rapporti commerciali con la propria clientela, attraverso l’identificazione, la valutazione ed il trattamento dei rischi ai quali le informazioni sono soggette;
- assicurare la continuità dei processi di business aziendali e dei servizi erogati ai propri Clienti;
- prevenire gli incidenti della sicurezza delle informazioni e minimizzarne gli impatti, salvaguardando gli interessi aziendali e delle altre parti interessate;
- assicurare la conformità alla normativa cogente applicabile;
- aumentare, nel proprio personale, il livello di consapevolezza e la competenza sui temi della sicurezza delle informazioni;
- salvaguardare l’immagine aziendale percepita dai clienti, quale fornitore affidabile e competente;
- identificare opportunità di miglioramento finalizzate ad aumentare l’efficacia e l’efficienza del sistema di gestione e dei suoi processi.
Per ognuno di questi obiettivi sono stabiliti annualmente precisi traguardi a supporto e conferma del miglioramento continuo.
Per raggiungere i suddetti obiettivi Italsicurezza S.r.l. ha definito i seguenti principi:
- l’informazione è un bene (asset) di vitale importanza per l’organizzazione e va tutelato attraverso efficaci mezzi di protezione e controllo che ne garantiscano la riservatezza, l’integrità e la disponibilità;
- le informazioni di proprietà dei clienti affidati a Italsicurezza S.r.l. a qualsiasi titolo, devono essere protette come se fossero proprie e comunque nel rispetto degli accordi contrattuali eventualmente stabiliti;
- le leggi e i regolamenti cogenti in materia di protezione delle informazioni stabiliti dalle autorità competenti costituiscono i requisiti di massima priorità nella realizzazione di prodotti e servizi e nell’agire quotidiano;
- il controllo messo in atto per garantire la sicurezza delle informazioni deve essere determinato attraverso un rigoroso e continuo processo di gestione dei rischi;
- la formazione/informazione sulle tematiche della sicurezza delle informazioni e sui processi aziendali messi in atto per garantirla deve essere assicurata al personale aziendale;
- il sistema di gestione della sicurezza delle informazioni deve basarsi su modelli e best practice riconosciute a livello internazionale ed essere orientato al miglioramento continuo.
Al fine di assicurare il rispetto dei principi sopra elencati e il conseguimento degli obiettivi sono stati definiti i seguenti indirizzi generali per la gestione dei rischi relativi alla sicurezza delle informazioni:
- la protezione delle informazioni deve essere garantita da un’applicazione sistematica di controlli appropriati all’importanza
- dell’informazione da proteggere;
- i controlli devono essere determinati attraverso un processo di gestione del rischio progettato e attuato sulla base di normative internazionali (ISO 31000 e ISO/IEC 27005);
- l’efficacia dei controlli deve essere monitorata costantemente al fine di identificare opportunità di miglioramento;
- gli stakeholder interni ed esterni devono essere messi a conoscenza dell’efficacia del processo complessivo di gestione del rischio e consultati all’occorrenza nei momenti decisionali;
- le decisioni relative ai trattamenti dei rischi devono essere affidate a personale con appropriata autorità, competenza e responsabilità che deve decidere sulla base di un’accurata ponderazione dei rischi;
- i rischi residui risultanti dalla fase di ponderazione del rischio devono essere conformi ai criteri di rischio definiti dalla Direzione e, in ogni caso essere in piena conformità a leggi e regolamenti applicabili;
- eventuali incidenti relativi alla sicurezza delle informazioni devono essere risolti con tempestività e devono alimentare un processo di rivalutazione dei rischi;
- l’identificazione e l’analisi dei potenziali rischi deve basarsi su dati storici interni all’organizzazione, su informazioni provenienti da organizzazioni specifiche nell’ambito sicurezza delle informazioni e letteratura specialistica di settore.
Italsicurezza S.r.l. ha definito, approvato, pubblicato e comunicato al personale dell’azienda e alle altre parti interessate le politiche in materia di sicurezza delle informazioni; tali politiche sono a disposizione delle parti interessate.
Inoltre, Italsicurezza S.r.l. monitora periodicamente il ISMS e redige documentazione specifica con evidenza delle performance, del livello di conformità agli standard, alla legislazione, alla regolamentazione e alla normativa contrattuale e operativa.
La presente politica è soggetta a revisioni su base periodica e/o in caso di cambiamenti significativi riguardanti la sicurezza delle informazioni, al fine di garantirne l’idoneità, l’adeguatezza e l’efficienza.
Italsicurezza S.r.l.
La Direzione
POL02 – Politica per la Sicurezza delle Informazioni
Rev.2 del 12/02/2024