Il Sistema Informativo di H.S.T. S.r.l. (che comprende risorse tecnologiche e risorse umane dedicate alla loro amministrazione, gestione e utilizzo) è una risorsa aziendale di importanza cruciale in tutti i processi di business, da salvaguardare per garantire il perseguimento degli obiettivi strategici e operativi della società.
Esso è caratterizzato da diversi livelli di riservatezza, a seconda dell’attività per cui sono utilizzate le informazioni, nonché da modalità di gestione delle informazioni che comprendono sia strumenti digitali, in maggioranza, che cartacei.
Nel proteggere le proprie informazioni l’azienda si pone come obiettivo quello di garantire la salvaguardia dei seguenti aspetti:
Il perseguimento degli obiettivi di sicurezza è conseguito attraverso la definizione, l’attuazione e l’aggiornamento periodico di procedure e politiche e la conseguente messa in atto di un Sistema di gestione della Sicurezza delle Informazioni (SGSI).
Nondimeno l'Azienda ha tra i suoi obiettivi quello di ottenere e mantenere la certificazione del SGSI secondo la norma ISO/IEC 27001:2022.
L’Azienda ha ritenuto di dotarsi di una Politica generale della sicurezza delle informazioni, in conformità alle richieste della ISO 27001/2022, con l’obiettivo di descrivere gli intenti dell'Azienda nell'ambito della gestione della sicurezza delle informazioni.
La presente Politica si applica a tutte le informazioni trattate, indipendentemente dallo loro natura e forma, e a tutti i sistemi di gestione utilizzati per il loro trattamento e conservazione.
L'intera struttura del personale e dei collaboratori, nonché eventuali fornitori che contribuiscono al trattamento delle informazioni, è coinvolta nella protezione delle informazioni gestite dall'organizzazione.
La Politica è rivolta a tutti i dipendenti di HST senza distinzione di ruolo e/o livello, nonché a tutti i collaboratori e i consulenti dell’Azienda (di seguito nel testo “utenti”), indipendentemente dal rapporto contrattuale instaurato (dipendenti a tempo indeterminato/determinato, lavoratori somministrati, distaccati, collaboratori coordinati e continuativi, stagisti e apprendisti, prestatori d’opera intellettuale, ecc.), che devono essere resi consapevoli delle proprie responsabilità e dell'importanza del proprio contributo per la sicurezza delle informazioni.
Sono inoltre tenuti al rispetto della presente Politica e del sistema di gestione delle informazioni tutti i soggetti che a vario titolo fruiscono dei servizi informativi di HST, nonché eventuali fornitori, visitatori e ospiti.
Copia della presente Politica è disponibile negli archivi elettronici che HST mette a disposizione dei destinatari e, qualora il destinatario non abbia accesso a tale risorsa, verrà ad esso trasmesso tramite email.
Per le definizioni e gli acronimi utilizzati nel presente documento si rimanda al documento “ISO27001 - 40.Definizioni e acronimi”.
La responsabilità di definire e approvare la Politica di sicurezza delle informazioni aziendale è in capo al Responsabile della Sicurezza delle informazioni (RSI), le cui funzioni, qualora non presente delega specifica, sono assunte dalla Direzione.
Alla base della sicurezza delle informazioni dell’azienda vi è:
L’azienda si occupa di consulenza, progettazione e sviluppo in ambito informatico e delle telecomunicazioni.
Attività complementari a quelle indicate sono la vendita hardware e software, attività di supporto e formazione alla clientela.
Inoltre, l’azienda in autonomia progetta e mantiene i propri sistemi informativi.
La struttura organizzativa aziendale è descritta nell’Organigramma. Oltre ai soggetti esterni incaricati come Responsabili del trattamento ai sensi dell’art.28 del GDPR, ulteriori fornitori coinvolti nella gestione delle informazioni sono: operatori di telecomunicazioni, fornitori di servizi cloud, fornitori di assistenza su apparecchiature e software in uso.
Le informazioni trattate sono pertanto relative al personale interno e ai consulenti, ai clienti e ai fornitori, al knowhow aziendale, oltre che nella forma di elaborati progettuali, credenziali di accesso ai sistemi interni e di terze parti, dati di contabilità, informazioni riguardanti gli applicativi e le licenze software, e comprendono sia dati anonimi che dati personali, la cui criticità viene valutata caso per caso.
L’obiettivo primario dell’azienda è quello di garantire la protezione dell’intero sistema informativo aziendale, di importanza strategica per le attività dell’azienda, preservando la riservatezza, l'integrità e la disponibilità delle informazioni trattate, allo scopo di garantire la continuità operativa dei processi attraverso l'implementazione di un sistema di gestione in qualità, conforme alla ISO 27001/2022, alla normativa europea in materia di trattamento dei dati personali e al contesto in cui l'azienda opera.
Nello specifico gli intenti (a medio termine) dell'azienda in merito all'obiettivo definito sopra, compatibilmente con le possibilità aziendali, sono i seguenti:
Al fine di garantire il raggiungimento degli obiettivi fissati, HST si attiene ai seguenti principi generali di sicurezza da adottare nell’ambito di tutti i processi e delle attività svolte dal personale interno ed esterno:
L’Azienda considera gli asset che compongono il proprio sistema di gestione delle informazioni come strumenti di lavoro ed il loro uso da parte di coloro che vi operano, a qualunque livello e con qualsiasi rapporto, è regolato da policy interne e documentate, tra cui ad esempio il documento interno “ISO27001 - 05.Regolamento di utilizzo degli strumenti informatici aziendali” per quanto riguarda gli asset informatici.
Gli strumenti messi a disposizione devono essere utilizzati unicamente per lo svolgimento dell’attività lavorativa in modo strettamente pertinente alle specifiche finalità dei propri compiti, nel rispetto delle esigenze di funzionalità e sicurezza dei sistemi stessi e della rete.
L’organizzazione del Sistema di sicurezza delle informazioni fa riferimento all’individuazione di ruoli, funzioni e responsabilità coinvolte nella realizzazione e gestione del Sistema.
L'attribuzione delle funzioni relative alla gestione del Sistema Informativo o alla gestione delle sue componenti si svolge previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni interne ed esterne anche quelle in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza.
L’obbiettivo dell’Azienda è quello di assicurare che i dirigenti e tutto il personale, dal momento che la sicurezza delle informazioni è da considerarsi una responsabilità comune, siano adeguatamente informati e formati sul ruolo che possono svolgere, al fine di minimizzare i rischi derivanti dalle minacce alla sicurezza del sistema di gestione delle informazioni.
Per il dettaglio dell’organizzazione aziendale e dei ruoli del sistema di sicurezza delle informazioni si rimanda al documento interno “ISO27001 - 02.Organigramma e ruoli per la sicurezza delle informazioni”.
La responsabilità finale in merito alla sicurezza delle informazioni è assegnata alla Direzione, fermo restando l'importanza di altri ruoli di responsabilità e di controllo in materia di sicurezza delle informazioni che si collocano all'interno dell'organizzazione, come meglio specificato nel suddetto documento.
Non si ritiene necessario che debba essere nominato un Responsabile della Protezione dei Dati Personali (DPO).
L’Azienda ha individuato e applica criteri per la valutazione, la selezione e la revisione periodica dei fornitori, sulla base della loro capacità di fornire processi o prodotti e servizi conformi ai requisiti di sicurezza delle informazioni.
Tutti i requisiti relativi alla sicurezza delle informazioni sono stabiliti e concordati con ciascun fornitore che potrebbe avere accesso, elaborare, archiviare, trasmettere o fornire informazioni e/o componenti dell'infrastruttura IT dell'organizzazione. Ove ritenuto necessario, sono sottoscritti accordi di riservatezza sia relativamente alle informazioni in generale che sul trattamento dei dati personali.
HST ricorre unicamente a fornitori che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, nominando questi ultimi, ove previsto, responsabili del trattamento dei dati personali, come prescritto dall’art. 28 del Regolamento (UE) 2016/679.
HST verifica periodicamente l’attuazione degli accordi con i fornitori per mantenere il livello concordato di sicurezza delle informazioni ed erogazione dei servizi.
Alla base della sicurezza delle informazioni vi è la valutazione dei rischi, intesa come processo complessivo in tre fasi:
L’obbiettivo finale del documento specifico di valutazione dei rischi è quello di predisporre adeguate misure di prevenzione e protezione delle risorse informative aziendali, al fine di consentire la gestione del rischio ad un livello accettabile.
La politica generale di sicurezza delle informazioni deve essere sostenuta da politiche specifiche per ambito che impongano ulteriormente l'attuazione degli obbiettivi di controllo della sicurezza delle informazioni e che rispondano alle esigenze di determinati gruppi all'interno dell'organizzazione o riguardino ambiti specifici, vedasi l'esigenza di stabilire delle norme per l'utilizzo corretto dei dispositivi informatici aziendali e per la protezione dei dati personali, per cui si rimanda rispettivamente ai documenti operativi interni “ISO27001 - 05.Regolamento di utilizzo degli strumenti informatici aziendali” e “GDPR - 03.Politica per il trattamento dei dati personali”.
Qualsiasi eccezione deve essere documentata e approvata dalla Direzione e dal Responsabile della sicurezza delle informazioni.
È fatto obbligo a tutti gli utenti di osservare le disposizioni della presente Politica.
L’inosservanza delle presenti disposizioni espone l’Azienda, oltre che ai rischi per la sicurezza del sistema e dei dati, anche a gravi responsabilità in caso di violazioni della normativa in materia di reati informatici e di quella a tutela dei diritti d’autore, sanzionabili anche penalmente e passibili di configurare la responsabilità amministrativa della Società, ex art. 25-novies del D.lgs. 231/2001, con conseguente applicazione delle sanzioni pecuniarie ed interdittive previste dal Decreto in questione.
L’Azienda sanzionerà il mancato rispetto o la violazione delle disposizioni del presente documento come segue:
La Direzione, in qualità di Responsabile della sicurezza delle informazioni, ha il compito di approvare il presente documento e di revisionarlo periodicamente e qualora si presentino delle modifiche nel contesto operativo o nelle strategie aziendali, nell’ambito del riesame della Direzione, ferma restando la possibilità da parte dei destinatari del documento di concorrere all’aggiornamento di quest’ultimo, proponendo suggerimenti, modifiche e integrazioni all’attenzione della Direzione.
La versione aggiornata del presente documento è disponibile sul sito web dell’Azienda.