Politica della sicurezza delle informazioni
Contesto di riferimento
Cefriel, centro di innovazione digitale not for profit, è stato fondato nel 1988 da Politecnico di Milano per aiutare le imprese e il tessuto socio-economico del Paese a crescere e svilupparsi grazie alla valorizzazione e all’incremento delle conoscenze e competenze nel campo delle tecnologie e dei servizi digitali.
Le attività svolte da Cefriel dipendono in larga misura dall’utilizzo di strumenti digitali, mediante i quali si opera il trattamento di informazioni vitali per lo svolgimento sia delle attività legate alla gestione dei progetti, sia di quelle collaterali legate ad una corretta gestione dell’operatività. Alla luce di quanto sopra, Cefriel promuove attivamente la sicurezza ICT in tutti gli aspetti tecnologici, procedurali e organizzativi finalizzati a portare e mantenere un adeguato livello di protezione, sia fisica che logica, secondo lo stato dell’arte della tecnologia e in modo compatibile con le caratteristiche e la direzione strategica perseguita.
Cefriel considera altresì la sicurezza delle informazioni un fattore irrinunciabile per la protezione del patrimonio informativo dei propri clienti e un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo. La gestione delle infrastrutture informatiche e tecnologiche, a supporto dei principali processi operativi della società, costituisce uno snodo cruciale, un elemento critico e strategico nell’interesse sia dell’azienda che dei clienti stessi.
Ambito di applicazione
La presente politica si applica a tutto il personale interno ed esterno, alle aziende partner, ai fornitori e a qualunque altra persona che, direttamente o indirettamente, entri in contatto con le informazioni, le strutture e/o gli edifici di Cefriel. A titolo esemplificativo, coloro che: operano su sistemi e asset di proprietà della società; entrano in possesso di informazioni relative all’organizzazione; entrano in locali o edifici di proprietà della società; si trovano a operare in aeree classificate o sensibili (e.g. aree CED, locali riservati, ecc.).
Obiettivi
Cefriel intende adottare le misure, sia tecniche che organizzative, necessarie a garantire al meglio l’integrità, la riservatezza e la disponibilità del patrimonio informativo a essa affidato dai propri clienti.
L’obiettivo è di garantire un adeguato livello di sicurezza dei dati e delle informazioni nell’ambito della progettazione, sviluppo ed erogazione dei servizi aziendali attraverso l’identificazione, la valutazione e il trattamento dei rischi ai quali i servizi stessi sono soggetti.
Il Sistema di Gestione per la Sicurezza delle Informazioni di Cefriel definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sottoelencati requisiti di sicurezza di base:
La mancanza di adeguati livelli di sicurezza può influire sulla reputazione aziendale, sul mancato rispetto di impegni contrattuali con il cliente e infine sulla violazione delle normative vigenti che possono generare ingenti danni di natura economica e finanziaria. La società identifica le esigenze di sicurezza tramite l’analisi dei rischi, che consente di acquisire consapevolezza circa il livello di esposizione a minacce del proprio sistema informativo, considerando altresì il rischio delle informazioni associato all’utilizzo dei servizi cloud. L’analisi del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare da un incidente dovuto alla mancata applicazione di misure di sicurezza, e quale sia la realistica eventualità del verificarsi dei rischi identificati. I risultati di questa valutazione determinano le azioni necessarie per mitigare i rischi individuati e le misure di sicurezza più idonee.
A tali fini vengono definiti i seguenti obiettivi di sicurezza:
Il perseguimento degli obiettivi di sicurezza è conseguito attraverso la definizione, l’attuazione e l’aggiornamento periodico delle procedure e altri documenti afferenti alla tutela del patrimonio informativo aziendale.
Principi generali di sicurezza informatica
Al fine di garantire il raggiungimento degli obiettivi fissati, la società ha definito i seguenti principi generali di sicurezza da adottare nell’ambito di tutti i processi e delle attività svolte dal personale interno e dai propri stakeholders.
La società protegge, al massimo livello delle proprie capacità tecniche e delle risorse disponibili, il proprio patrimonio aziendale. La condizione necessaria per lo svolgimento di ogni attività è la tutela delle informazioni gestite mediante criteri, misure e controlli di sicurezza proporzionali ai rischi e al valore delle informazioni stesse. I controlli di sicurezza da realizzare a tutela delle risorse informatiche che costituiscono il proprio patrimonio sono conseguiti tramite:
I principi di base della politica di sicurezza implementata si riassumono in:
La società ha identificato come aree di controllo tutti gli ambiti organizzativi, procedurali e tecnologici rilevanti per l’attuazione dei controlli di sicurezza che consentono il raggiungimento degli obiettivi di sicurezza.
Cefriel, centro di innovazione digitale not for profit, è stato fondato nel 1988 da Politecnico di Milano per aiutare le imprese e il tessuto socio-economico del Paese a crescere e svilupparsi grazie alla valorizzazione e all’incremento delle conoscenze e competenze nel campo delle tecnologie e dei servizi digitali.
Le attività svolte da Cefriel dipendono in larga misura dall’utilizzo di strumenti digitali, mediante i quali si opera il trattamento di informazioni vitali per lo svolgimento sia delle attività legate alla gestione dei progetti, sia di quelle collaterali legate ad una corretta gestione dell’operatività. Alla luce di quanto sopra, Cefriel promuove attivamente la sicurezza ICT in tutti gli aspetti tecnologici, procedurali e organizzativi finalizzati a portare e mantenere un adeguato livello di protezione, sia fisica che logica, secondo lo stato dell’arte della tecnologia e in modo compatibile con le caratteristiche e la direzione strategica perseguita.
Cefriel considera altresì la sicurezza delle informazioni un fattore irrinunciabile per la protezione del patrimonio informativo dei propri clienti e un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo. La gestione delle infrastrutture informatiche e tecnologiche, a supporto dei principali processi operativi della società, costituisce uno snodo cruciale, un elemento critico e strategico nell’interesse sia dell’azienda che dei clienti stessi.
Ambito di applicazione
La presente politica si applica a tutto il personale interno ed esterno, alle aziende partner, ai fornitori e a qualunque altra persona che, direttamente o indirettamente, entri in contatto con le informazioni, le strutture e/o gli edifici di Cefriel. A titolo esemplificativo, coloro che: operano su sistemi e asset di proprietà della società; entrano in possesso di informazioni relative all’organizzazione; entrano in locali o edifici di proprietà della società; si trovano a operare in aeree classificate o sensibili (e.g. aree CED, locali riservati, ecc.).
Obiettivi
Cefriel intende adottare le misure, sia tecniche che organizzative, necessarie a garantire al meglio l’integrità, la riservatezza e la disponibilità del patrimonio informativo a essa affidato dai propri clienti.
L’obiettivo è di garantire un adeguato livello di sicurezza dei dati e delle informazioni nell’ambito della progettazione, sviluppo ed erogazione dei servizi aziendali attraverso l’identificazione, la valutazione e il trattamento dei rischi ai quali i servizi stessi sono soggetti.
Il Sistema di Gestione per la Sicurezza delle Informazioni di Cefriel definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sottoelencati requisiti di sicurezza di base:
- Disponibilità, ovvero, garantire l’accesso alle informazioni e ai servizi di rete da parte degli utenti autorizzati nel momento in cui lo richiedono;
- Riservatezza, ovvero, garantire la prevenzione di accessi abusivi o non autorizzati alle informazioni, ai servizi e ai sistemi;
- Integrità, ovvero, garantire che le informazioni non siano state alterate da incidenti o abusi;
- Resilienza, ovvero la capacità di un sistema di adattarsi ai cambiamenti.
La mancanza di adeguati livelli di sicurezza può influire sulla reputazione aziendale, sul mancato rispetto di impegni contrattuali con il cliente e infine sulla violazione delle normative vigenti che possono generare ingenti danni di natura economica e finanziaria. La società identifica le esigenze di sicurezza tramite l’analisi dei rischi, che consente di acquisire consapevolezza circa il livello di esposizione a minacce del proprio sistema informativo, considerando altresì il rischio delle informazioni associato all’utilizzo dei servizi cloud. L’analisi del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare da un incidente dovuto alla mancata applicazione di misure di sicurezza, e quale sia la realistica eventualità del verificarsi dei rischi identificati. I risultati di questa valutazione determinano le azioni necessarie per mitigare i rischi individuati e le misure di sicurezza più idonee.
A tali fini vengono definiti i seguenti obiettivi di sicurezza:
- Garantire l’integrità, la confidenzialità e la disponibilità delle informazioni trattate;
- Monitorare i livelli di sicurezza presenti nell’organizzazione;
- Definire le regole comportamentali e i principi di utilizzo degli strumenti di lavoro;
- Discriminare l’accesso alle informazioni e ai servizi nel rispetto dei ruoli, delle competenze e responsabilità aziendali;
- Assicurare la conformità alle normative vigenti in materia di trattamento dei dati personali, i diritti della proprietà intellettuale, legge sulla criminalità informatica, sicurezza sul posto di lavoro, ecc., ispirandosi agli obiettivi strategici definiti dalla strategia nazionale di Cybersicurezza 2022-26, elaborata dall’Agenzia Nazionale per la Cybersicurezza;
- Garantire il monitoraggio e controllo delle attività svolte nel pieno rispetto dei principi di privacy e tutela delle informazioni personali;
- Delineare i principi di gestione degli incidenti e delle azioni di ripristino.
Il perseguimento degli obiettivi di sicurezza è conseguito attraverso la definizione, l’attuazione e l’aggiornamento periodico delle procedure e altri documenti afferenti alla tutela del patrimonio informativo aziendale.
Principi generali di sicurezza informatica
Al fine di garantire il raggiungimento degli obiettivi fissati, la società ha definito i seguenti principi generali di sicurezza da adottare nell’ambito di tutti i processi e delle attività svolte dal personale interno e dai propri stakeholders.
La società protegge, al massimo livello delle proprie capacità tecniche e delle risorse disponibili, il proprio patrimonio aziendale. La condizione necessaria per lo svolgimento di ogni attività è la tutela delle informazioni gestite mediante criteri, misure e controlli di sicurezza proporzionali ai rischi e al valore delle informazioni stesse. I controlli di sicurezza da realizzare a tutela delle risorse informatiche che costituiscono il proprio patrimonio sono conseguiti tramite:
- L’implementazione e il rispetto delle politiche e delle misure di sicurezza in tutti gli ambiti organizzativi, procedurali e tecnologici, compresi i servizi in cloud, in modo omogeneo rispetto agli obiettivi definiti;
- L’adeguata attribuzione di compiti e responsabilità all’interno della società per l’attuazione delle politiche;
- La verifica (nell’ambito dell’analisi del rischio informatico) del livello di efficacia delle misure realizzate;
- La partecipazione del personale necessario per l’istituzione, l’attuazione, il mantenimento e il miglioramento continuo dell’idoneità, adeguatezza ed efficacia del sistema integrato, con particolare attenzione non solo agli aspetti legati alla competenza, ma anche ad altri fattori quali l’affidabilità e la fiducia, in modo da favorire costantemente la crescita sia sul piano personale sia su quello professionale, per offrire un servizio sempre migliore.
I principi di base della politica di sicurezza implementata si riassumono in:
- Le autorizzazioni di accesso ai dati sono strettamente legate alle esigenze informative e alle esigenze operative per lo svolgimento dei compiti attinenti al proprio ruolo.
- Gli utenti sono abilitati soltanto per l’esercizio delle funzioni necessarie allo svolgimento delle loro mansioni.
- I dati e le informazioni non sono condivisi, comunicati o inviati a persone che non hanno la necessità di trattare quei dati per lo svolgimento delle proprie mansioni lavorative.
- I dati e le informazioni non sono comunicati all’esterno della società e comunque a soggetti terzi se non previa autorizzazione.
- Le attività che comportano rischi significativi per la società, ove le soluzioni tecniche lo consentono, sono organizzate in modo da prevedere il concorso di più soggetti, con responsabilità formalmente ripartite, al fine di evitare l’accentramento delle stesse su una singola risorsa, garantendo un adeguato sistema di controlli incrociati.
- La società implementa apposite misure atte a garantire una pronta, efficace e corretta risposta al concretizzarsi degli incidenti di sicurezza. In tal senso, la società attua, ove possibile, misure atte a mitigare i potenziali impatti degli incidenti e il ripristino della situazione iniziale in tempi brevi. La gestione degli incidenti prevede opportune procedure di escalation e di reporting in relazione alla gravità degli eventi occorsi. Al fine di garantire lo svolgimento dell’operatività in situazioni di crisi, la società ha definito e implementato il Piano di Continuità Operativa basato su un’appropriata identificazione dei processi critici, delle potenziali minacce che possono realizzarsi su di essi e delle contromisure da adottare.
La società ha identificato come aree di controllo tutti gli ambiti organizzativi, procedurali e tecnologici rilevanti per l’attuazione dei controlli di sicurezza che consentono il raggiungimento degli obiettivi di sicurezza.