Dirimo Logistika | Security Policy
15182
page,page-id-15182,page-template-default,cookies-not-set,ajax_fade,page_not_loaded,,qode-theme-ver-7.7,wpb-js-composer js-comp-ver-4.7.4,vc_responsive

Security Policy

POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

 

0.  Introduzione

 

L’attuazione da parte di DIRIMO S.r.L. di un sistema di gestione della sicurezza delle informazioni (SGSI) è essenziale per garantire la sicurezza, la riservatezza, l’integrità e la protezione dei dati, delle informazioni e dei sistemi ITC.

 

1.  Scopo

Lo scopo di questa politica è quello di specificare i requisiti per l’uso corretto e sicuro delle strutture di elaborazione delle informazioni di DIRIMO S.r.L. con l’obiettivo di garantire la protezione delle informazioni e dei dati attraverso l’attuazione di un efficace SGSI (Information Security Management System – sistema di gestione della sicurezza delle informazioni) in conformità con lo standard ISO 27001 e di ottenere la certificazione di questo standard. La norma ISO 27001 copre tutti gli aspetti della sicurezza dei dati e delle informazioni.

 

2.  Campo di applicazione

Questa politica si estende a tutti i dipartimenti, dipendenti, appaltatori, fornitori e agenzie partner che utilizzano o sono responsabili per lo sviluppo, la gestione e la manutenzione delle informazioni all’interno degli impianti di elaborazione ITC di DIRIMO S.r.L.

 

3.  Dichiarazione politica

La manutenzione e la gestione degli impianti di elaborazione dati e informazioni ITC di DIRIMO S.r.L. richiede una politica completa e solida. Il processo standard del sistema di gestione della sicurezza delle informazioni (SGSI) ISO 27001 fornisce a DIRIMO S.r.L. un quadro e una metodologia che consentono un approccio mirato e strutturato per raggiungere questo obiettivo.

 

Tutte le politiche e le procedure delineate nella politica di sicurezza informatica di DIRIMO S.r.L. devono essere riferite e adottate da tutti i dipartimenti per stabilire e mantenere buone pratiche di lavoro professionali e procedure per la gestione di un SGSI efficace – vitale per contrastare le minacce alla disponibilità, integrità e riservatezza dei dati e delle informazioni di DIRIMO S.r.L..

 

Affinché DIRIMO S.r.l. possa raggiungere questo obiettivo, è necessario disporre di una serie di controlli:

 

Documentazione

 

Tutte le procedure operative e i processi di sistema di DIRIMO S.r.L. devono essere documentati.

 

Le procedure operative devono essere documentate con un livello di dettaglio appropriato per le persone e i reparti che le utilizzano e devono includere le seguenti aree:

 

  • Elaborazione e trattamento delle informazioni (classificazione delle informazioni, requisiti di riservatezza)
  • Procedure di backup e ripristino delle informazioni
  • Pianificazione del lavoro (considerando le interdipendenze, i tempi di completamento, ecc.)
  • Istruzioni e guida per la gestione degli errori
  • Dettagli per il contatto e la comunicazione in caso di problemi operativi imprevisti
  • Procedure di riavvio e ripristino del sistema in caso di guasto del sistema stesso
  • Procedure per tutte le funzioni di “pulizia” per dismissione dispositivi
  • Procedure per i controlli di affidabilità

 

Gestione del cambiamento

 

Le modifiche all’infrastruttura ICT possono essere effettuate solo da personale autorizzato che lavora in una funzione/capacità IT (o da appaltatori, fornitori ecc., autorizzati da DIRIMO S.r.L.) e sono soggette a procedure verificabili di gestione delle modifiche in conformità con le procedure di sviluppo e manutenzione dei sistemi informativi.

 

Le modifiche all’infrastruttura TIC e ai sistemi operativi di DIRIMO S.r.L. devono essere controllate mediante una procedura formale e documentata di controllo delle modifiche. La procedura di controllo delle modifiche deve includere riferimenti a:

 

  • Descrizione della modifica
  • Informazioni sulla fase di test
  • Valutazione d’impatto, compresa la sicurezza, l’operatività, ecc.
    • Processo di approvazione formale – approvazione e autorizzazione da parte della direzione aziendale prima di procedere a modifiche che possono avere un impatto significativo.
  • Comunicazione a tutte le persone interessate delle modifiche che includono:
    • Comunicazionepreventiva/avviso di modifiche
    • Descrizione dei risultati attesi forniti a tutto il personale interessato.
  • Procedure per l’interruzione e la regressione delle modifiche in caso di problemi
    • Processi per la pianificazione e la verifica delle modifiche, comprese le misure di ripiego (abort/recupero).
    • Documentazione delle modifiche apportate.
    • Individuazione delle modifiche significative e delle pertinenti valutazioni dei rischi, compresa l’analisi di qualsiasi impatto potenziale e delle contromisure o dei controlli necessari per attenuarne gli effetti.

 

Tutte le modifiche all’infrastruttura TIC devono essere valutate per quanto riguarda l’impatto sulla sicurezza dei dati e delle informazioni nell’ambito delle valutazioni standard dei rischi.

 

Separazione degli strumenti di sviluppo, di prova e operativi

 

Gli ambienti di sviluppo e di test devono essere separati dagli ambienti operativi in tensione per ridurre il rischio di modifiche accidentali, incompatibilità di configurazione/dati e accessi non autorizzati. Lo sviluppo e gli ambienti vivi devono essere separati mediante i controlli più appropriati:

 

  • Funzionamento su computer/sistemi separati
  • Esecuzione su ambienti diversi
  • Utilizzo di username e password test/temporanei

 

Ove possibile, occorre mantenere la separazione delle funzioni per garantire che nessuno possa ottenere livelli inaccettabilmente elevati di accesso ai sistemi ITC e agli impianti di trattamento delle informazioni della DIRIMO S.r.L..

 

Gestione Capacità

 

Il dipartimento IT deve monitorare le richieste di capacità dei sistemi di DIRIMO S.r.L. ed effettuare proiezioni dei futuri requisiti di capacità in modo da poter soddisfare i requisiti adeguati di alimentazione e memorizzazione dei dati.

 

L’utilizzo delle principali risorse del sistema deve essere monitorato in modo da poter allineare le capacità supplementari in caso di necessità.

 

Questi includono:

 

  • File server di memorizzazione
  • Dispositivi e apparecchiature per l’infrastruttura di dominio/di rete
  • Server e-mail/web
  • Stampanti

 

È inoltre necessario monitorare l’aumento delle attività commerciali e del personale di DIRIMO S.r.L. per poter disporre di strutture supplementari che potrebbero essere necessarie, ad esempio il numero di postazioni di lavoro disponibili, ecc.

 

Accettazione del sistema

 

Tutti i reparti sono tenuti ad informare la Direzione IT, tramite mail o contatto diretto, di eventuali nuovi requisiti software o di eventuali aggiornamenti, service pack, patch o correzioni richieste.

Prima di essere accettati e rilasciati, i nuovi sistemi TIC, gli aggiornamenti dei prodotti, le patch e le correzioni devono essere sottoposti a test di livello adeguato. I criteri di accettazione devono essere chiaramente identificati, concordati e documentati e devono comportare adeguati livelli di autorizzazione.

 

Il software deve essere monitorato per verificare la presenza di service pack, aggiornamenti e patch che devono essere testati e applicati il prima possibile al momento del rilascio e dopo l’approvazione dell’IT. I grandi aggiornamenti del sistema devono essere sottoposti a prove approfondite in parallelo con il sistema esistente, in un ambiente di prova sicuro che duplichi il sistema operativo in funzione.

 

Tutti i service pack, le patch e le correzioni basati sulla sicurezza forniti da fornitori di software di terze parti devono essere applicati non appena disponibili.

 

Tutti i server di sistema ICT di DIRIMO S.r.L. devono essere dotati di patch di sicurezza critici non appena disponibili. Tutte le altre patch e gli aggiornamenti devono essere applicati come opportuno. Il registro del sistema operativo (Event Viewer Windows) mostrerà in modo completo quali patch sono state applicate e quando. Ulteriori informazioni sono disponibili in IS21 Server Security Policy.

 

Protezione da codici dannosi e mobili

 

La sicurezza e l’integrità delle informazioni e dei dati di DIRIMO S.r.L., incluse tutte le applicazioni software, devono essere protette dal software dannoso (malware). Per garantire la protezione di DIRIMO S.r.L. è necessario mettere in atto controlli adeguati e procedure di sensibilizzazione degli utenti.

 

Controlli contro i codici dannosi

 

Il software Antimalware/Antivirus deve essere installato e mantenuto su tutte le workstation e i server e su qualsiasi altro dispositivo informatico che utilizzi un software per funzionare e che possa essere sottoposto a scansione da parte del software Antimalware/Antivirus. Il software deve provenire da un fornitore affermato con risultati coerenti nel riconoscimento e nella rimozione di tutti i tipi di malware. Tutti gli aggiornamenti devono essere installati non appena disponibili. È necessario effettuare una revisione periodica di tutti i sistemi critici per l’azienda per identificare tutti i software in esecuzione sui sistemi. Qualsiasi file o software non autorizzato deve essere esaminato formalmente e, se necessario, cancellato.

Per proteggere i sistemi da malware, gli utenti non devono:

 

  • Installare il software da qualsiasi fonte esterna, tra cui Internet, CD/DVD-ROM, chiavette USB, ecc. sulla propria workstation.
  • Aggiungere alla workstation i propri salvaschermi, immagini desktop, foto o utility.

 

Tutti i software devono essere approvati dal reparto IT. Il software deve anche essere controllato per garantire la conformità con la licenza e altri requisiti legali.

 

Malware e virus possono essere introdotti tramite e-mail e gli utenti devono essere vigili e seguire le linee guida di DIRIMO S.r.L. sul trattamento di e-mail e allegati sospetti. In caso di dubbi sulla sicurezza di particolari e-mail o allegati, contattare il reparto IT.

 

DIRIMO S.r.L. deve assicurarsi che tutte le e-mail e gli allegati vengano controllati al momento dell’ingresso nella rete per verificare l’assenza di malware e virus.

 

Ulteriori informazioni sono disponibili in DIRIMO S.r.l. in IS36 Malicious Software and AntiVirus Procedure e in Internet e in IS12 Internet and Email Acceptable Use Policy.

 

Controlli rispetto al codice mobile

 

Il codice mobile si trova spesso nelle pagine web, tra cui:
 

  • ActiveX
  • Java
  • JavaScript
  • VBScript
  • Macro in MS Word e MS Excel

 

Alcuni siti web si basano sull’uso di questi script che vengono eseguiti automaticamente o tramite l’interazione dell’utente con il sito. DIRIMO S.r.L. deve proteggere i propri utenti e computer per quanto ragionevolmente possibile, assicurando che, laddove possibile, gli utenti siano avvertiti dello script da eseguire e bloccando le connessioni e/o gli script a siti Web noti come “cattivi” o dannosi.

 

Occorre impedire che il codice di telefonia mobile entri nella rete, ad eccezione dei siti web di cui è stato approvato l’uso dopo che è stato valutato il rischio del sito. Devono essere in atto controlli per la protezione di tutti i computer di DIRIMO S.r.L. dall’uso nocivo e indesiderato di codice mobile.

 

Supporti

 

DIRIMO S.r.L. deve garantire che vengano eseguiti regolarmente backup di informazioni, dati e configurazioni di sistemi ICT per garantire che DIRIMO S.r.l. possa riprendersi da eventi imprevisti, guasti di sistema, perdita accidentale o deliberata di informazioni o strutture – in linea con le Procedure di Disaster Recovery delineate in IS29 ICT Business Continuity Plan.

 

Tutte le routine di backup devono essere completamente documentate come descritto in IS10 Information Backup and Restore Policy.

 

Per garantire il backup di tutte le informazioni e dei dati, tutti i dipendenti devono memorizzare il proprio lavoro nelle aree dell’unità di rete fornite dal reparto IT e non solo memorizzate ‘localmente’ sulle unità del computer, ad esempio l’unità C. Tutti gli utenti di dispositivi portatili come laptop, palmari, smartphone e chiavette USB devono assicurarsi che i dati sensibili non vengano memorizzati in chiaro nei loro dispositivi ma devono essere criptati.

 

Tutte le terze parti/fornitori di software che ospitano o forniscono servizi/strutture che contengono o gestiscono informazioni e dati di DIRIMO S.r.L. devono garantire procedure di backup sicure e appropriate e facilitare l’accesso ai requisiti di audit interno di DIRIMO S.r.l. quando necessario.

 

Oltre alla copia nel sito principale, la documentazione di backup completa, inclusa una registrazione completa di ciò che è stato sottoposto a backup insieme alla procedura di ripristino, deve essere conservata in una posizione diversa da quella del sito. L’ubicazione esterna al sito deve essere sufficientemente lontana per evitare di essere colpita da una catastrofe che possa verificarsi nel sito principale.

 

I file cartacei critici devono essere identificati e sottoposti a backup con una copia digitale scansionata o con fotocopie complete archiviate in una posizione remota.

 

 

 

 

 

Ripristini

 

Deve essere creata e conservata una documentazione completa della procedura di recupero. Per garantire l’affidabilità dei supporti di backup e del processo di ripristino, è necessario eseguire e testare regolarmente il ripristino delle informazioni dai supporti di backup.

 

I periodi di conservazione per le informazioni e i dati devono essere definiti e applicati alla pianificazione dei backup. Ove necessario, è necessario individuare e applicare soluzioni di backup e ripristino a lungo termine.

 

Per ulteriori informazioni, vedere il criterio Backup e ripristino delle informazioni IS10.

 

Manipolazione dei supporti

 

I supporti rimovibili, quali chiavi USB, CD/DVD, nastri magnetici, dischi rigidi esterni, ecc. devono essere protetti contro danni, furti o accessi non autorizzati.

I supporti di backup devono essere conservati in un ambiente sicuro, ad esempio una cassaforte ignifuga in una stanza o in un’area chiudibile a chiave. Devono essere adottate misure adeguate per garantire la futura disponibilità dei dati necessari oltre la durata di vita dei supporti di backup.

 

Per ulteriori informazioni, vedere la Politica aziendale sulla conservazione dei documenti digitali IS05.

 

I supporti trasportati devono essere protetti dall’accesso non autorizzato, dall’uso improprio o dalla corruzione. Qualora siano richiesti corrieri, occorre compilare un elenco di corrieri affidabili e di fiducia. Se del caso, si dovrebbero utilizzare anche controlli fisici, ad esempio la cifratura o speciali contenitori chiusi a chiave per il trasferimento sicuro delle informazioni.

 

Smaltimento dei supporti

 

I supporti non più necessari devono essere smaltiti in modo sicuro. I supporti contenenti informazioni sensibili o identificabili devono essere smaltiti in modo appropriato in conformità alla politica di smaltimento dei dispositivi fisici e a tutte le procedure di smaltimento esistenti di Dirimo S.r.L..

 

Maggiori informazioni sono disponibili in IS27 Smaltimento delle apparecchiature TIC.

 

Gli elementi che dovrebbero essere presi in considerazione per lo smaltimento sicuro includono:

 

  • Documenti cartacei
  • Laptop \ Server
  • NAS
  • Dischi rimovibili
  • USB Memory Stick
  • CD-ROM CD/DVD

 

Tutti i supporti per lo smaltimento devono essere completamente cancellati con metodi che neghino la possibilità di recupero e ricostruzione dei dati da dispositivi o supporti.

 

Per lo smaltimento sicuro dei supporti e degli apparecchi TIC è necessario rivolgersi al reparto IT.

 

 

 

Sicurezza della documentazione del sistema

 

Tutta la documentazione del sistema ICT deve essere protetta da accessi non autorizzati. È inclusa la documentazione creata dal reparto IT o da altri dipendenti IT del reparto (non sono inclusi i manuali forniti con il software). Esempi della documentazione da proteggere sono le descrizioni:

 

  • Applicazioni
  • Processi
  • Procedure operative
  • Strutture dati (database)
  • Materiale formativo

 

Politiche e procedure per il trasferimento delle informazioni

 

Processi e procedure e devono essere implementati per proteggere il trasferimento delle informazioni attraverso tutti i metodi e formati disponibili, ad esempio e-mail, lettera e fax, ecc.

Le procedure devono essere concepite in modo da proteggere le informazioni scambiate:

 

  • Intercettazione
  • Copia
  • Movimentazione
  • Itinerari alternativi
  • Distruzione

 

Le informazioni e i dati devono essere protetti con controlli adeguati basati sulla classificazione delle informazioni, ad esempio Riservato / Controllato.

 

Gli accordi formali per il trasferimento di informazioni tra la Dirimo S.r.L. e le organizzazioni esterne devono essere conclusi e rivisti periodicamente.

 

Registrazione eventi

 

I registri dei controlli del sistema ICT devono essere conservati per un minimo di sei mesi e devono registrare le eccezioni e altri eventi relativi alla sicurezza. I registri di controllo devono contenere almeno le seguenti informazioni:

 

  • Identità del sistema (IP o nome della stazione di lavoro)
  • ID utente (username)
  • Accesso al dominio
  • Accesso alle applicazioni (sistemi aziendali)
  • Modifica dei dati del sistema

 

L’accesso ai registri deve essere protetto da accessi non autorizzati che possano comportare la modifica o la cancellazione di informazioni registrate. Agli amministratori di sistema deve essere impedito di cancellare o disattivare i registri della propria attività. L’accesso ai registri dovrebbe essere consentito per i requisiti di audit interno di DIRIMO S.r.L., ove necessario.

 

Il personale operativo e gli amministratori di sistema devono tenere un registro delle loro attività. I registri dovrebbero includere:

 

  • Tempi di backup e dettagli degli oggetti archiviati
  • Tempi di inizio e fine dell’evento di sistema e chi ne è stato coinvolto
  • Errori di sistema (quali, data, ora) e azioni correttive intraprese

 

I registri devono essere controllati regolarmente per garantire che vengano seguite le procedure corrette.

 

Gestione della sicurezza di rete

 

La gestione e la sicurezza dei dati e delle reti di comunicazione è fondamentale per garantire l’integrità e la sicurezza dei sistemi e dei dati di DIRIMO S.r.L.. Devono essere applicati i seguenti controlli:

 

  • La responsabilità operativa delle reti dovrebbe, ove possibile, essere separata dalle attività di gestione informatica.
  • devono essere chiare le responsabilità e le procedure per la gestione delle apparecchiature e degli utenti remoti
  • Se del caso, devono essere istituiti controlli per proteggere i dati che transitano sulla rete, ad esempio la cifratura.

 

L’architettura di rete deve essere documentata e memorizzata con le impostazioni di configurazione di tutti i componenti hardware e software che compongono la rete.

 

Le reti senza filo devono effettuare controlli per proteggere i dati che passano sulla rete e impedire l’accesso non autorizzato. La crittografia deve essere utilizzata sulla rete per proteggere le informazioni e i dati e per impedire l’intercettazione delle informazioni.

 

4.  Violazioni della Politica

 

Le violazioni della presente politica e/o gli incidenti di sicurezza possono essere definiti come eventi che potrebbero avere, o hanno avuto come conseguenza, perdite o danni alle attività di DIRIMO S.r.L., o come eventi che violano le procedure e le politiche di sicurezza di DIRIMO S.r.L.

 

Tutti i dipendenti di DIRIMO S.r.L., le agenzie partner, i contraenti e i fornitori hanno la responsabilità di segnalare incidenti di sicurezza e violazioni di questa politica il più presto possibile attraverso la Procedura di segnalazione degli incidenti di DIRIMO S.r.L.. Tale obbligo si estende anche a qualsiasi organizzazione esterna incaricata di supportare o accedere ai sistemi informativi di DIRIMO S.r.L.

 

L’azienda adotterà misure appropriate per porre rimedio a qualsiasi violazione della politica e delle relative procedure e linee guida attraverso i relativi quadri normativi in vigore. Nel caso di una persona, la questione può essere trattata nell’ambito del procedimento disciplinare.

 

 

Aggiornamento Marzo 2022