Progetti e Soluzioni considera la sicurezza delle informazioni e la protezione dei dati personali, anche in cloud, un fattore irrinunciabile per la protezione del proprio patrimonio informativo e un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo nell’ambito dell’erogazione dei servizi offerti. Ritiene inoltre fondamentale mantenere la capacità di continuare ad esercitare il proprio business a fronte del verificarsi di eventi di gravità tale da compromettere la normale operatività dei propri processi critici, con l’obiettivo di garantire un livello di servizio minimo predefinito.
La Direzione di Progetti e Soluzioni ha quindi deciso di adottare un Sistema di Governo per la Sicurezza delle Informazioni e Continuità Operativa definito secondo regole e criteri previsti dalle “best practice” e dagli standard internazionali di riferimento: ISO/IEC 27001 mediante l’applicazione delle Linee guida ISO/IEC 27017 e ISO/IEC 27018 e ISO 22301. Tale Sistema si fonda sui principi dell’approccio al rischio e dell’integrazione con gli altri sistemi e modelli normativi adottati dall’organizzazione.
L’obiettivo strategico è di garantire un adeguato livello di sicurezza delle informazioni, di protezione dei dati personali e di continuità dei processi nell’ambito di Progettazione, sviluppo, assistenza tecnica, erogazione di servizi tramite piattaforme cloud e applicazioni SaaS per prenotazioni, registrazioni, transazioni economiche, in ambito pubblico e privato, con particolare riferimento al gateway di pagamento, alla ristorazione collettiva, ai servizi a domanda individuale, ai servizi sociali, ai servizi alla persona e ai tributi attraverso l’identificazione, la valutazione ed il trattamento dei rischi ai quali la progettazione stessa è soggetta.
A fronte dei rischi individuati e valutati, Progetti e Soluzioni definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del mantenimento della continuità e del soddisfacimento dei sottoelencati requisiti di sicurezza di base:
- Riservatezza, ovvero la proprietà dell’informazione di essere nota solo a chi ne ha i privilegi;
- Integrità, ovvero la proprietà dell’informazione di essere modificata solo ed esclusivamente da chi ne possiede i privilegi;
- Disponibilità, ovvero la proprietà dell’informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che ne godono i privilegi;
- Portabilità, ovvero l’informazione deve poter essere fornita al suo proprietario in formato leggibile e in tempi brevi, come previsto dal GDPR.
Progetti e Soluzioni verificherà periodicamente l’efficacia e l’efficienza del Sistema, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire di:
- definire il Sistema di Governo per la verifica dell’adeguatezza del Sistema Informativo aziendale, garantendo che la sicurezza e la continuità siano parte integrante del processo di progettazione ed erogazione dei servizi aziendali;
- adottare criteri e metodologie per l’analisi e la gestione del rischio;
- istituire le misure di sicurezza organizzative, procedurali e tecnologiche a tutela della continuità del servizio attraverso l’attuazione ed il mantenimento dei piani di continuità del business;
- pianificare un percorso formativo, specifico e periodico in materia di sicurezza, protezione dati e continuità operativa per il personale di Progetti e Soluzioni;
- promuovere la cultura relativa alla sicurezza delle informazioni e sviluppare programmi di sensibilizzazione per fornire un’adeguata formazione sulle modalità di gestione delle situazioni di crisi, creare consapevolezza aziendale, migliorare le competenze necessarie per sviluppare e mantenere il sistema di gestione della sicurezza e continuità;
- assicurare l’adozione ed il mantenimento di un processo per l’identificazione delle potenziali minacce per l’azienda e degli impatti che tali minacce, se concretizzate, poterebbero causare sul patrimonio informativo e sui servizi erogati, arrivando a definire un sistema in grado di migliorare la resilienza, la capacità di ripristino e di reazione di fronte ad una crisi;
- gestire gli incidenti di sicurezza e continuità e adottare le opportune contromisure;
- definire un processo di comunicazione cui attenersi al verificarsi di situazioni di crisi sia internamente che esternamente: verso i clienti, gli utenti finali, le autorità e gli organi di informazione;
- soddisfare le esigenze e le aspettative dei propri clienti e delle altre parti interessate, nonostante un evento imprevisto in corso;
- garantire la congruità dei singoli budget destinati a sicurezza e continuità coerentemente alle politiche e alle linee strategiche aziendali definite;
- definire gli obiettivi, le strutture organizzative e le responsabilità delle figure dedicate a presidio dell’implementazione e della gestione della sicurezza delle informazioni e continuità operativa dei processi di sicurezza e dei servizi critici;
- dotarsi di specifiche procedure in coerenza con i ruoli previsti nel modello organizzativo per la gestione degli eventi di crisi, garantendone l’aggiornamento ai cambiamenti di contesto;
- garantire la conformità ai requisiti legali cogenti applicabili.
Le linee guida, le procedure e le istruzioni operative di sicurezza e continuità sono dettagliate in uno specifico impianto documentale, e rese disponibili al personale Progetti e Soluzioni in funzione degli incarichi ricoperti.
A prescindere dal ruolo ricoperto, è compito di tutto il personale di Progetti e Soluzioni:
- conoscere i contenuti del presente documento e contribuire nell’attuazione delle direttive e degli obiettivi di sicurezza e continuità in esso indicati;
- applicare le linee guida, le procedure e le istruzioni operative di sicurezza di propria competenza;
- trattare correttamente le informazioni;
- segnalare la presenza di eventuali incidenti di sicurezza e continuità, di anomalie o di possibili minacce.
Progetti e Soluzioni consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività aziendali che devono avvenire nel rispetto delle regole e delle norme cogenti.
La politica ha l’approvazione e l’impegno della Direzione e la sua attuazione è responsabilità di tutto il personale i cui sforzi saranno coordinati dal Responsabile per la Sicurezza delle Informazioni e il Responsabile per la Continuità Operativa come rappresentanti di continuità per l’azienda.
La presente politica è comunicata alle parti interessate in un’ottica di trasparenza e collaborazione ed è disponibile al pubblico e a chiunque ne faccia richiesta.
Questa politica è oggetto di revisione annuale e in occasione di cambiamenti rilevanti.
