ISO 27001
Politica sulla sicurezza delle informazioni
Nome della società: | Trovsolving S.R.L. |
Data di entrata in vigore: | 05/09/2024 |
Storia della versione
Versione | Data | Descrizione | Autore | Approvato da |
1.0 | 05/09/2024 | Prima versione | Giuseppe Trovato | Anna Maria Trovato Picardi |
Scopo
Questa politica di sicurezza delle informazioni ha lo scopo di proteggere i dipendenti, i partner e l’azienda Trovsolving S.R.L. da azioni illegali o dannose da parte di singoli individui, consapevolmente o inconsapevolmente.
I sistemi relativi a Internet/ Intranet/ Extranet, inclusi ma non limitati a apparecchiature informatiche, software, sistemi operativi, supporti di memorizzazione, account di rete che forniscono posta elettronica, navigazione Web e trasferimenti di file, sono di proprietà dell’azienda. Questi sistemi devono essere utilizzati per scopi aziendali al servizio degli interessi dell’azienda e dei nostri clienti e clienti nel corso delle normali operazioni.
Una sicurezza efficace è un lavoro di squadra che prevede la partecipazione e il sostegno di tutti i dipendenti o collaboratori dell’azienda che si occupano di informazioni e/o sistemi informativi. È responsabilità di ogni membro del team leggere e comprendere questa procedura e condurre le proprie attività di conseguenza.
Segnalazione di incidenti di sicurezza 3
Attività di posta elettronica e comunicazione 7
Segnalazione di incidenti di sicurezza
Tutti i dipendenti sono tenuti a segnalare eventi o incidenti di sicurezza noti o sospetti, comprese le violazioni delle policy ed eventuali vulnerabilità di sicurezza osservate. Gli incidenti devono essere segnalati immediatamente o al più presto possibile a direzione@trovsolvingsrl.eu nella quale si prega di descrivere l’incidente o l’osservazione insieme a tutti i dettagli rilevanti.
Segnalazione di frodi
Le politiche sulla sicurezza delle informazioni hanno lo scopo di incoraggiare e consentire ai dipendenti e ad altri, di sollevare internamente eventuali preoccupazioni in modo da poter affrontare e correggere comportamenti/ azioni inappropriate. È responsabilità di tutte le parti interessate nella presente politica, segnalare dubbi circa violazioni del codice etico dell’azienda o sospette violazioni delle leggi/ regolamenti a cui l’azienda deve sottostare.
È contrario ai nostri valori chiunque effettui ritorsioni contro un dipendente o chi, in buona fede, segnali una violazione dell’etica o una sospetta violazione della legge, o sospetta frode o sospetta violazione di qualsiasi regolamento. Un dipendente che effettua ritorsioni contro qualcuno che ha segnalato una violazione in buona fede è soggetto a sanzioni disciplinari, fino al possibile licenziamento.
Dispositivi mobili
Tutti i dispositivi dei dipendenti (ad esempio telefoni cellulari, tablet, laptop) devono essere conformi a questa politica. I dipendenti devono prestare la massima attenzione quando aprono allegati di posta elettronica ricevuti da mittenti sconosciuti, che potrebbero contenere malware.
Le password a livello di sistema e a livello utente devono essere conformi alla Politica di controllo degli accessi. È vietato fornire l’accesso ad un esterno sconosciuto, deliberatamente o attraverso la mancata messa in sicurezza di un dispositivo.
Tutti i dispositivi dell’utente finale, personali (BYOD) o di proprietà dell’azienda utilizzati per l’accesso ai sistemi informativi (ad esempio la posta elettronica) dell’azienda devono rispettare le seguenti regole e requisiti:
- I dispositivi devono essere bloccati con uno screen saver protetto da password (o un controllo equivalente come quello biometrico) o con un blocco dello schermo successivo 5 minuti di non utilizzo come da evidenza
- I dispositivi devono essere chiusi a chiave ogni volta che vengono lasciati incustoditi
- Gli utenti devono segnalare immediatamente qualsiasi sospetto uso improprio o furto di un dispositivo mobile al Operations Manager & Founder
- Le informazioni riservate non devono essere archiviate su dispositivi mobili o unità USB (questo non si applica alle informazioni di contatto aziendali, ad esempio nomi, numeri di telefono e indirizzi e-mail)
- Qualsiasi dispositivo mobile, utilizzato per accedere alle risorse aziendali (come condivisioni di file ed e-mail), non deve essere condiviso con nessun’altra persona
- Al momento della risoluzione del contratto, gli utenti accettano di restituire tutti i dispositivi di proprietà dell’azienda e di eliminare tutte le informazioni e gli account aziendali da qualsiasi dispositivo personale
Blocco schermo
I dipendenti non dovranno lasciare materiali riservati non protetti sulla propria scrivania o spazio di lavoro e si assicureranno che gli schermi siano bloccati quando non vengono utilizzati.
Lavoro e accesso da remoto
Il lavoro a distanza si riferisce a qualsiasi situazione in cui il personale organizzativo opera da luoghi esterni all’ufficio. Ciò include il telelavoro, il luogo di lavoro flessibile, gli ambienti di lavoro virtuali e la manutenzione remota. Laptop e altre risorse informatiche utilizzate per accedere alla rete aziendale devono essere conformi ai requisiti di sicurezza definiti nella Politica sulla sicurezza delle informazioni e aderire ai seguenti standard:
- È necessario seguire le regole aziendali durante il lavoro in remoto, inclusi protocolli di scrivania pulita, stampa, smaltimento di risorse e segnalazione di eventi di sicurezza delle informazioni per prevenire la gestione impropria o l’esposizione accidentale di informazioni sensibili.
- Per garantire che i dispositivi mobili non contengano virus che potrebbero compromettere la rete aziendale, si richiede l’installazione di software antivirus lato dipendente.
- Il software antivirus deve essere configurato per rilevare e prevenire o mettere in quarantena software dannoso, eseguire scansioni periodiche del sistema e abilitare gli aggiornamenti automatici.
- Quando il dipendente si collega da una rete domestica, si deve assicurare che le impostazioni del Wi-Fi predefinite siano modificate, come nome, password e accesso amministratore.
- I dipendenti non devono connettersi a nessuna rete esterna senza un firewall software sicuro e aggiornato configurato sul computer portatile.
- Ai dipendenti è vietato modificare o disattivare eventuali controlli di sicurezza organizzativi quali firewall personali, software antivirus sui sistemi utilizzati per accedere alle risorse aziendali.
- L’uso di software e/o servizi di accesso remoto (ad esempio, client VPN) è consentito purché fornito dall’azienda e configurato per l’autenticazione a più fattori (MFA).
- Le tecnologie di accesso remoto non autorizzate non possono essere utilizzate o installate su alcun sistema aziendale.
- I dipendenti devono utilizzare una VPN quando si trasmettono informazioni riservate sul Wi-Fi pubblico.
Utilizzo accettabile
Informazioni proprietarie e dei clienti archiviate su dispositivi elettronici e informatici, di proprietà o noleggiati dall’organizzazione, del dipendente o di un terzo, rimangono di proprietà esclusiva dell’azienda. I dipendenti e i collaboratori esterni devono garantire, attraverso mezzi legali o tecnici, che le informazioni proprietarie siano protette in conformità con la procedura di Politica di gestione dei dati.
Il dipendente ha la responsabilità di segnalare tempestivamente il furto, lo smarrimento o la divulgazione non autorizzata di informazioni o apparecchiature proprietarie dell’azienda. È possibile accedere, utilizzare o condividere informazioni proprietarie dell’azienda solo nella misura in cui è autorizzato e necessario per adempiere alle mansioni lavorative assegnate. I dipendenti sono tenuti ad esercitare il buon senso riguardo alla ragionevolezza dell’uso personale dei dispositivi forniti dall’azienda.
Per scopi di sicurezza e manutenzione della rete, le persone autorizzate all’interno dell’azienda possono monitorare apparecchiature, sistemi e traffico di rete in qualsiasi momento. L’azienda si riserva il diritto di verificare periodicamente reti e sistemi per garantire il rispetto di questa procedura.
Utilizzo non accettabile
Le seguenti attività sono, in generale, vietate. I dipendenti possono essere esentati da queste restrizioni durante lo svolgimento delle loro legittime responsabilità lavorative, previa approvazione del Top management adeguatamente documentata. In nessun caso un dipendente dell’organizzazione è autorizzato a impegnarsi in qualsiasi attività illegale ai sensi della legge locale, statale, o internazionale durante l’utilizzo di risorse di proprietà dell’azienda o mentre rappresentano l’azienda a qualsiasi titolo. L’elenco seguente non è esaustivo, ma tenta di fornire un quadro per le attività che rientrano nella categoria di uso inaccettabile.
Sono severamente vietate, senza eccezioni, le seguenti attività:
- Violazioni dei diritti di qualsiasi persona o azienda protetta da copyright, segreto commerciale, brevetto o altra proprietà intellettuale, o leggi o regolamenti simili, inclusa, ma non limitata a, l’installazione o la distribuzione di prodotti software “pirata” o altri prodotti software che siano non adeguatamente concesso in licenza per l’uso da parte dell’organizzazione.
- Copia non autorizzata di materiale protetto da copyright inclusa, ma non limitata a, digitalizzazione e distribuzione di fotografie da riviste, libri o altre fonti protette da copyright, musica protetta da copyright e installazione di qualsiasi software protetto da copyright per il quale l’organizzazione oppure il dipendente non ha una licenza attiva.
- Accedere a dati, a un server o a un account per scopi diversi dalla conduzione dell’attività commerciale dell’organizzazione, anche se si dispone dell’accesso autorizzato.
- L’esportazione di software, informazioni tecniche, software di crittografia o tecnologia in violazione delle leggi internazionali o regionali sul controllo delle esportazioni è illegale. La gestione adeguata deve essere consultata prima dell’esportazione di qualsiasi materiale in questione.
- Introduzione di programmi dannosi nella rete o nei sistemi (ad es. virus, worm, trojan, email bomb, ecc.).
- Rivelare la password del proprio account ad altri o consentire l’uso a terzi. Ciò include la famiglia e altri membri della famiglia quando il lavoro viene svolto a casa.
- Usare una risorsa informatica dell’organizzazione per impegnarsi attivamente nella fornitura o nella trasmissione di materiale che violi le molestie sessuali o le leggi ostili sul posto di lavoro.
- Fare offerte fraudolente di prodotti, articoli o servizi provenienti da qualsiasi account dell’organizzazione.
- Fare dichiarazioni sulla garanzia, esplicita o implicita, a meno che non facciano parte delle normali mansioni lavorative.
- Effettuare violazioni della sicurezza o interruzioni della comunicazione di rete. Le violazioni della sicurezza includono, ma non sono limitate a, l’accesso a dati di cui il dipendente non è il destinatario previsto o l’accesso a un server o account a cui il dipendente non è espressamente autorizzato ad accedere. Ai fini di questa sezione, “interruzione” include, ma non è limitato a, sniffing di rete, ping flood, spoofing di pacchetti, negazione del servizio e informazioni di routing contraffatte per scopi dannosi
- La scansione delle porte o la scansione di sicurezza è espressamente vietata senza previa notifica all’azienda.
- Esecuzione di qualsiasi forma di monitoraggio della rete che intercetti dati non destinati all’host del dipendente, a meno che questa attività non rientri nel normale lavoro/dovere del dipendente.
- Eludere l’autenticazione dell’utente o la sicurezza di qualsiasi host, rete o account.
- Introduzione di honeypot, honeynet o tecnologie simili sulla rete.
- Interferire o negare il servizio a qualsiasi utente diverso dall’host del dipendente (ad esempio, attacco di negazione del servizio).
- Utilizzo di programmi/ script/ comandi o invio di messaggi di qualsiasi tipo con l’intento di interferire o disabilitare la sessione di un utente con qualsiasi mezzo.
- Fornire informazioni o elenchi di: dipendenti, appaltatori, partner o clienti a soggetti esterni all’organizzazione senza autorizzazione.
Attività di posta elettronica e comunicazione
Quando utilizzano le risorse aziendali per accedere e utilizzare Internet, i dipendenti devono rendersi conto di rappresentare l’azienda e agire di conseguenza.
Sono severamente vietate, senza eccezioni, le seguenti attività:
- Invio di messaggi e-mail non richiesti, incluso l’invio di “posta indesiderata” o altro materiale pubblicitario a soggetti che non hanno richiesto espressamente tale materiale (e-mail spam).
- Qualsiasi forma di molestia via e-mail, telefono o SMS
- Uso non autorizzato o falsificazione delle informazioni dell’intestazione dell’e-mail
- Sollecitazione di posta elettronica per qualsiasi altro indirizzo di posta elettronica, diverso da quello dell’account dell’autore con l’intento di molestare o raccogliere risposte.
- Creazione o inoltro di “catene di sant’antonio”, “ponzi” o altri schemi “piramidali” di qualsiasi tipo.
- Utilizzo di e-mail non richieste provenienti dall’interno di reti o altri fornitori di servizi per conto di, o per pubblicizzare, qualsiasi servizio ospitato dell’organizzazione connesso tramite la rete dell’azienda.
Politiche e procedure aggiuntive incorporate per riferimento
Il personale è responsabile della lettura e del rispetto di tutte le politiche relative ai propri ruoli e responsabilità elencate sul documento aziendale.
Politica | Scopo |
Politica dei ruoli e responsabilità in materia di sicurezza delle informazioni | Questa politica stabilisce e comunica i ruoli e le responsabilità all’interno dell’azienda. I ruoli sono necessari all’interno dell’organizzazione per fornire responsabilità chiaramente definite e una comprensione delle modalità di protezione delle informazioni. Il loro scopo è quello di chiarire, coordinare le attività e le azioni necessarie per diffondere la politica, gli standard e l’implementazione della sicurezza delle informazioni. |
Politica di gestione del rischio della sicurezza delle informazioni | La seguente politica ha lo scopo di definire le azioni per affrontare i rischi di sicurezza delle informazioni e definire un piano per il raggiungimento degli obiettivi di sicurezza delle informazioni e della privacy. |
Politica di gestione patrimoniale | Identificare le risorse organizzative e definire adeguate responsabilità di protezione. |
Politica di sicurezza fisica | Scopo della presente politica è quello di prevenire l’accesso fisico non autorizzato o danni alle strutture di elaborazione delle informazioni e delle informazioni dell’azienda. |
Politica delle risorse umane sulla sicurezza delle informazioni | Scopo della presente politica è quello di garantire che i dipendenti e gli appaltatori soddisfino i requisiti di sicurezza, comprendano le loro responsabilità e siano adatti ai loro ruoli. |
Politica di sicurezza delle informazioni per gli ex dipendenti | Questa politica è stata redatta per garantire la sicurezza delle informazioni e la protezione dei beni aziendali dopo la cessazione del rapporto di lavoro di un dipendente. Gli ex dipendenti sono tenuti a seguire le indicazioni riportate in questo documento. |
Politica di gestione dei dati | Scopo della presente politica è quello di garantire che le informazioni siano classificate, protette, conservate e smaltite in modo sicuro in base alla loro importanza. |
Politica di sicurezza operativa | Garantire il funzionamento corretto e sicuro dei sistemi e delle strutture di elaborazione delle informazioni. |
Politica di controllo degli accessi | Limitare l’accesso alle informazioni e ai sistemi, alle reti e alle strutture di elaborazione delle informazioni alle parti autorizzate in conformità con gli obiettivi aziendali. |
Politica di crittografia | Garantire un uso corretto ed efficace della crittografia per proteggere la riservatezza, l’autenticità e/o l’integrità delle informazioni. |
Politica di sviluppo sicuro | Garantire che la sicurezza delle informazioni sia progettata e implementata all’interno del ciclo di vita dello sviluppo di applicazioni e sistemi informativi. |
Politica di gestione delle terze parti | Per garantire la protezione dei dati e delle risorse dell’organizzazione condivisi con, accessibili o gestiti dai fornitori, comprese parti esterne o organizzazioni di terze parti come fornitori di servizi, venditori e clienti, e per mantenere un livello concordato di sicurezza delle informazioni e fornitura di servizi in linea con gli accordi con i fornitori. |
Conformità alle politiche
L’organizzazione misurerà e verificherà la conformità a questa procedura attraverso vari metodi, incluso ma non limitato al monitoraggio continuo e agli audit interni ed esterni.
Eccezioni
Le richieste di eccezione a questa procedura devono essere presentate al Operations Manager & Founder per l’approvazione.
Violazioni e applicazione
Qualsiasi violazione nota di questa procedura deve essere segnalata al Operations Manager & Founder. Le violazioni di questa procedura possono comportare il ritiro o la sospensione immediata dei privilegi del sistema e della rete e/o azioni disciplinari in conformità con le procedure aziendali fino al licenziamento.