Obiettivi di sicurezza delle informazioni
MBLI S.A.S. si impegna a proteggere i propri asset informativi per garantire la continuità operativa, la conformità normativa e la fiducia dei clienti e delle parti interessate. La presente politica stabilisce gli obiettivi strategici che guidano il Sistema di Gestione della Sicurezza delle Informazioni (SGSI), in accordo con lo standard ISO/IEC 27001.
Gli obiettivi primari per la sicurezza delle informazioni sono:
- Riservatezza: Assicurare che le informazioni siano accessibili esclusivamente al personale autorizzato, proteggendole da divulgazioni indebite.
- Integrità: Salvaguardare l’accuratezza e la completezza delle informazioni e dei metodi di elaborazione, prevenendo modifiche non autorizzate.
- Disponibilità: Garantire che il personale autorizzato abbia accesso alle informazioni e alle risorse associate quando necessario per lo svolgimento delle attività lavorative.
Per raggiungere tali obiettivi, MBLI S.A.S. persegue i seguenti scopi strategici:
- Implementare e mantenere un SGSI conforme alla norma ISO/IEC 27001, basato su un approccio sistematico di gestione del rischio.
- Assicurare la conformità con tutti i requisiti legali, normativi e contrattuali applicabili, inclusi quelli relativi alla protezione dei dati personali (GDPR) e alla sicurezza delle reti e dei sistemi informativi (NIS2).
- Promuovere una cultura della sicurezza in tutta l’organizzazione, attraverso la formazione e la sensibilizzazione continua di tutto il personale sull’importanza della protezione delle informazioni.
- Stabilire e mantenere controlli di sicurezza adeguati a proteggere gli asset informativi da minacce interne ed esterne, intenzionali o accidentali.
- Garantire che gli incidenti di sicurezza delle informazioni siano gestiti in modo efficace e tempestivo per minimizzarne l’impatto.
Il Top Management, in collaborazione con il Responsabile del sistema di gestione integrato (RSGI), ha la responsabilità di definire, riesaminare e aggiornare periodicamente gli obiettivi di sicurezza, assicurando che siano misurabili e coerenti con il contesto e gli indirizzi strategici aziendali, come dettagliato nella procedura “PRO Obiettivi e pianificazione per il loro raggiungimento”.
Principi fondamentali di sicurezza delle informazioni
Gestione e Diffusione delle Politiche
Tutte le politiche relative alla sicurezza delle informazioni, inclusa la presente, devono essere definite, approvate, pubblicate e comunicate a tutto il personale e alle parti interessate rilevanti.
Il Responsabile del sistema di gestione integrato (RSGI) ha il compito di sviluppare e mantenere aggiornato il corpo documentale del SGSI. Il Top Management è responsabile dell’approvazione formale di tutte le politiche di sicurezza.
Le politiche devono essere riesaminate a intervalli pianificati, e comunque ogni qualvolta si verifichino cambiamenti significativi nell’organizzazione, nel contesto di riferimento o a seguito di incidenti, per garantirne la continua idoneità, adeguatezza ed efficacia. La gestione del ciclo di vita della documentazione è normata dalla “PRO Procedura di gestione delle informazioni documentate”.
Uso Accettabile delle Risorse
Tutto il personale è tenuto a utilizzare le informazioni e le risorse aziendali, inclusi sistemi, software, reti e dispositivi, in modo responsabile, etico e sicuro. Le regole per l’uso accettabile sono definite per proteggere gli asset da usi impropri, non autorizzati o illeciti.
Il personale deve:
- Utilizzare le risorse informatiche esclusivamente per scopi lavorativi autorizzati.
- Non installare software, applicazioni o programmi non approvati dal Responsabile del sistema di gestione integrato (RSGI) o dal Tecnico Informatico.
- Custodire le credenziali di accesso (password, token, chiavi biometriche) e non condividerle con nessuno.
- Archiviare i dati di lavoro esclusivamente sui sistemi e repository aziendali designati (es. Cloud Nextcloud), che sono soggetti a backup e controlli di sicurezza.
- Aderire ai principi e alle regole definite nel “Codice di condotta”.
Politica della Scrivania e dello Schermo Puliti
Al fine di ridurre il rischio di accessi non autorizzati, perdita o danneggiamento delle informazioni, sia in formato digitale che cartaceo, tutto il personale è tenuto ad applicare le regole di scrivania e schermo puliti. Data l’operatività in modalità full-remote, tali principi si applicano a qualsiasi luogo di lavoro.
- Schermo Pulito (Clear Screen):
- Le postazioni di lavoro (PC, laptop, tablet) devono essere bloccate quando lasciate incustodite, anche per brevi periodi.
- Deve essere attivato il blocco automatico dello schermo dopo un breve periodo di inattività.
- Le informazioni sensibili non devono essere visualizzate in modo che possano essere viste da persone non autorizzate (“shoulder surfing”).
- Scrivania Pulita (Clear Desk):
- I documenti cartacei contenenti informazioni sensibili o riservate devono essere riposti in un luogo sicuro (es. cassetto o armadio con chiusura) al termine dell’attività lavorativa e non devono essere lasciati incustoditi in aree accessibili a terzi.
- I supporti di memorizzazione rimovibili (es. USB, hard disk esterni) devono essere custoditi in modo sicuro quando non utilizzati.
- La stampa di documenti contenenti dati sensibili deve essere limitata allo stretto necessario e i documenti devono essere distrutti in modo sicuro quando non più necessari, secondo quanto previsto dalla “POL Politica di conservazione e cancellazione delle informazioni”.
Sicurezza degli Asset Fuori Sede
Tutti gli asset aziendali utilizzati al di fuori delle sedi fisiche, inclusi i dispositivi personali utilizzati per scopi lavorativi in un contesto full-remote, devono essere protetti in modo adeguato. Ogni dipendente è responsabile della custodia e della protezione fisica e logica dei dispositivi a lui affidati o da lui utilizzati per accedere alle risorse aziendali.
Il personale deve adottare le seguenti misure di sicurezza:
- Non lasciare mai i dispositivi incustoditi in luoghi pubblici (es. veicoli, bar, aree comuni).
- Assicurare che sui dispositivi siano installati e attivi i software di sicurezza approvati dall’azienda (es. antivirus, firewall).
- Installare tempestivamente tutti gli aggiornamenti di sicurezza del sistema operativo e delle applicazioni.
- Connettersi a reti Wi-Fi sicure e protette da password robuste (es. WPA2/WPA3); l’uso di reti Wi-Fi pubbliche o non protette per accedere a dati aziendali è vietato se non tramite VPN aziendale.
- Utilizzare esclusivamente gli strumenti di accesso remoto forniti e autorizzati dall’azienda. La gestione, l’assegnazione e la restituzione degli asset sono formalizzate attraverso la “PRO Procedura di configurazione, gestione e smaltimento degli asset”.
Segnalazione di Eventi di Sicurezza
Tutto il personale ha la responsabilità di segnalare tempestivamente qualsiasi evento di sicurezza delle informazioni osservato o sospetto, nonché ogni debolezza o vulnerabilità identificata nei sistemi.
Le segnalazioni devono essere indirizzate immediatamente al Responsabile del sistema di gestione integrato (RSGI) attraverso i canali di comunicazione designati. La segnalazione tempestiva è fondamentale per consentire una risposta rapida e limitare i potenziali danni.
Ogni evento segnalato sarà registrato e gestito secondo la “PRO Procedura di gestione degli incidenti di sicurezza delle informazioni” e la “PRO Procedura di gestione dei rilievi ed eventi”. L’organizzazione incoraggia la segnalazione e garantisce che non vi saranno conseguenze negative per chi riporta un incidente o una vulnerabilità in buona fede.