POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

1. PREMESSA

Il Sistema Informativo (inclusivo delle risorse tecnologiche - hardware, software, dati, documenti elettronici, reti telematiche - e delle risorse umane dedicate alla loro amministrazione, gestione e utilizzo) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi della Società, in considerazione della criticità dei processi aziendali che dipendono da esso. Il presente documento ha l’obiettivo di definire le politiche sui sistemi informativi e la policy sulla sicurezza informatica ed è approvato da PR e sarà revisionato periodicamente sia in caso di eventi esogeni, quali ad esempio modifiche della normativa esterna ovvero indicazioni delle Autorità, sia di modifiche organizzative ed operative che abbiano impatto sui Sistemi Informativi e sulla sicurezza informatica. Le revisioni sono approvate da PR.

2. POLITICHE AZIENDALI SUI SISTEMI INFORMATIVI


La Presidente e la Direzione Generale della Fondazioni Riunite Onlus Della Bassa Bresciana Occidentale., con sede in Via Gambara, 20 - 25034 – ORZINUOVI (BS), che esegue l’ attività di residenza socio-assistenziali per anziani, prestazioni di servizi semi-residenziali, prestazione di servizi domiciliari e prestazioni di servizi per utenti esterni, si impegnano a preservare la riservatezza, l’integrità e la disponibilità di tutte le informazioni (in formato elettronico e non) in tutta l’organizzazione al fine di mantenere il proprio vantaggio competitivo, solidità economica, redditività, conformità legale e contrattuale e immagine commerciale. Le informazioni ed i requisiti di sicurezza delle informazioni continueranno ad essere allineati con gli obiettivi aziendali ed il Sistema di Gestione per la Sicurezza delle Informazioni è destinato a essere un meccanismo di abilitazione della condivisione delle informazioni per l’operatività della Fondazionee per ridurre i rischi relativi alle informazioni a livelli accettabili Tutti i dipendenti dell’organizzazione e alcune terze parti, individuate dal Direttore Generale sono tenuti a rispettare le presenti politiche. La politica sarà riesaminata ogni qualvolta sarà necessario e comunque almeno una volta all'anno.

La presente politica riguarda la gestione e l’utilizzo del sistema informativo in tutti i suoi aspetti.

Per perseguire gli obiettivi aziendali, le informazioni devono soddisfare determinati requisiti:

La gestione del Sistema Informativo aziendale è svolta da personale qualificato che per esperienza, capacità e affidabilità fornisce garanzia del pieno rispetto delle disposizioni interne e delle normative esterne in materia.

I dati personali devono essere trattati:

Per poter gestire in modo adeguato il Sistema Informativo è essenziale un efficace processo di monitoraggio che faciliti la pronta individuazione e correzione di eventuali carenze relative a politiche, processi e procedure. Ciò può ridurre considerevolmente la frequenza e/o gravità degli eventi dannosi.

La Fondazione si avvale del servizio di Hosting fornito in outsourcing dalla società ARUBA, e per il servizio di trasmissione dati dalla società INTRED.

La Fondazione attiva unità organizzative interne che assicurano l’esecuzione di processi atti a:

  1. diffondere il contenuto dei servizi, conoscere i punti di forza e di eventuale debolezza;
  2. assicurare agli utenti formazione e accesso alle funzioni secondo criteri di sicurezza aderenti a principi di sana e prudente gestione o comunque alle politiche di gestione del rischio informatico;
  3. attivare processi volti alla valorizzazione delle risorse informatiche, intese come leva per il raggiungimento degli obiettivi della Società;
  4. realizzare un sistema di comunicazione dei fabbisogni o delle criticità del Sistema Informativo con l’obiettivo di attivare un processo di miglioramento continuo;
  5. attuare controlli finalizzati a valutare la capacità dell’azienda di attenersi alle politiche interne;
  6. individuare tempestivamente deviazioni (anomalie, malfunzionamenti, differenze rispetto a quanto conosciuto/approvato/autorizzato);
  7. favorire azioni correttive.

La Fondazione predispone ed implementa il proprio Piano di Disaster Recovery. Deve essere sempre assicurata la protezione dei dati e dei sistemi contro le possibili conseguenze dell’attività di software dannoso (c.d. Malware).

Inoltre, la Fondazione, tenuto conto della particolare criticità dei ruoli connessi alla gestione del Sistema Informativo, in particolare del ruolo di “Amministratore di Sistema”, adotta delle cautele volte a prevenire e ad accertare eventuali utilizzi non in linea con gli obiettivi aziendali del Sistema Informativo, inefficienze dello stesso, accessi non consentiti ai dati, in specie quelli realizzati con abuso della qualità di Amministratore di Sistema.

La Fondazione, valuta con particolare cura l'attribuzione di funzioni tecniche inerenti la gestione del Sistema Informativo, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato, da vagliare anche in considerazione delle responsabilità, specie di ordine penale e civile, che possono derivare in caso di incauta o inidonea designazione.

L'attribuzione delle funzioni relative alla gestione del Sistema Informativo o alla gestione delle sue componenti si svolge previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni interne ed esterne anche quelle in materia di trattamento dei dati ivi compreso il profilo relativo alla sicurezza.

Nel ricorso ai servizi dei fornitori esterni, la Fondazione utilizza analoghi criteri di valutazione di esperienza, capacità ed affidabilità del fornitore nello svolgimento dell’incarico affidato e della garanzia fornita del pieno rispetto delle vigenti disposizioni di legge, anche quelle in materia di trattamento dei dati ivi compreso il profilo relativo alla sicurezza.

3. POLICY DI SICUREZZA INFORMATICA

3.1 Scopo e Ambito di Applicazione

La presente Policy di Sicurezza Informatica costituisce un insieme di riferimenti, in termini di principi di sicurezza e di pratiche da adottare, attraverso il quale la Fondazione intende assicurare la tutela del proprio Sistema Informativo, delle risorse informatiche – informazioni incluse. L’attuazione dei suddetti principi e pratiche di sicurezza tiene conto degli specifici obiettivi strategici e, secondo il principio di proporzionalità, della dimensione e complessità operative, della natura dell’attività svolta, della tipologia dei servizi prestati, nonché del livello di automazione dei processi e servizi della Società.

Inoltre, la Fondazione definisce i principi generali di gestione della sicurezza delle informazioni che intende adottare e le principali linee guida di gestione della sicurezza informatica che va dall’analisi dei rischi informatici, alle misure di sicurezza da adottare per proteggere il patrimonio informativo, alla gestione degli incidenti di sicurezza informatica, sino alla definizione delle linee guida per la formazione e comunicazione per il personale e per i clienti in tema di sicurezza delle informazioni. Nella Policy sono anche definite le metodologie necessarie per consentire un controllo dell’efficacia delle misure adottate al fine di implementare un processo di miglioramento continuo.

La presente Policy di Sicurezza Informatica individua i requisiti minimi che si devono osservare nella gestione e nell’utilizzo del Sistema Informativo della Società e applicabili a tutte le unità organizzative della struttura. La stessa deve essere conosciuta, compresa e attuata - per quanto di competenza - da tutto il personale interno e dalle terze parti che sono coinvolte nella gestione di informazioni e componenti del Sistema Informativo.

Nella gestione e nell’utilizzo del Sistema Informativo si deve preservare la sicurezza delle informazioni e dei beni aziendali e si deve assicurare per ciascuna risorsa informatica:

  1. una protezione, in termini di riservatezza, integrità, disponibilità, verificabilità e responsabilità, appropriata e coerente lungo l’intero ciclo di vita;
  2. gli adeguati criteri, modalità di gestione ed utilizzo conformi alle norme di legge e a regolamenti interni ed esterni;
  3. la riduzione dei rischi IT mediante misure di prevenzione e di mitigazione, in linea con la propensione al rischio informatico definito a livello aziendale.

Il perseguimento degli obiettivi di sicurezza è conseguito attraverso la definizione, l’attuazione e l’aggiornamento periodico delle procedure di protezione delle informazioni, dove sono stabilite le misure e le attività volte a:

  1. garantire un appropriato livello di confidenzialità/riservatezza delle informazioni;
  2. garantire, nel tempo, la disponibilità delle informazioni e dei servizi in linea con gli obiettivi aziendali. A tal fine devono essere implementati adeguati sistemi che assicurino il salvataggio ed il ripristino della disponibilità dei dati (back up);
  3. assicurare e mantenere l’integrità delle informazioni;
  4. assicurare l’autenticità dei dati, delle transazioni, delle comunicazioni e dei documenti gestiti;
  5. garantire l’adeguata formazione e sensibilizzazione del personale sugli aspetti di sicurezza informatica e dell’utilizzo del Sistema Informativo aziendale in modo che tutto il personale della Fondazine contribuisca al raggiungimento di un elevato livello di protezione del patrimonio aziendale e di qualità nell’ambito delle attività quotidiane;
  6. assicurare che le risorse informatiche siano protette contro l’uso non autorizzato;
  7. soddisfare e mantenere gli obiettivi e i requisiti definiti dalle normative vigenti;
    assicurare la gestione ed il monitoraggio degli incidenti relativi al Sistema Informativo, in particolare la gestione degli incidenti di sicurezza informatica.

L’adeguatezza dei processi, delle misure e dei presidi di sicurezza da realizzare ai fini degli obiettivi sopra elencati sono stabiliti sulla base della valutazione dei rischi ICT effettuata periodicamente tramite l’analisi del rischio informatico in relazione con il quadro generale di gestione dei rischi della Fondazione.

Con l’analisi del rischio informatico, la Fondazione individua il livello di efficacia ed intensità dei controlli di sicurezza informatica da adottare e le relative modalità di attuazione. A tale scopo, nell’ambito del documento “Analisi del rischio relativo alla sicurezza delle informazioni” (allegato 1), la Fondazione prevede:

  1. l’integrazione della gestione dei rischi di sicurezza informatica nell’ambito del processo di gestione del rischio informatico;
  2. il processo di gestione del rischio informatico e le modalità con le quali è svolta l’analisi del rischio, comprendendo in esso le seguenti attività:
    1. censimento e classificazione delle risorse informatiche in termini di rischio informatico. Tale classificazione è opportunamente raccordata con il trattamento delle informazioni aziendali in formato diverso da quello elettronico, onde conseguire uniformi livelli di protezione indipendentemente dalle modalità di trattamento;
    2. valutazione del rischio potenziale cui sono esposte le risorse informatiche; tale attività interessa altresì tutte le iniziative di sviluppo di nuovi progetti e di modifica rilevante del Sistema Informativo e si avvale delle informazioni disponibili in merito agli incidenti di sicurezza informatica verificatisi in passato;
    3. trattamento del rischio, volto a individuare, se necessario, misure di attenuazione – di tipo tecnico o organizzativo – idonee a contenere il rischio potenziale;
    4. accettazione del rischio residuo e/o adozione di misure alternative o ulteriori di trattamento del rischio, qualora il rischio residuo ecceda la propensione al rischio informatico. Tali misure possono includere:
      • la prevenzione del rischio, tramite l’eliminazione delle condizioni che possono consentire l’attuazione delle minacce identificate (es: non abilitare funzioni o operazioni troppo rischiose);
      • il trasferimento del rischio su soggetti terzi (es: tramite acquisizione di una polizza assicurativa).
3.2 Principi generali di sicurezza informatica

Al fine di garantire il raggiungimento degli obiettivi fissati, la Fondazione ha definito i seguenti principi generali di sicurezza da adottare nell’ambito di tutti i processi e delle attività svolte dal personale interno ed esterno.

La Fondazione protegge, al massimo livello delle proprie capacità tecniche e delle risorse disponibili, il proprio patrimonio aziendale, articolato nei seguenti elementi fondamentali: persone, beni (asset) e informazioni.

La condizione necessaria per lo svolgimento di ogni attività della Fondazione è la tutela delle informazioni gestite mediante criteri, misure e controlli di sicurezza proporzionali ai rischi e al valore delle informazioni stesse.

I controlli di sicurezza da realizzare a tutela delle risorse informatiche che costituiscono il proprio patrimonio sono conseguiti tramite:

  1. l’implementazione ed il rispetto delle politiche in tutti gli ambiti organizzativi, procedurali e tecnologici in modo omogeneo rispetto agli obiettivi definiti;
  2. l’adeguata attribuzione di compiti e responsabilità all’interno dell’azienda per l’attuazione delle politiche;
  3. la verifica (nell’ambito dell’analisi del rischio informatico) del livello di efficacia delle misure realizzate.

La Società ha identificato come aree di controllo tutti gli ambiti organizzativi, procedurali e tecnologici rilevanti per l’attuazione dei controlli di sicurezza che consentono il raggiungimento degli obiettivi di sicurezza.

La Policy di Sicurezza Informatica deve essere implementata in accordo con le normative nazionali sia vigenti, sia successive alla data di adozione della presente. In caso di contrasto o omissione, le suddette normative devono essere ritenute prevalenti.

La Fondazione attribuisce puntualmente ed in modo non ambiguo i ruoli e leresponsabilità in materia di sicurezza al personale (accountability) definiti. In tale ambito, la Fondazione provvede a verificare che l’operato del personale sia conforme con la presente Policy di Sicurezza.

Le autorizzazioni di accesso ai dati devono essere strettamente legate alle esigenze informative (necessità di sapere) e alle esigenze operative (necessità di operare) per lo svolgimento dei compiti attinenti al proprio ruolo aziendale. Gli utenti devono essere abilitati soltanto per l’esercizio delle funzioni necessarie allo svolgimento delle loro mansioni. I dati non devono essere condivisi, comunicati o inviati a persone che non hanno la necessità di trattare quei dati per lo svolgimento delle proprie mansioni lavorative (anche se queste persone sono a loro volta incaricate del trattamento). I dati non devono essere comunicati all’esterno della struttura e comunque a soggetti terzi se non previa autorizzazione.

Le attività che comportano rischi significativi per la Fondazione, ove le soluzioni tecniche lo consentono, devono essere organizzate in modo da prevedere il concorso di più soggetti, con responsabilità formalmente ripartite, al fine di evitare l’accentramento delle stesse su una singola risorsa, garantendo un adeguato sistema di controlli incrociati.

La Fondazione implementa apposite misure atte a garantire una pronta, efficace e corretta risposta al concretizzarsi degli incidenti di sicurezza. In tal senso, la Fondazione attua, ove possibile, misure atte a mitigare i potenziali impatti degli incidenti e il ripristino della situazione iniziale in tempi brevi. La gestione degli incidenti prevede opportune procedure di escalation e di reporting in relazione alla gravità degli eventi occorsi.

3.3 Ruoli e Responsabilità in tema di sicurezza informatica
3.3.1 Presidente

Assume la generale responsabilità di indirizzo e controllo del sistema informativo, nell’ottica di un ottimale impiego delle risorse tecnologiche a sostegno delle strategie aziendali per la sicurezza informatica.

3.3.2 Direzione Generale

È responsabile della gestione della sicurezza informatica, assume decisioni tempestive in merito a gravi incidenti di sicurezza informatica e fornisce informazioni al Presidente. In caso di gravi problemi per l’attività aziendale derivanti da incidenti e malfunzionamenti.

3.3.3 Funzioni per la Sicurezza Informatica

Tutti i Responsabili di Area sono deputati allo svolgimento dei compiti specialistici in materia di sicurezza delle risorse ICT.

Tutti i compiti e le responsabilità per i ruoli sopraelencati, inclusivi di quelli specifici per la sicurezza, sono dettagliatamente elencati delle procedure e altri documenti del SGI.

3.4 Analisi del rischio informatico

L’analisi del rischio informatico costituisce uno strumento a garanzia dell’efficacia ed efficienza delle misure di protezione delle risorse ICT, permettendo di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio definito nel documento “Analisi del rischio relativo alla sicurezza delle informazioni” (Allegato 1).

Tale attività interessa:

Il processo di analisi è svolto dal Direttore Generale e dal referente privacy, con il supporto dei Responsabili di Area.

I risultati del processo (livelli di classificazione, rischi potenziali e residui, lista delle minacce considerate, elenco dei presidi individuati), ogni loro aggiornamento successivo, le assunzioni operate e le decisioni assunte, sono documentati e portati a conoscenza del Presidente.

La Fondazione si propone di definire in un apposito documento di dettaglio la gestione del rischio informatico, che deve recepire tutte le indicazioni e i principi espressi nel presente paragrafo e, in generale, nella presente policy di sicurezza.

3.5 Controlli di sicurezza nell’ambito dei processi ICT

Con l’obiettivo di garantire un’efficace attuazione della presente policy, la Fondazione definisce ed implementa appositi controlli di sicurezza nell’ambito dei processi operativi dell’ICT.

In particolare, ai fini della presente policy, la Fondazione prevede nel Regolamento Sistemi Informativi:

3.6 Comunicazione

La presente Policy di Sicurezza Informatica viene pubblicata sulla intranet aziendale per assicurarne la conoscenza da parte di tutto il personale e viene resa disponibile a tutte le terze parti coinvolte nella gestione di informazioni e componenti del Sistema Informativo.

Nell’eventualità di violazione della presente policy e delle norme attuative, saranno applicate - secondo il caso - le sanzioni previste dal Contratto Collettivo Nazionale applicabile.

3.7 Norme di legge e normative esterne applicabili (inerenti la sicurezza delle informazioni)

Alla data di approvazione della presente policy, la Società recepisce e declina le seguenti normative:

Il Presidente

Clicca qui sotto per visionare il file "Esercizio di diritti in materia di protezione dei dati personali"

Scarica ora

RIFERIMENTI AZIENDALI

TITOLARE DEL TRATTAMENTO DEI DATI

Denominazione ente: FONDAZIONI RIUNITE ONLUS DELLA B.B.O.
Codice Fiscale 86000210178 - Partita Iva 00726090988
Via Gambara n. 22
25034 Orzinuovi (BS)
Telefono 0309949706 - Fax 0309949740
Email: info@fondazioniriunite.it
Pec: fondazioniriunite@sicurmail.com
Sito istituzionale: www.fondazioniriunite.it

RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD - DPO) ESTERNO

Email: privacy@fondazioniriunite.it

REFERENTE PRIVACY INTERNO

Telefono: 0309949706