Area Legale
Politica per la sicurezza delle informazioni
Versione 1.3, agosto 2024
Revisione | 3 |
Autore | Erica Spina |
Approvato da | Andrea Ferlin |
Data | 04/01/2021 |
Politica per la sicurezza delle informazioni: indice delle revisioni
Motivo della revisione | Data | Revisore |
---|---|---|
Aggiornamento necessità e aspettative delle parti interessate | 02/08/2024 | Erica Spina |
Specifica contesto e revisione generale | 03/08/2023 | Erica Spina |
Aggiunta dell’ambito di certificazione | 03/09/2023 | Erica Spina |
Politica per la sicurezza delle informazioni: sommario
- Scopo
- Destinatari
- Contesto dell’organizzazione
- Leadership, ruoli e responsabilità
- Obbiettivi per la sicurezza delle informazioni e pianificazione per conseguirli
- Pianificazione
- Supporti per la geastione del SGSI
- Contatti con le autorità e gruppi specialistici
- Informazioni documentate
- Riesame
- Miglioramento e miglioramento continuo
1. Scopo
Il documento “Politica per la sicurezza delle informazioni” ha lo scopo di informare il personale in merito ai contenuti delle politiche di sicurezza delle informazioni di Professional Link S.r.l. (di seguito “PLINK” o “Organizzazione”), corredate da cenni su processi e particolari misure di sicurezza adottate.
PLINK è operatore di telecomunicazioni titolare di licenza nazionale per fornitura del servizio telefonico al pubblico e dei servizi di comunicazione dati e cloud attraverso una propria infrastruttura distribuita su alcuni nodi principali del territorio nazionale.
Grazie all’infrastruttura telematica proprietaria, PLINK è in grado di fornire numerazioni geografiche in tutti i distretti italiani e di eseguire portabilità da tutti gli operatori interconnessi. Per PLINK la sicurezza delle informazioni ha come obiettivo primario la protezione dei dati e delle informazioni, della struttura tecnologica, logica e organizzativa.
Il Sistema di Gestione per la Sicurezza delle Informazioni è fondato sul rispetto di:
- Riservatezza: assicurare che l’informazione sia accessibile solamente ai soggetti debitamente autorizzati nell’ambito dei processi gestiti;
- Integrità: salvaguardare contenuti e consistenza dell’informazione da modifiche non autorizzate;
- Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta;
- Controllo: assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
- Privacy: garantire la protezione e il controllo dei dati personali e del loro trattamento.
2. Destinatari
La presente procedura si rivolge a tutti i dipendenti di PLINK (destinatari INTERNI), oltre ai soggetti esterni che a qualunque titolo collaborano ed esercitano attività in favore di PLINK,
tra cui, a titolo esemplificativo e non esaustivo, consulenti, partner, RSPP (destinatari ESTERNI).
3. Contesto dell’organizzazione
PLINK ha determinato i fattori esterni e interni pertinenti agli obiettivi che si è prefissata e che possono influenzare la sua capacità di conseguire gli esiti previsti per il proprio sistema di gestione per la sicurezza delle informazioni.
3.1. Scopo del Sistema di Gestione della Sicurezza delle Informazioni
L’oggetto di certificazione è il seguente: “progettazione, gestione e manutenzione di servizi di telecomunicazione e di information technology”.
Il campo di applicazione della presente Politica si applica a tutti i requisiti richiesti della norma e Professional Link S.r.l. assicura la capacità per garantire la sicurezza delle informazioni.
Il contesto viene trattato nel seguente modo:
- Contesto Interno: Direzione; Personale; Collaboratori; Valori aziendali; Struttura organizzativa (ufficio marketing, cui è affidato l’incarico strategico di trasformare potenziali clienti in clienti, oltre che far conoscere l’azienda ai più)
- Contesto Esterno: Clienti; Fornitori; Mercato e Concorrenza; Legislazione nazionale e internazionale;
3.2. Contesto Interno
Riguarda le persone che sono direttamente coinvolte nella gestione dei processi aziendali. Sono valutate:
- competenze;
- performance che devono essere elevate;
- know how aziendale frutto di una esperienza pluriennale e consolidata nel settore delle telecomunicazioni;
- comunicazione interna e con tutte le parti interessate, che deve essere efficace e continua;
Input del contesto interno
Riguarda le persone che sono direttamente coinvolte nei processi aziendali:
- dati, informazioni e specifiche/comunicazioni di servizio (da parte del committente, ad esempio: tipologia del servizio da erogare, tempi di rilascio, ecc.);
- modalità e livello di erogazione del servizio;
- specifiche del cliente finale (Orari di aperture, giorni di ferie, ecc.).
3.3. Contesto Esterno
Aspetto legale/contrattuale: garantito ed evidenziato dalle garanzie di servizio offerte ai clienti, dall’analisi delle esigenze degli stessi e dalla loro soddisfazione.
La necessità di adeguarsi alle norme cogenti è considerato un elemento qualificante nei confronti del Cliente e di distinzione nei confronti del mercato.
I Valori: PLINK ha adottato il Codice Etico, contenente i valori ispiratori della Società ed i principi alla base dei rapporti con le terze parti coinvolte nelle dinamiche aziendali.
Il documento è stato messo a disposizione dell’intero personale di PLINK: inviato a ciascuno via e-mail e conservato nella Intranet aziendale.
Ogni Valore contiene dei principi che devono essere applicati da tutti coloro che operano per PLINK. I principi di comportamento indicati nel Codice etico, considerati fondamentali e indispensabili, vengono definiti come ispiratori per garantire elevati standard etici all’interno della Società.
Le Persone: estrema attenzione è dedicata alle persone che operano all’interno dell’azienda, in un ambiente accogliente, mettendo a disposizione attrezzature adeguate e moderne.
Il tutto perfettamente in linea con la legislazione riguardante la sicurezza sul lavoro che prevede anche corsi specifici di aggiornamento e visite mediche periodiche.
La Conoscenza: la conoscenza e competenza nelle attività sono costantemente mantenute attive dalla programmazione di formazione e addestramento durante l’anno.
Costanti e sistematici training on the job sono eseguiti direttamente per tutte le attività svolte. Considerata la varietà di tipologie di clienti su cui si opera, l’operatore viene sistematicamente istruito in base alle modalità operative richieste dal Committente, compresi gli aspetti cogenti.
Aspetto tecnologico: stante la tipologia dei servizi gestiti vi è un continuo aggiornamento normativo in materia. Sono effettuati, inoltre, controlli dell’operatività dei servizi e del corretto utilizzo dei prodotti definiti e l’eventuale e opportuno aggiornamento. Il sistema gestionale è in grado di rispondere a tutte le esigenze, sia gestionali che a quelle relative
alle specifiche tecniche richieste dai Clienti.
Le attrezzature sono completamente adeguate alle esigenze dei servizi di telecomunicazioni.
In particolare, ad oggi, l’aspetto tecnologico è costituito da strumentazione inerente all’ambito di cybersecurity. Professional Link Srl ha a disposizione sonde fisiche e sonde virtuali che vengono installate presso i clienti che acquistano i relativi servizi. Dette sonde sono state installate anche presso l’infrastruttura di PLINK stessa e servono per l’individuazione di eventuali minacce e
vulnerabilità. Le sonde sono state fornite dal fornitore Sangfor, il quale ha anche provveduto a fare formazione ai tecnici sulle modalità di installazione e lettura dei risultati. I risultati confluiscono nel cloud creato ad hoc da PLINK, vengono poi effettuati record che possono essere forniti ai clienti (se ciò è rientrante nel servizio acquistato).
Relativamente a questo nuovo servizio, PLINK deve garantire un certo grado di sicurezza informatica, adeguandosi alle nuove normative in tema di Cybersecurity.
Un altro elemento tecnologico che è entrato a fare parte dell’aspetto tecnologico è l’infrastruttura implementata per ospitare altri operatori. In particolare, parliamo di Number Hosting. Anche in questo caso il rispetto delle regole già consolidate in tema è fondamentale e la collaborazione con Operatori storici (TIM) per garantire il corretto funzionamento del tutto è fondamentale.
Per Number Hosting si intende il servizio che permette di gestire la raccolta e la terminazione delle numerazioni attribuite dal MISE ad Operatori che però non dispongono di interconnessioni con TIM.
Mercato: il mercato di riferimento è essenzialmente rivolto a svilupparsi nel contesto internazionale senza esclusione di paesi. Sono colti e monitorati nuovi sviluppi e opportunità nel settore dei servizi di telecomunicazione (quali ad esempio cloud ecc), si cerca inoltre di inserirsi in settori nuovi e diversi dai tradizionali per le esperienze pregresse (nuovi servizi adatti a far fronte a tipologie di problemi rimasti fino ad ora insoluti).
In particolare, il mercato di riferimento è sempre il mondo del B2B. PLINK sta cercando di estendere il proprio territorio di vendita tramite l’offerta a clienti multinazionali con sedi in più parti d’Europa. A oggi, oltre ad avere clienti in Italia, PLINK può vantare clienti in Spagna, Portogallo, Francia e UK.
Gli input necessari
- dati e specifiche di progetto (da parte del Cliente, Procedure interne… ecc.);
- tempi di rilascio dei servizi;
- richieste del cliente finale.
Stakeholder: In questa tipologia troviamo: Autorità europee – Organizzazioni internazionali – Autorità nazionali/regionali/provinciali – Enti normativi.
Riesame: PLINK si propone di riesaminare il contesto in occasione del riesame della Direzione. I fattori che influenzano i processi aziendali sono:
Fattore | Interno/Esterno | Descrizione |
---|---|---|
Infrastrutture e ambiente di lavoro | Interno | Insieme delle attrezzature utili al buon funzionamento di tutti i processi. |
Organizzazione | Interno | I processi e l’insieme delle attività atte a garantire il rispetto delle mansioni esistenti all’interno e degli obiettivi di leadership definiti dalla Direzione e rivolti al personale |
Fattori economici e politici | Interno/Esterno | Insieme degli aspetti, in prevalenza esogeni, che possono determinare l’andamento economico, finanziario ed operativo. |
Mercato di riferimento | Esterno | Territorio geografico, settoriale ed economico in cui opera la nostra organizzazione. |
Enti ed istituzioni | Esterno | Tutte quelle organizzazioni pubbliche e private che emanano leggi, norme e/o regolamenti che devono essere rispettati ai fini di garantire la conformità dei servizi offerti ai committenti, ovvero che la nostra organizzazione deve applicare per garantire la conformità legislativa richiesta per potere operare nel mercato di riferimento. |
Parti interessate:PLINK ha monitorato le parti interessate rilevanti per il Sistema di Gestione per la Sicurezza delle Informazioni e dei requisiti ad esso applicabili.
Le parti interessate interne che hanno rilevanza sono:
- SOCI = inteso come l’insieme degli apportatori di capitali che coincidono con gli amministratori. PLINK ha un Amministratore Unico.
- PERSONE = inteso come tutte le risorse umane che concorrono alla erogazione del servizio offerto e che devono rispettare le prescrizioni del SGSI e quelle previste dalla normativa vigente in tutti gli ambiti;
- CLIENTI = nei confronti dei quali PLINK ha un atteggiamento di rispetto in termini di conformità dei servizi offerti e dei bisogni espressi.
- FORNITORI = che devono garantire all’organizzazione il rispetto dei requisiti contrattualmente previsti in termini di conformità dei servizi offerti.
Per la tipologia dell’attività svolta da PLINK, le parti interessate primarie che possono influenzare la nostra organizzazione sono individuate nelle seguenti categorie:
I Clienti: i Clienti principali sono aziende operative nei settori più svariati e vanno dalle piccole strutture alle grandi aziende le cui aspettative sono andate in crescendo nel tempo.
Le aspettative degli stessi sono sempre tendenti al miglior risultato possibile. Per quanto riguarda il servizio deve essere necessariamente coerente con le aspettative contrattualizzate ed anche con i livelli target definiti dal mercato.
Vista l’attenzione mostrata nei confronti del Cliente, la Società pone risalto alla scarsità dei reclami ricevuti. Nuove potenziali esigenze del cliente sono oggetto di esplorazione, rappresentano la possibilità di dare continuità, sviluppo e innovazione all’attività.
Si stanno sviluppando altri settori in campi affini o contigui che rappresentano opportunità positive di diversificazione e di ampliamento della gamma dei servizi offerti.
Gli operatori: inteso come tutte le risorse umane che concorrono alla erogazione del servizio offerto e che devono rispettare le prescrizioni del SGSI e quelle previste dalla normativa vigente in tutti gli ambiti.
Sono tenuti molto in considerazione e viene loro erogata opportuna formazione secondo il piano degli obiettivi approvato nel riesame della Direzione.
I Soci/Finanziatori: Sono coloro che hanno aspettative a fronte dei rischi di impresa che si sono assunti nello svolgimento delle varie attività dell’Azienda.
Come già in premessa indicato e ripreso in varie parti di questo documento riguardante il Contesto dell’Organizzazione, all’aumento dei Costi, non ha corrisposto sempre un adeguato incremento del fatturato.
Comunque, il loro costante reinvestimento nell’attività ha permesso di patrimonializzare in modo adeguato l’azienda. Rimane sempre vivo il loro entusiasmo che non è mai venuto meno nemmeno in questi ultimi anni quando la crisi economica si è fatta sentire in tutti i comparti.
I Fornitori: garantiscono all’azienda il rispetto dei requisiti contrattualmente previsti in termini di conformità dei prodotti e dei servizi offerti. I Fornitori permettono all’azienda di offrire servizi di qualità, soprattutto per il fatto che la scelta del fornitore è sempre orientata a quelli certificati e con una maggior esperienza.
Si consideri il fatto che i fornitori con i quali si collabora maggiormente sono Operatori TLC multinazionali, dotati persino di propria struttura. Chiaramente si tratta di attori che non possono rientrare tra i soggetti concorrenti a PLINK, ma “alleati”.
L’impostazione aziendale è comunque improntata ad un loro pagamento puntuale e molti degli stessi sono diventati storici nel tempo.
Le Aspettative delle parti interessate:
Parti interessate | Esigenze ed aspettative nei confronti PLINK | Esigenze ed aspettative di PLINK v/ le parti interessate |
---|---|---|
Cliente |
|
|
Personale dell’organizzazione |
|
|
Direzione |
|
|
Fornitori |
|
|
Organismi preposti ai controlli |
|
|
Collettività e istituzioni |
|
|
4. Leadership, ruoli e responsabilità
La Direzione, periodicamente, definisce e rivalida gli obiettivi del Sistema di Gestione della Sicurezza delle Informazioni con le strategie operative di PLINK.
Inoltre, comunica a tutte le risorse necessarie, per la corretta applicazione del Sistema di Gestione di Sicurezza delle Informazioni, l’importanza del miglioramento continuo, fornendo guida e sostegno a tutto il personale.
Sarà compito della Direzione:
- attuare, sostenere e verificare periodicamente la presente Politica, a divulgarla a tutti i soggetti che lavorano per l’azienda o per conto di essa e sempre a tutte le parti interessate;
- garantire le risorse necessarie per l’efficace protezione delle informazioni;
- definire gli obiettivi in materia di sicurezza delle informazioni;
- riesaminare periodicamente gli obiettivi e la Politica per la sicurezza delle informazioni per accertarne la continua idoneità, soprattutto con riferimento alle evoluzioni significative del business, alle eventuali nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio e al verificarsi di significativi incidenti di sicurezza, oltre che all’evoluzione del contesto normativo o legislativo
Le responsabilità relative alla sicurezza delle informazioni vengono completamente definite e assegnate, al fine di:
- migliorare la conoscenza aziendale sulle “best-practices” e mantenere l’aggiornamento in tema di sicurezza delle informazioni;
- assicurarsi che la comprensione delle tematiche di sicurezza delle informazioni in azienda sia aggiornata e completa;
- ricevere tempestivamente informazioni (alert, avvisi, patch da applicare) in merito a vulnerabilità, possibili attacchi e contromisure da applicare;
- i nuovi servizi informatici vengono valutati dal punto di vista della sicurezza delle informazioni dalle funzioni di sicurezza sin dalle prime fasi di sviluppo (Privacy by Design);
- il rispetto dei requisiti di sicurezza nel software viene periodicamente verificato.
Ruoli e responsabilità vengono indicati e definiti con organigramma e mansionario. Al fine di impedire o quanto meno ridurre le possibilità di uso improprio, distruzione e/o modifica accidentale o non autorizzata delle informazioni, vengono correttamente tenute separate le aree di responsabilità, che possono trovarsi in conflitto tra loro.
Il solo Legale Rappresentante, in via diretta o per il tramite di collaboratori esterni o interni, a seconda della comunicazione da effettuare, è tenuto a mantenere rapporti appropriati con le Autorità preposte, tra cui AGCOM, mise, Autorità Garante per la Protezione dei Dati Personali, Ispettorato del Lavoro.
5. Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli
PLINK riconosce che tutte le informazioni e tutti i sistemi attraverso cui le stesse transitano o sono elaborate, conservate o trasmesse, devono essere soggette ad un’attenta e controllata gestione, finalizzata ad innalzarne e mantenerne i livelli di sicurezza allineati agli standard internazionali, oltre che alla normativa europea e nazionale.
Gli obiettivi generali che giustificano l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni sono molteplici e sono:
- Diffusione della cultura per la Sicurezza delle informazioni; la principale linea di difesa, per assicurare il conseguimento di tale obiettivo, è rappresentata dal fattore umano, e quindi dal personale di PLINK. La difesa in questione si fonda sulla sensibilità e sulla formazione in tal senso dei singoli.
- Prevenzione e contenimento delle conseguenze degli incidenti; obiettivo strettamente connesso al precedente, la prevenzione permette di scongiurare il verificarsi di eventi indesiderati che potrebbero causare danni economici, di immagine e legali. Vengono, a tal proposito previste misure adeguate e preventive al fine di scongiurare il verificarsi di detti eventi, o quanto meno di mitigare il rischio del loro verificarsi. In aggiunta alla prevenzione, la strategia per poter minimizzare i rischi del verificarsi di eventi dannosi o potenzialmente dannosi, è la risposta immediata ad un incidente. Per questo è stata predisposta una procedura di gestione degli incidenti della sicurezza delle informazioni, così da rendere edotto tutto il personale di PLINK sulle modalità da seguire in caso di incidente.
- Garanzia della continuità operativa; l’Organizzazione si prodiga nel garantire che la propria attività lavorativa e quella dei propri clienti possa continuare, a pieno o ridotto regime, anche in caso di incidenti. Tutti gli incidenti sono stati classificati in base alla gravità e stimato un tempo di ripristino e una modalità di continuità dell’attività.
- Soddisfazione dei requisiti di business e contrattuali; tutte le informazioni di origine contrattuale hanno un’importanza strategica per il business, conseguentemente, particolare attenzione deve essere prestata a quegli aspetti di sicurezza delle informazioni che possano influenzare l’immagine aziendale. L’accesso di terze parte ai sistemi informativi aziendali deve essere controllato e stabilito da un apposito regolamento, allo scopo di mantenere un adeguato livello di sicurezza delle informazioni.
- Soddisfazione dei requisiti cogenti e regolatori; tutti i requisiti di sicurezza delle informazioni che hanno origine dall’ambito regolatorio cogente o che ne derivano, ricoprono particolare importanza.
6. Pianificazione
PLINK pianifica e implementa il Sistema di Gestione della Sicurezza delle Informazioni in modo coerente con il conseguimento degli obiettivi fissati e con la possibilità di apportare e garantire il rispetto dei requisiti RID. L’intero Sistema di Gestione della Sicurezza delle Informazioni, essendo uno strumento dinamico, capace di recepire ogni eventuale elemento di miglioramento salvaguardando la conformità alle norme di riferimento.
6.1. Gestione dei cambiamenti
Qualora emerga la necessità di effettuare modifiche al SGSI, le modifiche sono condotte in modo pianificato e sistematico. Sono presi in considerazione:
- lo scopo delle modifiche e tutti i relativi effetti potenziali;
- la necessità di conservare l’integrità del SGSI;
- la disponibilità di risorse;
- la distribuzione o ridistribuzione delle responsabilità ed autorità.
6.2. Azioni per affrontare rischi e opportunità
PLINK ha svolto un’analisi dei rischi relativa all’organizzazione. In particolare, a seguito di attribuzione di un valore per ciascuna informazione, un valore di verosimiglianza per ciascuna minaccia e un valore di vulnerabilità per ciascun controllo, è stata in grado di valutare gli aspetti da attenzionare maggiormente al fine di minimizzare eventuali rischi.
7. Supporti per la gestione del SGSI
7.1. Risorse
PLINK ha determinato e introdotto le risorse necessarie per stabilire, attuare e mantenere il sistema di gestione della sicurezza delle informazioni e per migliorarne continuamente l’efficacia.
In particolare, sono state considerate:
- l’esistenza interna di opportune risorse;
- la necessità di acquisire risorse esterne.
7.1.1. Risorse Umane
Al fine di assicurare il rispetto dei requisiti del cliente e delle norme, leggi e regolamenti cogenti, PLINK si avvale di persone volte a condurre tutte le attività.
La Direzione ha l’onere di valutare la necessità e l’adeguatezza, oltre ad assicurare per tempo la disponibilità:
- di personale addestrato, di adeguata capacità e preparazione per la direzione, esecuzione e verifica delle attività lavorative;
- di personale addestrato e di adeguata capacità per l’esecuzione degli audit interni della qualità.
7.1.2. Infrastrutture
PLINK ha determinato, rese disponibili e tenute in efficienza, le infrastrutture che concorrono a determinare la conformità dei prodotti e servizi quali:
- edifici;
- attrezzature Hardware;
- sistemi Software e apparecchiature di misurazione e di controllo;
- tecnologia per l’informazione e per la comunicazione.
7.1.3. Ambienti di lavoro
PLINK dispone di un ambiente di lavoro adeguato alle esigenze del personale e delle attività che vengono svolte, mantiene inoltre una costante attenzione a tutti i fattori legati alla sicurezza, alla salute e all’igiene (compresi i fattori fisici, ambientali ed altri fattori quali rumore, temperatura, umidità, illuminazione o condizioni atmosferiche) osservando scrupolosamente le disposizioni legislative in merito.
7.1.4. Risorse per il monitoraggio e la misura
Quando il monitoraggio e la misura sono usati per dare evidenza della conformità dei prodotti e dei servizi ai relativi requisiti, sono determinate le risorse necessarie per assicurare risultati validi e affidabili. È opportuno che le risorse messe in campo:
- siano appropriate per il tipo di misura e di monitoraggio da svolgere;
- siano tenute sotto controllo al fine di assicurare la loro continua efficienza in relazione allo scopo da conseguire.
PLINK ha allestito al suo interno un sistema di monitoraggio volto a mantenere l’efficienza non solo dei propri sistemi interni, ma anche delle infrastrutture adottate per assicurare la buona erogazione del servizio ai clienti.
7.1.5. Conoscenza (know how) aziendale
Sono determinate le conoscenze necessarie per conseguire la conformità dei servizi. Le conoscenze sono conservate e rese disponibili nella misura in cui sono utili.
In previsione di miglioramenti, PLINK considera le conoscenze esistenti e determina il modo di sviluppare tali conoscenze. Per acquisire competenze supplementari, si agisce sulle risorse interne attraverso:
- l’analisi dei punti di debolezza e dei punti di forza;
- la ricerca di documenti, testi, evidenze relativi alle conoscenze richieste;
- la conservazione e la valorizzazione delle esperienze efficaci realizzate;
e sulle risorse esterne attraverso:
- reperimento di standard, norme, linee guida, best practice, etc.
- la partecipazione a conferenze, convegni, congressi, seminari;
- il reperimento e la consultazione di stampa specializzata;
- l’istituzione di una rete di condivisione di dati con clienti e fornitori;
- l’attivazione di consulenze.
7.2. Competenze
PLINK determina la competenza necessaria per il personale che svolge attività che influenzano la qualità del servizio fornito.
Assicura che tale personale sia competente sulla base di un’appropriata formazione ed esperienza.
Ove applicabile, fornisce addestramento o intraprende altre azioni per acquisire le necessarie competenze e valuta l’efficacia delle azioni realizzate. PLINK ha organizzato una tabella a matrice in cui, per ogni ruolo dell’organigramma, è possibile avere evidenza delle competenze acquisite.
7.3. Consapevolezza
Tutto il personale di PLINK deve avere adeguata formazione relativa a temi specifici del SGSI che si può riassumere in:
- formazione di base;
- formazione ed implementazione operativa (processi e procedure).
Le attività di addestramento del personale sono registrate e costituiscono il riferimento per le attività di monitoraggio del coinvolgimento e della crescita professionale del personale.
7.4. Comunicazione
L’Azienda ha determinato quali comunicazioni, interne ed esterne, siano rilevanti ai fini della gestione del SGSI. È definito:
- cosa è necessario comunicare;
- quando comunicare;
- il destinatario della comunicazione;
- come comunicare, (il mezzo di comunicazione).
Un corretto flusso di informazioni tra i dipendenti è indispensabile perché non si verifichino malintesi, intempestività ed errori.
Campo di applicazione: tutte le attività di comunicazione con le parti interessate.
Le attività seguono questi criteri:
Comunicazione interna: dal basso verso l’alto e viceversa.
La comunicazione dal basso comprende la gestione dei rilievi, osservazioni, proposte provenienti dal personale di PLINK. La comunicazione dal basso avviene sempre in modo verbale solo le eventuali risposte e/o provvedimenti (quando ritenuto importante e/o opportuno) sono redatti in forma scritta o via e-mail.
La comunicazione dall’alto avviene per mezzo di:
- comunicati interni diffusi agli interessati (via e-mail);
- riunioni generali;
- incontri singoli su argomenti specifici;
- avvisi nella intranet aziendale.
Comunicazione interna: importante è la gestione della comunicazione esterna.
PLINK si avvale di molti strumenti per poter rendere edotti i soggetti terzi di attività o per dare comunicazioni varie:
- OTRS, sistema di ticketing che permette di fornire riscontro all’interessato. Il sistema è composto da diverse code dedicate a ciascuna area e distinte per competenze, il personale risponderà per la propria competenza (il sistema è meglio descritto nella procedura di gestione degli asset);
- E-mail, strumento principalmente utilizzato ai fini della comunicazione;
- Portali di operatori fornitori.
8. Contatti con le autorità e gruppi specialistici
PLINK mantiene appropriati contatti con le autorità pertinenti. La Direzione identifica le autorità con le quali essere in contatto a supporto della attività svolta.
A titolo esemplificativo, sono individuate quali Autorità pertinenti:
- Garante Privacy in caso di Data Breach in merito a incidenti che coinvolgono la protezione dei dati personali
- Autorità Regionali
- AGCOM
- MISE
- Polizia Postale
- AGID
Per quanto riguarda i contatti con gruppi specialistici, il Legale Rappresentante e i referenti dei reparti specialistici partecipano periodicamente a summit specifici, oltre ad essere iscritti a newsletter relative a temi specifici dell’erogazione del servizio e delle novità normative.
9. Informazioni documentate
Nel SGSI sono incluse:
- le informazioni documentate richieste dalla Norma ISO 27001;
- le informazioni documentate che PLINK ritiene necessarie per l’efficacia del SGSI.
Le informazioni documentate sono identificate attraverso:
- il titolo;
- la data di emissione / aggiornamento;
- i riferimenti alle persone che hanno concorso all’emissione / aggiornamento.
Le informazioni documentate sono definite in termini di:
- supporto (ogni qualvolta ciò sia possibile è preferito il supporto elettronico piuttosto che cartaceo);
- lingua (è utilizzata, di regola, la lingua italiana, ad eccezione delle comunicazioni con i clienti / fornitori esteri, nel qual caso è utilizzata prevalentemente la lingua inglese);
- responsabilità di redazione, verifica e approvazione.
Le informazioni documentate sono:
- rese disponibili nella intranet aziendale per il personale di PLINK. Solo per quei documenti per i quali ne è prevista la conoscenza da parte di terzi esterni all’organizzazione è prevista la diffusione;
- protette da usi impropri, perdita di integrità e/o delle caratteristiche di riservatezza (Backup, cartelle con accessi profilati, antivirus, firewall).
Le informazioni documentate di origine esterna, emesse dai clienti, dai fornitori e dagli enti normativi nazionali ed internazionali, sono identificate e tenute sotto controllo.
Per quanto riguarda i dati e le informazioni nel sistema informativo aziendale si osservano le seguenti prescrizioni:
- back up come da relativa procedura interna.
PLINK, quando applicabile, tiene sotto controllo le informazioni documentate e le registrazioni della qualità attraverso prescrizioni per:
- la distribuzione, l’accesso, l’uso ed il ritiro;
- la conservazione, la protezione, la leggibilità;
- la gestione delle modifiche;
- l’archiviazione e/o la distruzione dei documenti.
10. Riesame
La Direzione riesamina il Sistema di Gestione della Sicurezza delle Informazioni ad intervalli pianificati, al fine di assicurarne la continua adeguatezza ed efficacia.
I Riesami sono pianificati e condotti considerando:
- lo stato delle azioni impostate nel riesame precedente;
- i cambiamenti interni ed esterni che siano rilevanti, incluse le decisioni strategiche aziendali;
- le informazioni in merito alle prestazioni del SGSI:
- le non conformità e le azioni correttive;
- i risultati dei monitoraggi e delle misure;
- i risultati degli Audit;
- l’adeguatezza delle risorse dedicate al mantenimento di un efficace SGSI;
- l’efficacia delle azioni intraprese per evidenziare e trattare i rischi e le opportunità;
- nuove opportunità di miglioramento.
Risultati dei Riesami
Gli output dei riesami includono decisioni ed azioni relative a:
- opportunità di miglioramento continuo;
- ogni necessità di modifica del SGSI.
Sono conservate informazioni documentate, a evidenza dei risultati dei Riesami.
11. Miglioramento e miglioramento continuo
PLINK verifica periodicamente, una volta l’anno o in concomitanza di cambiamenti significativi, l’efficacia e l’efficienza del Sistema di Gestione per la Sicurezza delle Informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire l’attivazione di un processo continuo, che deve tenere sotto controllo il variare delle condizioni al contorno o degli obiettivi di business aziendali al fine di garantire il suo corretto adeguamento.
Il riesame permette di verificare lo stato delle azioni correttive e l’aderenza agli obiettivi esposti nella presente policy. Il risultato del riesame include tutte le decisioni ed azioni relative al miglioramento dell’approccio aziendale alla gestione della sicurezza delle informazioni, dei controlli, nell’allocazione di risorse e responsabilità.
Per apportare miglioramenti, si farà riferimento a:
- Risultanze di Audit interni ed esterni;
- Modifiche che potrebbero avere effetti sul sistema di gestione della sicurezza delle informazioni;
- Attuazione delle azioni correttive e preventive, comprese le verifiche di efficacia;
- Sopraggiungere di particolari esigenze.
PLINK intende far crescere continuamente la coerenza, l’adeguatezza e l’efficacia del SGSI.
Sono considerati tutti i risultati delle analisi e delle valutazioni, nonché gli elementi di uscita del Riesame della Direzione, per identificare aree di prestazioni migliorabili e opportunità di miglioramento continuo.
Quando applicabile, si utilizzano strumenti, tecniche e metodologie, per investigare le cause delle non conformità, e sostenere il miglioramento continuo.