Politica sulla Sicurezza delle Informazioni

Data di entrata in vigore: 07/01/2025

Storia delle Versioni

Versione	Data	Descrizione	Autore	Approvato da
1	07/01/2025		Enrico Donà	Enrico Donà

Scopo

Questa politica di sicurezza delle informazioni ha lo scopo di proteggere i dipendenti, i partner e l’azienda IT DYNAMIK SRL da azioni illegali o dannose da parte di singoli individui, consapevolmente o inconsapevolmente. I sistemi relativi a Internet/ Intranet/Extranet, inclusi ma non limitati a apparecchiature informatiche, software, sistemi operativi, supporti di memorizzazione, account di rete che forniscono posta elettronica, navigazione Web e trasferimenti di file, sono di proprietà dell’azienda. Questi sistemi devono essere utilizzati per scopi aziendali al servizio degli interessi dell’azienda e dei nostri clienti e clienti nel corso delle normali operazioni. Una sicurezza efficace è un lavoro di squadra che prevede la partecipazione e il sostegno di tutti i dipendenti o collaboratori dell’azienda che si occupano di informazioni e/o sistemi informativi. È responsabilità di ogni membro del team leggere e comprendere questa procedura e condurre le proprie attività di conseguenza.

Indice

• Segnalazione di incidenti di sicurezza
• Segnalazione di frodi
• Dispositivi mobili
• Dispositivi mobili personali (BYOD – Bring Your Own Device)
• Blocco schermo e scrivania pulita
• Lavoro e accesso da remoto
• Utilizzo accettabile
• Utilizzo non accettabile
• Attività di posta elettronica e comunicazione
• Politiche aggiuntive incorporate per riferimento
• Conformità alle politiche
• Eccezioni
• Violazioni e applicazione

Segnalazione di incidenti di sicurezza

Tutti i dipendenti sono tenuti a segnalare eventi o incidenti di sicurezza noti o sospetti, comprese le violazioni delle policy ed eventuali vulnerabilità di sicurezza osservate. Gli incidenti devono essere segnalati immediatamente o al più presto possibile a
enrico@itdynamik.it includendo una descrizione dell’incidente o l’osservazione insieme a tutti i dettagli rilevanti.

Segnalazione di frodi

Le politiche sulla sicurezza delle informazioni hanno lo scopo di incoraggiare e consentireai dipendenti e ad altri, di sollevare internamente eventuali preoccupazioni in modo dapoter affrontare e correggere comportamenti/ azioni inappropriate. È responsabilità di tuttele parti interessate nella presente politica, segnalare dubbi circa violazioni del codice eticodell’azienda o sospette violazioni delle leggi/ regolamenti a cui l’azienda deve sottostare.

È contrario ai nostri valori chiunque effettui ritorsioni contro un dipendente o chi, in buonafede, segnali una violazione dell’etica o una sospetta violazione della legge, o sospetta frode o sospetta violazione di qualsiasi regolamento. Un dipendente che effettua ritorsioni contro qualcuno che ha segnalato una violazione in buona fede è soggetto a sanzioni disciplinari, fino al possibile licenziamento.

Dispositivi mobili

Tutti i dispositivi mobili che rientrano tra gli asset aziendali ed assegnati ai dipendenti, collaboratori esterni o partner dell’azienda (ad esempio telefoni cellulari, laptop) devono essere conformi a quanto definito dal presente paragrafo.
I dipendenti devono prestare la massima attenzione quando aprono allegati di posta elettronica ricevuti da mittenti sconosciuti, che potrebbero contenere malware.
Le password a livello di sistema e a livello utente devono essere conformi alla Politica di controllo degli accessi. È vietato fornire l’accesso ad un esterno sconosciuto, deliberatamente o attraverso la mancata messa in sicurezza di un dispositivo.
Tutti i dispositivi di proprietà dell’azienda assegnati all’utente finale, utilizzati per l’accesso ai sistemi informativi (ad esempio la posta elettronica) dell’azienda devono rispettare le seguenti regole e requisiti:

• I dispositivi devono essere bloccati con uno screen saver protetto da password (o un controllo equivalente come quello biometrico) o con un blocco dello schermo dopo 5 minuti;
• Gli utenti devono segnalare immediatamente qualsiasi sospetto uso improprio o furto di un dispositivo mobile a Responsabile IT;
• Le informazioni riservate non devono essere archiviate su dispositivi mobili o unità USB(questo non si applica alle informazioni di contatto aziendali, ad esempio nomi, numeri di telefono e indirizzi e-mail);
• Qualsiasi dispositivo mobile, utilizzato per accedere alle risorse aziendali (comecondivisioni di file ed e-mail), non deve essere condiviso con nessun’altra persona;
• Al momento della risoluzione del contratto, gli utenti accettano di restituire tutti i dispositivi di proprietà dell’azienda e di eliminare tutte le informazioni e gli account aziendali da qualsiasi dispositivo personale.

Dispositivi mobili personali (BYOD – Bring Your Own Device)

Per tutti i dispositivi BYOD, ovvero di proprietà di dipendenti, partner o collaboratori dell’azienda, quali ad esempio telefoni cellulari, tablet, laptop e che, quindi, non rientrano tra gli asset aziendali, è necessario che gli utenti siano consapevoli di quanto indicato di seguito:

• Gli utenti che utilizzano tali dispositivi mobili per scopi aziendali, sono soggetti al trattamento di dati personali e quindi alle condizioni e ai limiti del Regolamento UE2016/679 (“GDPR”);
• Nel momento in cui gli utenti utilizzano i propri dispositivi privati per scopi professionali si presentano ulteriori problemi di protezione delle informazioni, in quanto viene utilizzato lo stesso dispositivo sia per comunicazioni personali e sia della società. Sui dispositivi privati, l’azienda non è in grado di esercitare lo stesso livello di controllo che viene applicato sui dispositivi aziendali. Per tale ragioni non è possibile utilizzare i BYOD per accedere alle risorse aziendali (come e-mail aziendali, cloud, server ecc.).

Al fine di garantire la compliance alla sicurezza delle informazioni, qualora necessario utilizzare il BYOD per attività lavorative che trattano le informazioni aziendali, è importante che il Responsabile del Sistema di Gestione sia coinvolto sin dalle prime fasi della pianificazione dell’introduzione dell’uso dei BYOD per garantire che le misure adottate siano conformi a garantire la sicurezza delle informazioni, in linea con il paragrafo “Dispositivi mobili”.

Blocco schermo e scrivania pulita

I dipendenti non dovranno lasciare materiali riservati non protetti sulla propria scrivania o spazio di lavoro e si assicureranno che gli schermi siano bloccati quando non vengono utilizzati.

Lavoro e accesso da remoto

Il lavoro a distanza si riferisce a qualsiasi situazione in cui il personale organizzativo opera da luoghi esterni all’ufficio. Ciò include il telelavoro, il luogo di lavoro flessibile, gli ambienti di lavoro virtuali e la manutenzione remota. Laptop e altre risorse informatiche utilizzate per accedere alla rete aziendale devono essere conformi ai requisiti di sicurezza definiti nella Politica sulla sicurezza delle informazioni e aderire ai seguenti standard:

• È necessario seguire le regole aziendali durante il lavoro in remoto, inclusi protocolli di scrivania pulita, stampa, smaltimento di risorse e segnalazione di eventi di sicurezza delle informazioni per prevenire la gestione impropria o l’esposizione accidentale di informazioni sensibili.
• Per garantire che i dispositivi mobili non contengano virus che potrebbero compromettere la rete aziendale, si richiede l’installazione di software antivirus lato dipendente.
• Il software antivirus deve essere configurato per rilevare e prevenire o mettere in quarantena software dannoso, eseguire scansioni periodiche del sistema e abilitare gli aggiornamenti automatici.
• Quando il dipendente si collega da una rete domestica, si deve assicurare che le impostazioni del Wi-Fi predefinite siano modificate, come nome, password e accesso amministratore.
• Ai dipendenti è vietato modificare o disattivare eventuali controlli di sicurezza organizzativi quali firewall personali, software antivirus sui sistemi utilizzati per accedere alle risorse aziendali.
• Le tecnologie di accesso remoto non autorizzate non possono essere utilizzate o installate su alcun sistema aziendale.

Utilizzo accettabile

Informazioni proprietarie e dei clienti archiviate su dispositivi elettronici e informatici, di proprietà o noleggiati dall’organizzazione, del dipendente o di un terzo, rimangono di proprietà esclusiva dell’azienda. I dipendenti e i collaboratori esterni devono garantire, attraverso mezzi legali o tecnici, che le informazioni proprietarie siano protette in conformità con la procedura di Politica di gestione delle informazioni.

Il dipendente ha la responsabilità di segnalare tempestivamente il furto, lo smarrimento o la divulgazione non autorizzata di informazioni o apparecchiature proprietarie dell’azienda. È possibile accedere, utilizzare o condividere informazioni proprietarie dell’azienda solo nella misura in cui è autorizzato e necessario per adempiere alle mansioni lavorative assegnate. I dipendenti sono tenuti ad esercitare il buon senso riguardo alla ragionevolezza dell’uso personale dei dispositivi forniti dall’azienda.

Per scopi di sicurezza e manutenzione della rete, le persone autorizzate all’interno dell’azienda possono monitorare apparecchiature, sistemi e traffico di rete in qualsiasi momento. L’azienda si riserva il diritto di verificare periodicamente reti e sistemi per garantire il rispetto di questa procedura.

Utilizzo non accettabile

Le seguenti attività sono, in generale, vietate. I dipendenti possono essere esentati da queste restrizioni durante lo svolgimento delle loro legittime responsabilità lavorative, previa approvazione del Top management adeguatamente documentata. In nessun caso un dipendente dell’organizzazione è autorizzato a impegnarsi in qualsiasi attività illegale ai sensi della legge locale, statale, o internazionale durante l’utilizzo di risorse di proprietà dell’azienda o mentre rappresentano l’azienda a qualsiasi titolo. L’elenco seguente non è esaustivo, ma tenta di fornire un quadro per le attività che rientrano nella categoria di uso inaccettabile.

Sono severamente vietate, senza eccezioni, le seguenti attività:

1. Violazioni dei diritti di qualsiasi persona o azienda protetta da copyright, segreto commerciale, brevetto o altra proprietà intellettuale, o leggi o regolamenti simili, inclusa, ma non limitata a, l’installazione o la distribuzione di prodotti software “pirata” o altri prodotti software che siano non adeguatamente concesso in licenza per l’uso da parte dell’organizzazione.
2. Copia non autorizzata di materiale protetto da copyright inclusa, ma non limitata a, digitalizzazione e distribuzione di fotografie da riviste, libri o altre fonti protette da copyright, musica protetta da copyright e installazione di qualsiasi software protetto da copyright per il quale l’organizzazione oppure il dipendente non ha una licenza attiva.
3. Accedere a dati, a un server o a un account per scopi diversi dalla conduzione dell’attività commerciale dell’organizzazione, anche se si dispone dell’accesso autorizzato.
4. L’esportazione di software, informazioni tecniche, software di crittografia o tecnologia in violazione delle leggi internazionali o regionali sul controllo delle esportazioni è illegale. La gestione adeguata deve essere consultata prima dell’esportazione di qualsiasi materiale in questione.
5. Introduzione di programmi dannosi nella rete o nei sistemi (ad es. virus, worm, trojan, email bomb, ecc.).
6. Rivelare la password del proprio account ad altri o consentire l’uso a terzi. Ciò include la famiglia e altri membri della famiglia quando il lavoro viene svolto a casa.
7. Usare una risorsa informatica dell’organizzazione per impegnarsi attivamente nella fornitura o nella trasmissione di materiale che violi le molestie sessuali o le leggi ostili sul posto di lavoro.
8. Fare offerte fraudolente di prodotti, articoli o servizi provenienti da qualsiasi account dell’organizzazione.
9. Fare dichiarazioni sulla garanzia, esplicita o implicita, a meno che non facciano parte delle normali mansioni lavorative.
10. Effettuare violazioni della sicurezza o interruzioni della comunicazione di rete. Le violazioni della sicurezza includono, ma non sono limitate a, l’accesso a dati di cui il dipendente non è il destinatario previsto o l’accesso a un server o account a cui il dipendente non è espressamente autorizzato ad accedere. Ai fini di questa sezione, “interruzione” include, ma non è limitato a, sniffing di rete, ping flood, spoofing di pacchetti, negazione del servizio e informazioni di routing contraffatte per scopi dannosi
11. La scansione delle porte o la scansione di sicurezza è espressamente vietata senza previa notifica all’azienda.
12. Esecuzione di qualsiasi forma di monitoraggio della rete che intercetti dati non destinati all’host del dipendente, a meno che questa attività non rientri nel normale lavoro/dovere del dipendente.
13. Eludere l’autenticazione dell’utente o la sicurezza di qualsiasi host, rete o account.
14. Introduzione di honeypot, honeynet o tecnologie simili sulla rete.
15. Interferire o negare il servizio a qualsiasi utente diverso dall’host del dipendente (ad esempio, attacco di negazione del servizio).
16. Utilizzo di programmi/ script/ comandi o invio di messaggi di qualsiasi tipo con l’intento di interferire o disabilitare la sessione di un utente con qualsiasi mezzo.
17. Fornire informazioni o elenchi di: dipendenti, appaltatori, partner o clienti a soggetti esterni all’organizzazione senza autorizzazione.

Attività di posta elettronica e comunicazione

Quando utilizzano le risorse aziendali per accedere e utilizzare Internet, i dipendenti devono rendersi conto di rappresentare l’azienda e agire di conseguenza.

Sono severamente vietate, senza eccezioni, le seguenti attività:

• Invio di messaggi e-mail non richiesti, incluso l’invio di “posta indesiderata” o altro materiale pubblicitario a soggetti che non hanno richiesto espressamente tale materiale(e-mail spam).
• Qualsiasi forma di molestia via e-mail, telefono o SMS
• Uso non autorizzato o falsificazione delle informazioni dell’intestazione dell’e-mail
• Sollecitazione di posta elettronica per qualsiasi altro indirizzo di posta elettronica, diverso da quello dell’account dell’autore con l’intento di molestare o raccogliere risposte.
• Creazione o inoltro di “catene di sant’antonio”, “ponzi” o altri schemi “piramidali” di qualsiasi tipo.
• Utilizzo di e-mail non richieste provenienti dall’interno di reti o altri fornitori di servizi per conto di, o per pubblicizzare, qualsiasi servizio ospitato dell’organizzazione connesso tramite la rete dell’azienda.

Politiche aggiuntive incorporate per riferimento

Il personale è responsabile della lettura e del rispetto di tutte le politiche relative ai propri ruoli e responsabilità elencate sul documento aziendale.

Politica	Scopo
Politica dei ruoli e responsabilità in materia di sicurezza delle informazioni	Questa politica stabilisce e comunica i ruoli e le responsabilità all’interno dell’azienda. I ruoli sono necessari all’interno dell’organizzazione per fornire responsabilità chiaramente definite e una comprensione delle modalità di protezione delle informazioni. Il loro scopo è quello di chiarire, coordinare le attività e le azioni necessarie per diffondere la politica, gli standard e l’implementazione della sicurezza delle informazioni.
Politica delle risorse umane sulla sicurezza delle informazioni	Scopo della presente politica è quello di garantire che i dipendenti e gli appaltatori soddisfino i requisiti di sicurezza, comprendano le loro responsabilità e siano adatti ai loro ruoli.
Politica di controllo degli accessi	Limitare l’accesso alle informazioni e ai sistemi, alle reti e alle strutture di elaborazione delle informazioni alle parti autorizzate in conformità con gli obiettivi aziendali.
Politica di crittografia	Garantire un uso corretto ed efficace della crittografia per proteggere la riservatezza, l’autenticità e/o l’integrità delle informazioni.
Politica di gestione del rischio della sicurezza delle informazioni	La seguente politica ha lo scopo di definire le azioni per affrontare i rischi di sicurezza delle informazioni e definire un piano per il raggiungimento degli obiettivi di sicurezza delle informazioni e della privacy.
Politica di gestione delle informazioni	Scopo della presente politica è quello di garantire che le informazioni siano classificate, protette, conservate e smaltite in modo sicuro in base alla loro importanza.
Politica di gestione delle terze parti	Per garantire la protezione dei dati e delle risorse dell’organizzazione condivisi con, accessibili o gestiti dai fornitori, comprese parti esterne o organizzazioni di terze parti come fornitori di servizi, venditori e clienti, e per mantenere un livello concordato di sicurezza delle informazioni e fornitura di servizi in linea con gli accordi con i fornitori.
Politica di gestione patrimoniale	Identificare le risorse organizzative e definire adeguate responsabilità di protezione.
Politica di progettazione e sviluppo sicuro	Garantire che la sicurezza delle informazioni sia progettata e implementata all’interno del ciclo di vita dello sviluppo di applicazioni e sistemi informativi.
Politica di sicurezza delle informazioni per gli ex dipendenti	Questa politica è stata redatta pergarantire la sicurezza delle informazioni ela protezione dei beni aziendali dopo la cessazione del rapporto di lavoro di undipendente. Gli ex dipendenti sono tenuti a seguire le indicazioni riportate in questo documento.
Politica di sicurezza fisica	Scopo della presente politica è quello di prevenire l’accesso fisico non autorizzato o danni alle strutture di elaborazione delle informazioni e delle informazioni dell’azienda.
Politica di sicurezza operativa	Garantire il funzionamento corretto e sicuro dei sistemi e delle strutture di elaborazione delle informazioni.

Conformità alle politiche

L’organizzazione misurerà e verificherà la conformità a questa procedura attraverso vari metodi, incluso ma non limitato al monitoraggio continuo e agli audit interni ed esterni.

Eccezioni

Le richieste di eccezione a questa procedura devono essere presentate al Responsabile del Sistema di Gestione per l’approvazione.

Violazioni e applicazione

Qualsiasi violazione nota di questa procedura deve essere segnalata al Responsabile del Sistema di Gestione. Le violazioni di questa procedura possono comportare il ritiro o la sospensione immediata dei privilegi del sistema e della rete e/o azioni disciplinari in conformità con le procedure aziendali fino al licenziamento.