Passa a professionisti

|
Política de Seguridad

Politica di sicurezza

Versione aggiornata al 16 ottobre 2023

VIETATA LA RIPRODUZIONE TOTALE O PARZIALE DI QUESTO DOCUMENTO SENZA AUTORIZZAZIONE

Organizzazione e implementazione del processo di sicurezza (Art. 13)

Questa “Politica di Sicurezza delle Informazioni” è efficace dalla sua entrata in vigore il giorno 16 ottobre 2023 da parte di Insulcloud.

La Politica viene revisionata dal Responsabile della Sicurezza delle Informazioni a intervalli pianificati, non superiori a un anno, o ogni volta che si verifichino cambiamenti significativi, al fine di garantirne l’idoneità, adeguatezza ed efficacia.

La sicurezza dei sistemi informativi deve coinvolgere tutti i membri dell’organizzazione ed essere comunicata in modo efficace.

Le modifiche alla Politica di Sicurezza delle Informazioni saranno approvate dalla Direzione di Insulcloud e diffuse a tutta l’Organizzazione.

La Direzione è consapevole del valore delle informazioni ed è profondamente impegnata nella politica descritta in questo documento.

Quadro normativo

Il quadro normativo in materia di sicurezza delle informazioni in cui opera Insulcloud è essenzialmente il seguente:

  • Legge Organica 3/2018, del 5 dicembre, sulla Protezione dei Dati Personali e garanzia dei diritti digitali.
  • RD 311/2022, del 3 maggio, che regola il Quadro Nazionale di Sicurezza (ENS) nell’ambito dell’amministrazione elettronica.
  • ENS. Articolo 12. Organizzazione e implementazione del processo di sicurezza.
  • Regolamento (UE) 2016/679 (GDPR) sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.
  • Guida di Sicurezza TIC CCN-STIC 805 ENS. Politica di sicurezza delle informazioni.
  • Guida di Sicurezza TIC CCN-STIC 801 ENS. Responsabilità e funzioni.
  • Contratto Collettivo Nazionale applicabile: “Convenzione collettiva nazionale delle imprese di ingegneria; uffici di studi tecnici; ispezione, supervisione e controllo tecnico e qualità”.
  • Legge 34/2002, dell’11 luglio, sui Servizi della Società dell’Informazione e Commercio Elettronico (LSSI-CE).

Missione

Lo scopo di questa Politica di Sicurezza delle Informazioni è proteggere le informazioni dei servizi di Insulcloud.

La Politica, insieme alla Normativa di Sicurezza, sarà comunicata a tutti i dipendenti affinché possa essere compresa, letta e applicata.

Questa politica si applica al Sistema informativo di proprietà di Insulcloud, per la corretta prestazione dei servizi di assistenza tecnica, mediante assegnazione di personale qualificato a enti pubblici, gestendone e monitorandone le attività nei seguenti ambiti:

  • Consulenza TIC e di sicurezza, audit tecnici e di conformità, secondo le disposizioni del RD 311/2022, ISO/IEC 27001 e la Dichiarazione di Applicabilità vigente.

Funzioni di sicurezza

Insulcloud ha nominato un COMITATO di Sicurezza con funzioni e responsabilità definite.

L’istituzione di tale comitato e la designazione dei diversi ruoli sono registrate nell’Atto Costitutivo del comitato dell’11/06/2021 e nell’Atto di Nomina dell’11/06/2021.

Il Comitato di Sicurezza delle Informazioni ENS è composto da:

  • Responsabile della Sicurezza
  • Responsabile dei Sistemi
  • Responsabile delle Informazioni
  • Responsabile del Servizio
  • Responsabile di Direzione

Ogni ruolo ha un supplente, per un totale di cinque supplenti.

Devono essere identificati chiaramente i responsabili e tali informazioni devono essere note a tutti i membri dell’organizzazione.

Le nomine sono stabilite dalla Direzione e vengono riviste ogni 2 anni o in caso di vacanza della posizione.

I diversi ruoli e le rispettive funzioni e responsabilità sono:

  • Il Responsabile di Direzione ha le seguenti funzioni:

    • Definire gli obiettivi e garantire che vengano raggiunti
    • Comprendere il funzionamento di ogni reparto e la loro coordinazione
    • Organizzare funzioni, responsabilità e Politica di Sicurezza
    • Fornire risorse, budget e personale adeguati

  • Il Responsabile delle Informazioni ha le seguenti funzioni:

    • Accettare i rischi residui sulle informazioni definiti nell’analisi del rischio.
    • Valutare le proposte del Responsabile della Sicurezza e del Sistema.
    • Determinare i requisiti delle informazioni trattate.
    • Garantire la protezione delle informazioni (fisica, servizi, privacy).
    • Monitorare i cambiamenti normativi rilevanti.
    • Implementare misure tecniche e organizzative per proteggere i dati personali.

  • Il Responsabile del Servizio ha le seguenti funzioni:

    • Definire i requisiti di sicurezza dei servizi forniti ai Clienti.
    • Revisionare e approvare i livelli di sicurezza.
    • Integrare specifiche di sicurezza nel ciclo di vita dei servizi.
    • Valutare l’impatto delle eventuali violazioni sulla sicurezza.
    • Assumere la proprietà dei rischi sui servizi.

  • Il Responsabile del Sistema ha le funzioni:

    • Sviluppare, operare e mantenere il Sistema.
    • Definire topologia e politiche di gestione.
    • Definire le politiche di connessione e disconnessione.
    • Implementare misure specifiche di sicurezza del sistema.
    • Determinare la configurazione autorizzata hardware/software.
    • Approvare modifiche significative alla configurazione.
    • Condurre l’analisi e la gestione dei rischi.
    • Elaborare e approvare la documentazione di sicurezza.
    • Investigare incidenti di sicurezza.
    • Stabilire piani di emergenza e continuità.

  • Il Responsabile della Sicurezza avrà le seguenti funzioni:

    • Essere designato dalla Direzione.
    • Prendere decisioni per soddisfare i requisiti di sicurezza.
    • Garantire la sicurezza e la privacy dei dati aziendali.
    • Supervisionare e controllare l’accesso alle informazioni.
    • Elaborare misure di risposta agli incidenti e recupero disastri.
    • Garantire il rispetto della normativa in materia di sicurezza.
    • Coordinare con i fornitori esterni.
    • Garantire la sicurezza delle informazioni e dei servizi.
    • Promuovere formazione e consapevolezza in materia di sicurezza.
    • Garantire il corretto uso delle apparecchiature informatiche.
    • Coordinare il team per la risposta alle violazioni.
    • Agire come POC (Punto di Contatto per la Sicurezza) con i Clienti.
    • Combattere frodi e furto di informazioni.
    • Progettare il piano di formazione ENS per il personale di Insulcloud.

  • Il DPO (Responsabile della Protezione dei Dati) avrà le seguenti funzioni:

    • Informare e consigliare sul rispetto del GDPR.
    • Sorvegliare il rispetto del regolamento e condurre audit.
    • Consigliare in merito alla valutazione d’impatto sulla protezione dei dati.
    • Agire come punto di contatto con l’autorità di controllo.
    • Svolgere le funzioni prestando attenzione ai rischi derivanti dal trattamento.

Il Responsabile del Sistema può sospendere il trattamento o il servizio in caso di gravi carenze di sicurezza, previo accordo con i responsabili delle informazioni, del servizio e della sicurezza.

Report

L’amministratore della sicurezza riporta al Responsabile del Sistema o al Responsabile della Sicurezza, a seconda della sua dipendenza funzionale:

  • Incidenti relativi alla sicurezza del sistema o azioni di configurazione, aggiornamento o correzione.

Il Responsabile del Sistema informa il Responsabile dell’Informazione sugli incidenti funzionali relativi alle informazioni di sua competenza.

Il Responsabile del Sistema informa il Responsabile del Servizio sugli incidenti funzionali relativi al servizio di sua competenza.

Il Responsabile del Sistema riporta al Responsabile della Sicurezza:

  • Azioni in materia di sicurezza, in particolare riguardo alle decisioni sull’architettura del sistema
  • Riepilogo consolidato degli incidenti di sicurezza.

Analisi e gestione dei rischi (Art. 14)

Verrà effettuata un’analisi dei rischi, valutando le minacce e i rischi a cui sono esposti. Questa analisi sarà la base per determinare le misure di sicurezza da adottare, oltre ai minimi stabiliti dagli articoli 7 e 14 del BOE, e sarà ripetuta:

  • Regolarmente, almeno una volta all’anno.
  • Quando cambiano le informazioni trattate.
  • Quando cambiano i servizi erogati.
  • Quando si verifica un grave incidente di sicurezza.
  • Quando vengono segnalate vulnerabilità gravi.
  • Quando si verifica un incidente di sicurezza relativo alla normativa LOPDGDD.
  • Quando vi è una violazione dei dati personali relativa alle informazioni trattate di un utente secondo la normativa LOPDGDD.

I criteri di valutazione dei rischi saranno specificati nella metodologia di valutazione dei rischi e degli incidenti di sicurezza elaborata dall’organizzazione, basandosi su standard, buone pratiche riconosciute e normative giuridiche.

Devono essere trattati, come minimo, tutti i rischi che possano impedire gravemente l’erogazione dei servizi o il conseguimento della missione dell’organizzazione. Saranno prioritari i rischi che comportano un’interruzione dei servizi o ripercussioni sulle informazioni trattate.

I criteri di valutazione dei rischi saranno specificati nella metodologia di valutazione dei rischi elaborata dall’organizzazione, basandosi su standard e buone pratiche riconosciute. Devono essere trattati, come minimo, tutti i rischi che possano impedire gravemente l’erogazione dei servizi o il conseguimento della missione di Insulcloud presso i Clienti.

Il proprietario di un rischio deve essere informato dei rischi che riguardano la sua proprietà e del rischio residuo al quale è sottoposta. Quando un sistema informativo entra in operatività, i rischi residui devono essere formalmente accettati dal rispettivo proprietario.

Gestione del personale (Art. 15)

Il personale, proprio o esterno, connesso ai sistemi informativi soggetti a quanto disposto in questo Real Decreto 311/2022, deve essere formato e informato sui propri doveri, obblighi e responsabilità in materia di sicurezza.

La sua attività deve essere supervisionata per verificare che vengano seguite le procedure stabilite, applicando le norme e le procedure operative di sicurezza approvate nello svolgimento dei propri compiti.

Il significato e la portata dell’uso sicuro del sistema saranno definiti e riportati nel documento Normativa di Sicurezza che sarà approvato dalla direzione di Insulcloud. Sarà diffuso a tutta l’organizzazione ed è obbligatorio comunicarlo ad ogni nuovo ingresso in Insulcloud.

Professionalità (Art. 16)

La sicurezza dei sistemi informativi sarà gestita, revisionata e verificata da personale qualificato, dedicato e formato in tutte le fasi del ciclo di vita: pianificazione, progettazione, acquisizione, implementazione, esercizio, manutenzione, gestione degli incidenti e dismissione.

Le entità nell’ambito di applicazione di questo decreto richiederanno, in modo oggettivo e non discriminatorio, che le organizzazioni che prestano servizi di sicurezza dispongano di professionisti qualificati e livelli adeguati di gestione e maturità nei servizi erogati.

Insulcloud determinerà i requisiti di formazione ed esperienza necessari per il personale per lo svolgimento del proprio ruolo.

Autorizzazione e controllo degli accessi (Art. 17)

L’accesso controllato ai sistemi informativi compresi nell’ambito di applicazione di questo decreto reale sarà limitato a utenti, processi, dispositivi o altri sistemi informativi debitamente autorizzati ed esclusivamente alle funzioni consentite.

I privilegi di accesso di una risorsa (persona) al sistema informativo di Insulcloud sono per default limitati al minimo necessario per l’esecuzione delle sue funzioni.

Il sistema informativo di Insulcloud sarà sempre configurato in modo da evitare che una risorsa (persona) possa accedere accidentalmente a risorse con diritti differenti da quelli autorizzati.

Protezione delle strutture (Art. 18)

I sistemi informativi e la relativa infrastruttura di comunicazione devono trovarsi in aree controllate e disporre di meccanismi di accesso adeguati e proporzionati in base all’analisi dei rischi, senza pregiudizio di quanto stabilito nella Legge 8/2011, del 28 aprile e nel Real Decreto 704/2011, del 20 maggio.

Acquisizione di prodotti e servizi di sicurezza (Art. 19)

Nell’acquisizione di prodotti di sicurezza o nella contrattazione di servizi di sicurezza ICT destinati ai sistemi informativi nell’ambito di applicazione di questo decreto reale, si utilizzeranno, proporzionalmente alla categoria del sistema e al livello di sicurezza determinato, quelli con funzionalità di sicurezza certificata pertinenti allo scopo previsto.

L’Organismo di Certificazione del Sistema Nazionale di Valutazione e Certificazione della Sicurezza delle Tecnologie dell’Informazione del Centro Criptologico Nazionale (CCN), costituito ai sensi dell’articolo 2.2.c) del Real Decreto 421/2004, tenendo conto dei criteri e metodi di valutazione nazionali e internazionali riconosciuti, determinerà i seguenti aspetti:

  • I requisiti funzionali di sicurezza e di garanzia della certificazione.
  • Altre certificazioni di sicurezza richieste normativamente.
  • Eccezionalmente, il criterio da seguire nei casi in cui non esistano prodotti o servizi certificati.

Per la contrattazione di servizi di sicurezza si seguirà quanto previsto nei paragrafi precedenti e nell’articolo 16.

Minimo privilegio (Art. 20)

I sistemi informativi devono essere progettati e configurati assegnando i privilegi minimi necessari per il corretto funzionamento, incorporando i seguenti aspetti:

  • Il sistema fornirà solo le funzionalità essenziali affinché l’organizzazione raggiunga i propri obiettivi.
  • Le funzioni di gestione, amministrazione e registrazione dell’attività saranno le minime necessarie, e saranno garantite solo a persone autorizzate, da posizioni o apparecchi autorizzati.
  • Saranno rimosse o disattivate, tramite controllo della configurazione, le funzioni non necessarie o non adatte allo scopo previsto. L’uso ordinario del sistema deve essere semplice e sicuro.
  • Saranno applicate linee guida di configurazione della sicurezza per le diverse tecnologie, adattate alla categorizzazione del sistema.

Integrità e aggiornamento del sistema (Art. 21)

L’inclusione di qualsiasi elemento fisico o logico nel catalogo aggiornato degli asset del sistema, o la sua modifica, richiederà l’autorizzazione formale del Responsabile della Sicurezza di Insulcloud.

La valutazione e il monitoraggio permanenti consentiranno di adeguare lo stato di sicurezza dei sistemi, tenendo conto delle vulnerabilità, delle configurazioni e degli aggiornamenti, con rilevamento tempestivo degli incidenti. La Responsabilità sarà a carico del Responsabile della Sicurezza di Insulcloud.

Protezione delle informazioni archiviate e in transito (Art. 22)

Nell’organizzazione e nell’implementazione della sicurezza, si presterà particolare attenzione alle informazioni archiviate o in transito attraverso dispositivi mobili, periferiche, supporti informatici e comunicazioni su reti aperte.

Saranno applicate procedure che garantiscano il recupero e la conservazione a lungo termine dei documenti elettronici prodotti dai sistemi informativi, quando richiesto.

Ogni informazione su supporto non elettronico legata direttamente all’informazione elettronica sarà protetta con lo stesso livello di sicurezza.

Prevenzione dei sistemi informativi interconnessi (Art. 23)

Il perimetro del sistema informativo sarà protetto, soprattutto se collegato a reti pubbliche, come definito nella Legge 9/2014, del 9 maggio, potenziando le attività di prevenzione, rilevamento e risposta agli incidenti di sicurezza.

Registrazione dell’attività e rilevamento di codice dannoso (Art. 24)

Per soddisfare gli obiettivi di questo decreto, nel pieno rispetto della normativa sulla protezione dei dati e dei diritti degli interessati, le attività degli utenti saranno registrate, trattenendo solo le informazioni strettamente necessarie per monitorare, analizzare, investigare e documentare attività indebite o non autorizzate.

Al fine di preservare la sicurezza dei sistemi informativi, nel rispetto del GDPR e dei principi di minimizzazione, limitazione della finalità e conservazione, le comunicazioni in entrata e in uscita potranno essere analizzate esclusivamente per fini di sicurezza delle informazioni.

Per correggere o, se del caso, individuare responsabilità, ogni utente del sistema deve essere identificato in modo univoco, in modo da sapere quali diritti ha e quali azioni esegue.

Incidenti di sicurezza (Art. 25)

L’ente titolare dei sistemi informativi soggetti a questo decreto disporrà di procedure per la gestione degli incidenti di sicurezza in conformità con l’articolo 33 e le corrispondenti Istruzioni Tecniche di Sicurezza, e, nel caso di operatori di servizi essenziali o fornitori di servizi digitali, secondo quanto previsto nell’allegato del Real Decreto 43/2021, del 26 gennaio.

Saranno predisposti meccanismi di rilevamento, criteri di classificazione, procedure di analisi e risoluzione, nonché canali di comunicazione e registri delle attività. Tali registri saranno utilizzati per il miglioramento continuo della sicurezza del sistema.

Continuità operativa (Art. 26)

I sistemi disporranno di copie di backup e dei meccanismi necessari per garantire la continuità delle operazioni in caso di perdita dei mezzi abituali.

Miglioramento continuo del processo di sicurezza (Art. 27)

Il processo integrato di sicurezza implementato dovrà essere aggiornato e migliorato continuamente, applicando criteri e metodi riconosciuti a livello nazionale e internazionale relativi alla gestione della sicurezza delle informazioni.

Riferimento documentale

  • IC_Inventory of Policies_v1
  • IC_Security Regulations_v1
  • IC_Privacy Policy_v1

Controllo delle modifiche

VERSIONEDATAAUTOREDESCRIZIONE
0116/10/2023Nacho GaiteroAggiornamento ISO 27001 - ENS
0026/10/2020Miguel Uña VázquezVersione iniziale della procedura

Certificato di sicurezza

Il sistema di gestione della sicurezza delle informazioni di Insulcloud è certificato secondo: