Information Security Policy
1 Introduzione
Shorr Kan Srl (di seguito, per brevità, “SK”) riconosce la necessità di garantire che la propria attività aziendale venga erogata senza interruzioni e garantendo il massimo livello di tutela delle information asset che ci vengono affidate, per contratto o per scelta interna.
Per ottenere questo risultato SK ha implementato un Sistema di Gestione della Sicurezza delle Informazioni – Information Security Management System (di seguito, per brevità, chiamato “ISMS”) conforme allo standard internazionale per la sicurezza delle informazioni ISO/IEC 27001:2022 e ai codici di condotta ISO/IEC 27017:2015 e ISO/IEC/27018:2019.
Questo standard definisce i requisiti per un ISMS basato sulle migliori best practice internazionali.
1.1 Principi
La Information Security Policy di SK si ispira ai seguenti principi:
- Garantire all’organizzazione la piena conoscenza delle informazioni gestite e la valutazione della loro criticità, al fine di agevolare l’implementazione degli adeguati livelli di protezione;
- Garantire l’integrità, la confidenzialità e disponibilità delle informazioni gestite;
- Garantire l’accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati senza i diritti necessari;
- Garantire che l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando policy volte al rispetto di adeguati livelli di sicurezza;
- Garantire che l’organizzazione e le terze parti che collaborano al trattamento delle informazioni, abbiano piena consapevolezza delle problematiche relative alla security anche per i servizi erogati al mercato;
- Garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business;
- Garantire che l’accesso alle sedi ed ai singoli locali aziendali avvenga esclusivamente da personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti;
- Garantire la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
Garantire la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni; - Garantire la business continuity aziendale e il disaster recovery, attraverso l’applicazione di procedure di sicurezza stabilite a priori.
1.2 Benefici
L’implementazione e il mantenimento di Proteo ha molti vantaggi per i Clienti di SK, per SK stessa ei suoi dipendenti e collaboratori. Tra questi vi sono:
Maggiori garanzie sull’erogazione dei nostri servizi ai Clienti;
Il mantenimento, e la crescita, del valore dell’organizzazione SK;
La conformità ai requisiti legali del nostro Paese e agli eventuali regolamenti o procedure imposte dai nostri Clienti.
SK ha deciso di adottare e mantenere la certificazione completa secondo lo standard ISO/IEC 27001:2022 e ai codici di condotta ISO/IEC 27017:2015 e ISO/IEC/27018:2019.
Questo implica che l’effettiva adozione da parte nostra delle best practice di gestione della sicurezza delle informazioni sia convalidata da una terza parte indipendente, ovvero un Organismo di Certificazione Registrato.
2 Information security policy
2.1 Requisiti di Information Security
E’ nostra intenzione identificare, mantenere, comunicare e rivedere periodicamente i requisiti della Sicurezza delle Informazioni che intendiamo adottare, affinché tutte le attività eseguire nel contesto del nostro ISMS siano focalizzare nel mantenere questi requisiti.
Tra questi requisiti abbiamo identificato:
- Oggetto
- Obiettivi
- Policy
- Istruzioni e procedure operative
- Controlli
- risorse umane e materiali
- strumenti e metodi.
Il driver principale che abbiamo adottato per identificare questi requisiti è il fabbisogno operativo aziendale, che in ultima analisi consiste nel garantire l’erogazione dei servizi ai nostri clienti.
All’interno di questa categoria di attenzione riteniamo di aver considerato, tra gli altri fabbisogni:
- Le evoluzioni significative del business;
- Le minacce a cui siamo esposti, le relative vulnerabilità conseguenti e i potenziali rischi;
- Eventuali significativi incidenti di sicurezza;
- L’evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.
2.2 Ciclo di revisione
Gli obiettivi e le risorse da dedicare all’ISMS saranno rivisti annualmente, e tale processo sarà integrato nelle procedure di redazione annuale del bilancio aziendale, integrando nella Nota Integrativa un apposito paragrafo dedicato all’ISMS.
In accordo con la norma ISO/IEC 27001, adotteremo i Controlli dell’Allegato A che SK riterrà opportuno adottare sulla base dei nostri requisiti. Questi controlli saranno riesaminati regolarmente alla luce dei risultati delle valutazioni dei rischi e in linea con i piani di trattamento dei rischi che saranno adottati. Per i dettagli su quali controlli dell’allegato A sono stati implementati e quali sono stati esclusi si rimanda allo Statement of Applicability (di seguito “SOA”).
2.3 Miglioramento continuo
Per noi di SK il cosiddetto “miglioramento continuo” consiste nel:
- Migliorare continuamente l’efficacia dell’ISMS;
- Migliorare i processi aziendali attuali per allinearli alle best practice come definito nella ISO/IEC 27001e i relativi standard;
- Ottenere la certificazione ISO/IEC 27001 e mantenerla su base periodica;
- Aumentare il livello di proattività (e la percezione della proattività da parte degli stakeholder) in merito alla sicurezza delle informazioni;
- Rendere i processi e i controlli di sicurezza delle informazioni più misurabili al fine di fornire una solida base per decisioni più consapevoli e informate;
- Rivedere le metriche più importanti su base annuale per valutare se sia opportuno modificarle;
- Ascoltare e ottenere idee per il miglioramento di Proteo tramite riunioni regolari e altre forme di comunicazione con le parti interessate;
- Esaminare le idee per il miglioramento durante le riunioni di gestione periodiche al fine di stabilire le priorità e valutare tempi e benefici di implementazione.
2.4 Aree di interesse e documenti di supporto
SK definisce le politiche di condotta in merito all’ISMS per un’ampia varietà di aree relative alla sicurezza delle informazioni. Queste politiche di condotta sono descritte in dettaglio in una serie completa di documenti (le Policy) che accompagna questa politica generale sulla sicurezza delle informazioni.
Abbiamo definito delle Policy di sicurezza per una vasto numero di aree relative alla sicurezza delle informazioni che sono rilevanti ai fini del nostro ISMS.
Queste Policy collegate sono allegate alla presente policy primaria di sicurezza delle informazioni.
Ciascuna di queste Policy è definita e concordata con una o più persone con competenza nell’area di pertinenza e, una volta approvata, è comunicata alle risorse interessare, che possono essere sia interne che esterne all’organizzazione SK.
2.5 Estensione ai Servizi Cloud
SK ha stabilito standard minimi di sicurezza relativi al proprio utilizzo dei servizi Cloud e all’utilizzo da parte dei nostri Clienti dei servizi cloud erogati da SK.
Consideriamo i servizi Cloud che utilizziamo come estensioni della nostra infrastruttura che richiedono un livello di sicurezza applicato alle informazioni uguale o maggiore, a seconda della natura del servizio e delle risorse custodite o elaborate al suo interno.
SK richiede che la riservatezza, l’integrità e la disponibilità delle risorse all’interno dei servizi Cloud siano protette e preservate allo stesso livello delle risorse all’interno dei propri sistemi. I servizi cloud utilizzati da SK rientrano nell’ambito del sistema di gestione della sicurezza delle informazioni (ISMS/PROTEO) di SK e sono soggetti alla valutazione del rischio e all’applicazione di adeguati controlli tecnici e organizzativi in linea con le procedure definite nell’ISMS.
I ruoli e le responsabilità per la gestione dell’ambiente e i servizi cloud sono chiaramente definiti all’interno della nostra organizzazione e sono informazioni facenti parte della documentazione contrattuale con i Cliente.
Abbiamo stabilito e manteniamo una chiara divisione delle responsabilità tra SK e i nostri eventuali sub-fornitori, compresi i sub-fornitori di servizi cloud.
In particolare, i controlli applicati ai servizi Cloud all’interno dell’ISMS di SK prendono in considerazione:
- Le informazioni archiviate nel servizio Cloud e il rischio di potenziale accesso e/o gestione da parte del fornitore dell’infrastruttura Cloud;
- Gli asset mantenuti nel servizio Cloud;
- I processi ed i programmi utilizzati all’interno del servizio Cloud;
- I Rischi connessi ai servizi multi-tenant e/o virtualizzati;
- Gli utenti del servizio Cloud;
- Gli amministratori del servizio Cloud e gli altri soggetti con accesso privilegiato;
- I ruoli e le responsabilità appropriati in materia di informazioni, sicurezza e gestione della privacy;
- Le posizioni geografiche e i Paesi in cui il servizio Cloud può archiviare o elaborare i dati, indipendentemente dalla durata di tale archiviazione o elaborazione.
SK richiede che i servizi Cloud che utilizza rispettino tutti gli obblighi legislativi, regolamentari e contrattuali applicabili, compresi quelli relativi alla protezione delle informazioni di identificazione personale (PII) e ai diritti dei titolari PII. Questi includono gli obblighi a carico di SK come individuati nei rilevanti articoli della normativa sulla privacy applicabile, il GDPR (Regolamento UE 2016/679).
2.6 A chi si applica questa Policy
Questa Information Security Policy – così come tutte le policy di area dedicata – si applica a tutti i sistemi, le persone e i processi che utilizzano sistemi o risorse informative dell’organizzazione SK, inclusi i membri del consiglio di ammirazione, i manager, i dipendenti, i collaboratori, i fornitori e altre terze parti che hanno accesso ai sistemi o risorse di SK.
Tutte queste policy devono essere adottate e rispettate da tutti i dipendenti, collaboratori e fornitori di SK.
***
Questo documento è un estratto della Information Security Policy di SK. Per coloro che ne avessero interesse, la versione completa è disponibile dietro richiesta.