Politica per la sicurezza delle informazioni

Campo di applicazione

Oggetto del sistema di gestione per la sicurezza delle informazioni:
Sviluppo e manutenzione di soluzioni SAAS. Erogazione di software come servizi e relativo servizio di assistenza.

Riferimenti

La presente politica descrive gli elementi del sistema di gestione della sicurezza delleinformazioni in conformità alla Norma UNI CEI EN ISO/IEC 27001:2017.

Motivazione

KARON S.r.l. è una società che eroga servizi legati all’Information technology ed inparticolare mette a disposizione dei propri clienti Applicativi software come servizi, pertanto in modalità SAAS.

Data la natura delle proprie attività e vista la Normativa vigente per quanto concerne l’erogazione di tali Servizi, in particolare per quanto riguarda le Pubbliche Amministrazioni, KARON S.r.l. considera la sicurezza delle informazioni un fattore irrinunciabile per la protezione del patrimonio informativo dei propri clienti e un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo. Inoltre, pone particolare attenzione ai temi riguardanti la sicurezza durante l’erogazione del servizio, che deve essere ritenuto un bene primario dell’azienda. Il SGSI si applica a tutte le attività di analisi, progettazione, messa in esercizio ed esercizio stesso dei servizi erogati e dei dati ad esso collegato, nonché ai servizi di assistenza al cliente. In particolare, alla tutela dell’accesso ai sistemi sia fisici che logici
Consapevole del fatto che l’erogazione dei servizi per soggetti esterni può comportare l’affidamento di dati e informazioni critiche l’unità organizzativa che si occupa della progettazione ed erogazione di tali servizi opera secondo normative di sicurezza internazionalmente riconosciute
Per questi motivi si intendono adottare le misure, sia tecniche che organizzative, necessarie a garantire al meglio l’integrità, la riservatezza e la disponibilità del patrimonio informativo affidato a KARON S.r.l. dai propri Clienti.
Su tale linea KARON S.r.l. ha deciso di porre in essere un Sistema di Gestione per la Sicurezza delle Informazioni definito secondo regole e criteri previsti dalle “best practice” e dagli standard internazionali di riferimento in conformità anche alle indicazioni della norma internazionale ISO/IEC 27001:2013 e in particolare del suo recepimento a livello nazionale con la UNI CEI EN ISO/IEC 27001:2017.

Obiettivi

L'obiettivo del Sistema di Gestione per la Sicurezza delle Informazioni di KARON S.r.l. è di garantire un adeguato livello di sicurezza dei dati e delle informazioni nell'ambito della progettazione, sviluppo ed erogazione del servizio e dei servizi aziendali ad esso correlati, attraverso l'identificazione, la valutazione ed il trattamento dei rischi ai quali i servizi stessi sono soggetti.

Il Sistema di Gestione per la Sicurezza delle Informazioni di KARON S.r.l. definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sottoelencati requisiti di sicurezza di base:

  • Riservatezza, ovvero la proprietà dell'informazione di essere nota solo a chi ne ha i privilegi;
  • Integrità, ovvero la proprietà dell'informazione di essere modificata solo ed esclusivamente da chi ne possiede i privilegi;
  • Disponibilità, ovvero la proprietà dell'informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che ne godono i privilegi.

Inoltre, con la presente politica, KARON S.r.l. intende formalizzare i seguenti obiettivi nell'ambito della sicurezza delle informazioni:

  • Preservare al meglio l'immagine dell'azienda quale fornitore affidabile e competente;
  • Proteggere il patrimonio informativo dei propri clienti;
  • Evitare al meglio ritardi nel rilascio dei servizi erogati;
  • Adottare le misure atte a garantire la fidelizzazione del personale e la sua crescita professionale e aumentare, nel proprio personale, il livello di sensibilità e la competenza su temi di sicurezza.
  • Rispondere pienamente alle indicazioni della normativa vigente e cogente;
  • Implementare idonee soluzioni di "disaster recovery"
  • Definire adeguate procedure e regole di sicurezza per la gestione dei controlli di accesso ai sistemi, dall'interno e dall'esterno della rete, della protezione fisica e logica dei sistemi con tutti gli strumenti disponibili allo stato dell'arte della tecnologia;
  • Definire adeguate procedure e regole di sicurezza per la supervisione di reti e sistemi;
  • Ricorrere a politiche di backup complete e diversificate per garantire la ridondanza delle informazioni salvate;
  • Adottare una politica selettiva per lo scambio di informazioni, in particolare verso l'esterno. A tal proposito KARON S.r.l. ha provveduto a classificare le informazioni e a determinare le modalità e gli strumenti di scambio, per ogni classe di informazione. L'obiettivo di tale attività è quello di mantenere la sicurezza delle informazioni e del software scambiati all'interno delle organizzazioni e con entità esterne.
  • Contrastare le interruzioni delle attività di servizio e dei processi di servizio critici, dagli effetti di malfunzionamenti, interruzioni, guasti o disastri, attraverso un approccio pianificato e sistematico alla business continuity. Per una corretta gestione KARON S.r.l. definisce al proprio interno dei processi per la gestione della Business Continuity, dei piani strategici per l'approccio dei rischi e l'analisi degli impatti, lo sviluppo ed il mantenimento di specifici piani di continuità operativa. Infine, definisce le modalità di verifica, correzione e ridefinizione dei piani di business continuity stessi.
  • Definire e mantenere aggiornato un piano di capacità del servizio.

Applicabilità

La presente politica si applica indistintamente a tutti gli organi dell’Azienda coinvolti nell’erogazione dei servizi.

La politica della sicurezza delle informazioni adottata da KARON S.r.l. deve costituire un approccio sistematico alla sicurezza delle informazioni per tutti i componenti dell'organizzazione che - a qualsiasi titolo - possono intervenire su qualsiasi informazione presente all'interno dell’Azienda, nell’ambito dei servizi erogati.

L’erogazione del Servizio SAAS è basata sull’infrastruttura fornita da un Internet Data Center gestito da un Fornitore esterno. La Politica Aziendale della sicurezza di KARON S.r.l. prevede che tale Fornitore abbia a sua volta una certificazione ISO/IEC 27001:2013 nell’ambito del servizio di data center fornito.

KARON S.r.l. si avvale inoltre di Certification Authority riconosciute per quanto riguarda soluzioni di crittografia utilizzate per accedere ai dati tramite interfaccia web based.

Riesame

KARON S.r.l. verifica periodicamente l’efficacia e l’efficienza del Sistema di Governo per la Sicurezza delle Informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire l’attivazione di un processo continuo, che deve tenere sotto controllo il variare delle condizioni al contorno o degli obiettivi di business aziendali al fine di garantire il suo corretto adeguamento.

La Politica Aziendale della Sicurezza qui descritta è soggetta a riesame periodico, almeno annuale o a seguito di cambiamenti significativi nel campo di applicabilità del Sistema di Gestione della Sicurezza delle Informazioni in essere.