Politica della Sicurezza delle Informazioni

(cfr. cap. 5.2 – ISO 27001:2017, ISO 27017:2015 e ISO 27018:2019)

La sicurezza e la salvaguardia del patrimonio informativo costituiscono condizione imprescindibile per il raggiungimento di business di Alias Group. I requisiti per la sicurezza delle informazioni sono coerenti con gli obiettivi dell’Organizzazione e il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) rappresenta lo strumento che consente la condivisione delle informazioni, lo svolgimento di operazioni corrette e la riduzione dei rischi connessi alle informazioni a livelli
accettabili.

In considerazione di ciò, lo svolgimento delle attività aziendali deve sempre avvenire garantendo adeguati livelli di disponibilità, integrità e riservatezza delle informazioni attraverso l’adozione di un formale “Sistema di Gestione della Sicurezza delle Informazioni” (SGSI) in linea con i requisiti attesi dagli stakeholder di Alias Group e nel rispetto delle normative vigenti.

In particolare, il Sistema di Gestione della Sicurezza delle Informazioni è applicato alla:

«realizzazione, gestione ed erogazione di servizi in cloud (SAAS) e conservazione digitale a norma»

Gli obiettivi generali del SGSI perseguiti con l’impegno della direzione, sono:

  • dimostrare agli stakeholders la propria capacità di fornire con regolarità servizi informatici sicuri, massimizzando gli obiettivi di sicurezza;
  • minimizzare il rischio di perdita e/o indisponibilità dei dati gestiti, pianificando e gestendo le attività a garanzia della continuità di servizio;
  • svolgere una continua e adeguata analisi dei rischi che esamini costantemente le vulnerabilità e le minacce associate alle attività a cui si applica il sistema;
  • rispettare le leggi e le disposizioni vigenti, i requisiti contrattuali e le procedure in essere;
  • promuovere la collaborazione, comprensione e consapevolezza del SGSI da parte dei fornitori strategici;
  • conformarsi ai principi e ai controlli stabiliti dalla ISO/IEC 27001:2013 o altre norme/regolamenti che disciplinano le attività in cui opera l’azienda, tra i quali, in particolare le regolamentazioni inerenti i trattamenti dei dati personali e la loro sicurezza.

In particolare, per l’implementazione ed erogazione dei servizi in cloud, ai sensi della ISO 27017, Alias Group si impegna ad adottare requisiti di sicurezza che prendano in considerazione i rischi derivanti dal personale interno, la gestione sicura del multi-tenancy (condivisione dell’infrastruttura), l’accesso agli asset in cloud da parte del personale dei service provider, il controllo degli accessi (in particolare degli amministratori), le comunicazioni agli stakeholders in occasione di cambiamenti dell’infrastruttura, la sicurezza dei sistemi di virtualizzazione, la protezione e l’accesso dei dati in ambiente cloud, la gestione del ciclo di vita degli account cloud, la comunicazione dei data breach e linee guida per la condivisione delle informazioni a supporto delle attività di investigazione e forensi, nonché la costante sicurezza sull’ubicazione fisica dei dati nei server in cloud.

Inoltre, Alias Group è costantemente impegnata nella protezione dei dati personali degli interessati che gestisce, con particolare riferimento a quelli dei propri clienti. Rispetto a questi ultimi la direzione, ai sensi della ISO 27018 e, più in generale, della legislazione privacy vigente, agisce come “Data Processor”, disciplinando gli impegni assunti all’interno dei contratti (ex art. 28 GDPR) con i clienti e anche nelle nomine dei fornitori utilizzati per svolgere i trattamenti. Tutto il personale, nell’ambito delle relative responsabilità, è coinvolto nella segnalazione al Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) di eventuali eventi negativi o incidenti riscontrati e di qualsiasi debolezza identificata nel SGSI.

Tutta l’organizzazione, a partire dai vertici, è impegnata a supportare l’implementazione, la messa in opera e il riesame periodico per il miglioramento continuo del SGSI. Il vertice aziendale si impegna a perseguire, con i mezzi e le risorse adeguate, gli obiettivi di questa politica.