Vers.0 – 15/06/2021 – Prima emissione
Policy sulla sicurezza delle informazioni
Sommario
- Premessa
- Principi
- Obiettivi
- Riferimenti agli aspetti normativi
- Diffusione della cultura e delle politiche di sicurezza
- Impegno della leadership
- Metodologia analisi e gestione dei rischi
1. Premessa
REMIRA Italia S.r.l. Socio Unico è una software house capace di rispondere alle innumerevoli esigenze del mercato nell’industria della moda e del lusso tramite fortissime competenze maturate negli anni, in particolare sulla gestione della Supply Chain e nello sviluppo di progetti software complessi sulle piattaforme tecnologiche più innovative. Per fare ciò REMIRA Italia S.r.l. Socio Unico offre una suite modulare capace di coprire tutte le funzionalità del ciclo passivo permettendo la totale integrazione grazie al fatto che ogni prodotto sviluppato si basa su un Kernel comune.
Con l’utilizzo sempre crescente di nuove tecnologie, è necessario fornire garanzie non solo sulla qualità dei servizi erogati, ma anche sul trattamento delle informazioni che riguardano l’erogazione dei servizi, il personale interno, gli Agenti, i Partner, i Clienti e i Fornitori. Infatti le informazioni costituiscono beni aziendali che, in modo analogo agli altri beni, hanno un valore per l’organizzazione e di conseguenza devono essere protetti in modo adeguato. La sicurezza delle informazioni ha il compito di proteggere le informazioni da un ampio numero di minacce in modo da assicurare la continuità del business aziendale, minimizzare i danni e massimizzare il ritorno degli investimenti e delle opportunità commerciali.
Preservare la fiducia che i Clienti hanno nei confronti di REMIRA Italia S.r.l. Socio Unico, richiede che ciascuno contribuisca al rispetto, alla tutela e alla sicurezza di tutti i dati e delle informazioni riservate.
2. Principi
Secondo la definizione dello standard ISO 27001, la sicurezza delle informazioni è caratterizzata dalla salvaguardia della riservatezza, integrità e disponibilità delle informazioni gestite.
Proteggere la sicurezza di un sistema significa:
- Ridurre ad un valore accettabile la probabilità che vengano violati i parametri di sicurezza informatica;
- Individuare tempestivamente quando ed in quale parte del sistema questo accade;
- Limitare i danni e ripristinare i requisiti violati nel minor tempo possibile.
Supportato da direttive di leadership, il programma di sicurezza di REMIRA Italia S.r.l. Socio Unico include team dedicati responsabili dell’implementazione dei controlli di sicurezza in tutte le aree aziendali che abbracciano un ciclo di vita dello sviluppo sicuro, dalla progettazione del prodotto al supporto operativo continuo. Il programma di sicurezza è applicato, monitorato, mantenuto, migliorato e documentato in coerenza con le finalità del business facendo riferimento allo standard internazionale ISO/IEC 27001:2017. L’applicazione del programma di sicurezza richiede l’implementazione, conforme con i requisiti di business aziendali, delle misure di sicurezza che consentono di ridurre i livelli di rischio e l’applicazione delle politiche, processi, procedure, controlli, ecc. che assicurano il rispetto dei requisiti attesi di riservatezza, integrità e disponibilità delle informazioni, oltre che l’ottemperanza delle normative vigenti in materia di sicurezza delle informazioni come ad esempio il backup, il controllo degli accessi e il monitoraggio dei log.
3. Obiettivi
Al fine di poter rispondere in modo efficace ed efficiente alle richieste ed esigenze dei clienti e di garantire la qualità e sicurezza dei servizi erogati, REMIRA Italia S.r.l. Socio Unico ha adottato le migliori pratiche di settore ed ha realizzato un Sistema di Gestione della Sicurezza delle Informazioni in conformità allo standard ISO 27001.
Il Sistema di Gestione per la Sicurezza Informazioni (ISMS), progettato da REMIRA Italia S.r.l. Socio Unico, si basa su:
- Gestione dei rischi per la sicurezza delle informazioni in sinergia con la gestione del rischio complessivo aziendale e nel rispetto del responsabile utilizzo delle risorse aziendali, realizzata attraverso l’applicazione di modelli condivisi, ripetibili e validi nel tempo, riferibili ai riconosciuti standard internazionali;
- Individuazione dei ruoli organizzativi e delle responsabilità specificamente coinvolti nella gestione della sicurezza delle informazioni;
- Sensibilizzazione del personale alla sicurezza delle informazioni, valorizzazione e formazione delle competenze di maggiore interesse per la sicurezza delle informazioni;
- Monitoraggio continuo dell’efficacia ed efficienza del ISMS attraverso la definizione di un sistema di indicatori e la loro misurazione periodica;
- Impegno della Direzione per fornire le risorse ritenute necessarie per l’attuazione delle politiche aziendali per la sicurezza, il perseguimento degli obiettivi di sicurezza, il mantenimento e miglioramento continuo del ISMS.
Infine dato che è fondamentale sviluppare e gestire una rete sicura le apparecchiature REMIRA Italia S.r.l. Socio Unico sono state selezionate pensando alla sicurezza e sono soggette a manutenzione periodica. Il ciclo di vita per lo sviluppo del prodotto include valutazioni del prodotto (test interni e di terze parti) e revisioni del progetto di sicurezza come prassi normale all’interno del processo di sviluppo. Per garantire la riservatezza delle informazioni, REMIRA Italia S.r.l. Socio Unico gestisce le comunicazioni sia interne che esterne tramite algoritmi di cifratura e certificati adeguati. Strumenti e metodi aggiornati in termini di sicurezza IT e OT vengono applicati durante l’intero ciclo di vita del prodotto per ridurre i rischi e affrontare le vulnerabilità in proporzione alle necessità dell’azienda e in ottemperanza alle normative vigenti in materia. Perciò REMIRA Italia S.r.l. Socio Unico ha sviluppato un sistema di sicurezza aziendale allineato a best-practice e standard internazionali, volto ad adottare in particolare lo standard ISO-27001 che prevede l’implementazione e l’applicazione di rigide misure di controllo dell’accesso alle informazioni in base al principio “need-to-know” correlato al business aziendale, il monitoraggio e i test regolari del SGSI.
4. Riferimenti agli aspetti normativi
Tutti i requisiti cogenti e contrattuali pertinenti sono identificati dall’organizzazione.
La Procedura Aggiornamenti Normativi descrive le attività per assicurare che:
- Gli aggiornamenti normativi relativi alla privacy (GDPR – Regolamento UE 2016/679), siano disponibili e noti alle varie direzioni e funzioni aziendali interessate;
- Vengano effettuati i dovuti aggiornamenti alle procedure operative e ai sistemi informatici aziendali al fine di rispettare le normative vigenti (Compliance).
Il Coordinatore SGSI assicura il monitoraggio e l’approvazione dell’avvenuta applicazione in azienda degli aggiornamenti normativi.
5. Diffusione della cultura e delle politiche di sicurezza
La sicurezza è un processo che riguarda tutti, la consapevolezza individuale unita ad un utilizzo responsabile delle risorse svolge un ruolo fondamentale nel conseguimento degli obiettivi di sicurezza prefissati. L’impegno di REMIRA Italia S.r.l. Socio Unico per la sicurezza inizia e termina con i propri dipendenti e con gli stakeholder, pertanto il personale viene sensibilizzato riguardo a tale importanza. La società si impegna a diffondere in azienda una cultura della sicurezza delle informazioni, considerata necessaria per la tipologia di servizi offerti dall’azienda e dei dati trattati. Questo sforzo inizia ai vertici prevedendo la definizione di ruoli e responsabilità e mantenendo viva la consapevolezza, la cultura e la sicurezza aziendale a tutto il personale tramite la diffusione di politiche complete e semplici da comprendere sulla sicurezza dei dati regolarmente comunicate in tutta l’organizzazione attraverso canali di comunicazione interna.
La gestione della sicurezza delle informazioni interessa l’intera azienda ed è un’attività significativamente complessa. Sono presenti team dedicati impegnati nella sicurezza IT e dei prodotti. Questi assicurano il coordinamento complessivo dell’intero processo di gestione e collaborano per promuovere le migliori pratiche di sicurezza dei dati. È importante che tutti i dipendenti e le terze parti coinvolte nei processi aziendali collaborino per quanto di propria competenza rispettando le regole e le procedure operative riportate nella documentazione del Sistema di Gestione della Sicurezza delle Informazioni (disponibili nella intranet aziendale) e applicando le migliori pratiche ed i migliori comportamenti. Per questo motivo la comunicazione delle politiche di sicurezza aziendali viene estesa ai propri partner, fornitori e clienti all’atto della stipula o rinnovo periodico del contratto.
6. Impegno della Leadership
La Direzione favorisce lo sviluppo della cultura aziendale verso l’applicazione delle regole e dei requisiti della sicurezza delle informazioni (a garanzia dell’azienda, dei clienti, dei terzi) e la sensibilizzazione e coinvolgimento di tutte le funzioni aziendali nel contribuire al perseguimento degli obiettivi della sicurezza. La Direzione si impegna, quindi, a fornire le risorse ritenute necessarie per l’attuazione delle politiche aziendali per la sicurezza, il perseguimento degli obiettivi di sicurezza e il mantenimento e miglioramento continuo del Sistema di Gestione della Sicurezza Informazioni prevedendo il riesame delle politiche di sicurezza almeno una volta l’anno o nel caso di variazioni significative di Business o dell’infrastruttura.
La Direzione si impegna a diffondere e mantenere viva la consapevolezza, la cultura e le politiche di sicurezza aziendale a tutto il personale interno ed esterno attraverso diversi canali di comunicazione interna (newsletter, giornate di formazione, distribuzione del Regolamento Informatico che determina le regole ed i comportamenti che vanno seguiti in REMIRA Italia S.r.l. Socio Unico, diffusione della politica per adempiere a leggi e regolamenti, ecc.).
7. Metodologia analisi e gestione dei rischi
La sicurezza deve essere continuamente monitorata perciò REMIRA Italia S.r.l. Socio Unico ha adottato una metodologia di analisi e gestione del rischio della sicurezza delle informazioni nonché un processo periodico, o un nuovo applicativo, di gestione dei rischi, al fine di mantenere i rischi a un livello accettabile tramite la valutazione e il trattamento degli stessi. Per fare ciò sono stati definiti i criteri per la valutazione e l’accettazione del rischio e identificate in modo oggettivo e trasparente le potenziali minacce e vulnerabilità che possono derivare dalla progettazione, dall’implementazione o dalla gestione dei sistemi e che potrebbero essere sfruttate per compromettere la sicurezza delle informazioni, i relativi danni, sia diretti che indiretti e le misure di protezione in atto, in modo da evidenziare le aree con maggiore criticità e prevedendo l’implementazione di contromisure adeguate.