Politica del sistema di gestione per la sicurezza delle informazioni

Il Patrimonio Informativo Aziendale rappresenta la risorsa principale per gestire correttamente le relazioni con i Clienti, per pianificare l’innovazione continua dell’offerta e garantire la qualità del servizio offerto da LUTECH alla propria clientela; come tale, esso deve essere adeguatamente tutelato con un costante bilanciamento fra il livello di rischio accettato ed il corrispondente grado di protezione richiesto, coniugando correttamente l’esigenza di tutela del valore delle informazioni con la necessità di assicurare efficienza ed efficacia ai processi di business.

La Sicurezza delle Informazioni si ottiene applicando un complesso set di controlli indicati dalla norma UNI CEI ISO/IEC 27001:2017 ed impostando con costanza ed efficacia Politiche, Processi, Procedure, Strutture organizzative, Funzionalità hardware e software ed un costante monitoraggio per il miglioramento continuo. Le informazioni sempre più gestite in forma elettronica ed i sistemi sono utilizzati da un numero sempre maggiore di stakeholder: questo, se da un lato consente una loro migliore accessibilità e disponibilità, dall’altro determina profondi e rapidi mutamenti degli scenari di rischio che richiedono la presenza di misure e strumenti idonei di sicurezza per rendere sicure le informazioni, garantendo la loro salvaguardia anche in risposta a una crescente domanda di sicurezza da parte della clientela.

In un simile contesto, LUTECH governa la Sicurezza del Patrimonio Informativo aziendale nel rispetto e sulla base di standard riconosciuti, metodologie consolidate, obbligazioni contrattuali, Leggi e Regolamenti, richieste cogenti derivanti da audit di terze parti e operazioni di due diligence. Tuttavia la sicurezza delle informazioni è una responsabilità gestionale, e non un fattore esclusivamente tecnologico. Con questa convinzione accompagnata dalla esigenza costante di ricerca di nuove strategie di mercato volte a dare garanzie, non soltanto sulla qualità dei servizi erogati, ma anche sulle modalità di trattamento delle informazioni riguardanti clienti, fornitori e altre parti interessate, oltre che della propria struttura organizzativa, LUTECH ha deciso l’implementazione del SGSI (Sistema di Gestione per la Sicurezza delle Informazioni) modellato sulla base dello standard UNI CEI ISO/IEC 27001:2017.

Il SGSI di LUTECH attualmente copre, congiuntamente all’integrato SQ ex UNI EN ISO 9001 2015 le attività erogate nel campo della progettazione, sviluppo ed erogazione di prodotti e consulenze in ambito software/IT per la gestione e il governo di sistemi informativi complessi.

Infatti LUTECH  in questa ottica ambisce  a conseguire e mantenere il possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza connessi ai servizi erogati, si prefigge la finalità di proteggere da tutte le minacce – interne o esterne, intenzionali o accidentali – il patrimonio informativo aziendale, ivi comprese le informazioni e i dati relativi a clienti e fornitori; inoltre si prefigge la finalità di mantenere e dimostrare la correttezza delle trattative con clienti e fornitori e di dare evidenza che i servizi erogati non causino direttamente un aumento dei rischi per i clienti.

Per il perseguimento di tali finalità, LUTECH ha individuato nella documentazione del Sistema di Gestione per la Sicurezza delle Informazioni le modalità di valutazione e i criteri di gestione dei rischi, valutando gli investimenti economici che l’implementazione e il mantenimento del Sistema di Gestione potrà comportare.

Inoltre, conformemente alle Linee guida ISO/IEC 27017:2015 per i Servizi Cloud, ed alle Linee Guida ISO/IEC 27018:2019 per la Protezione delle Informazioni Personali Identificabili (PII) nel Cloud pubblico , che sono pienamente integrate nel SGSI aziendale, LUTECH ha deciso di affrontare anche con il supporto consapevole di detti standard e a beneficio di tutti gli stakeholder, gli obblighi giuridici applicabili al contesto, facilitando così la definizione di solidi e sicuri contratti di servizi cloud (inteso come “Insieme di infrastrutture tecnologiche remote utilizzate come risorsa virtuale per la memorizzazione e/o l’elaborazione nell’ambito di un servizio” in accordo alle Circolari AgID)  e migliorando la trasparenza e la credibilità dei medesimi servizi.

Garantire il rispetto dei principi di legge sulla protezione dei dati e aumentare la fiducia dei clienti verso le tecnologie di cloud computing è infatti un obiettivo strategico per LUTECH. Il medesimo impegno riguarda specificatamente la protezione delle PII (Personally Identifiable information) ovvero quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico. Ciò riguarda espressamente le attività di progettazione, lo sviluppo, l’attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing.

Tutto ciò premesso, LUTECH, nel rispetto dei requisiti cogenti e della normativa vigente in merito alla sicurezza dei dati e delle informazioni e dei correlati sistemi informativi, si impegna ad assicurare che:

  • le informazioni siano protette da accessi non autorizzati, anche ricorrendo alla crittografia di dati e comunicazioni, nel rispetto della riservatezza e siano disponibili agli utenti autorizzati quando ne hanno bisogno, essendo questo un aspetto cardine dell’attuale perimetro del SGSI;
  • le informazioni siano opportunamente classificate, in quanto la classificazione delle informazioni costituisce l’attività basilare per la valutazione del rischio e quindi del potenziale danno ai dati di lavoro aziendali;
  • le informazioni non vengano rivelate a persone non autorizzate a seguito di azioni deliberate o per negligenza e, nel rispetto dell’integrità, siano salvaguardate da modifiche non autorizzate;
  • vengano predisposti piani per la continuità dell’attività aziendale e che tali piani siano il più possibile tenuti aggiornati e controllati;
  • il Personale riceva addestramento e aggiornamento sulla sicurezza delle informazioni;
  • tutte le violazioni della sicurezza delle informazioni e possibili punti deboli vengano riferiti a chi di dovere ed esaminati.

Nel porre in opera quanto sopra descritto sussista sempre e lungo tutta la catena del valore un impegno al miglioramento continuo, sia della gestione delle informazioni e dei dati che nell’infrastruttura tecnologica e documentale a supporto.

Attraverso l’attuazione di questa politica LUTECH intende ottemperare all’impegno di conformità a UNI CEI ISO/IEC 27001:2017 nonché di conseguire e mantenere tale certificazione. Per il conseguimento di tale obiettivo, la direzione di LUTECH si impegna a far sì che la presente politica sia diffusa, compresa e attuata non solo dal personale interno, ma anche da stagisti, collaboratori esterni, consulenti, fornitori sotto contratto, con particolare attenzione agli outsourcer che siano in qualsiasi modo coinvolti con le informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni.

La direzione di LUTECH si impegna infine a riesaminare regolarmente la politica ed eventuali modifiche che la influenzino, per accertarsi che permanga idonea all’attività e alla capacità di aziendale di soddisfare i Clienti, i Fornitori e le altre parti interessate.