Politica del sistema di gestione per la sicurezza delle informazioni
Il Patrimonio Informativo Aziendale rappresenta la risorsa principale per gestire correttamente le relazioni con i Clienti, per pianificare l’innovazione continua dell’offerta e garantire la qualità del servizio da LUTECH alla propria clientela; come tale, esso deve essere adeguatamente tutelato con un costante bilanciamento fra il livello di rischio accettato ed il corrispondente grado di protezione richiesto, coniugando correttamente l’esigenza di tutela del valore delle informazioni con la necessità di assicurare l’efficienza, l’efficacia e la continuità dei processi di business.
La Sicurezza delle Informazioni si ottiene applicando un complesso set di controlli indicati dalla norma UNI CEI ISO/IEC 27001:2017 ed impostando con costanza ed efficacia Politiche, Processi, Procedure, Strutture organizzative, Funzionalità hardware e software ed un costante monitoraggio per il miglioramento continuo. Le informazioni sono sempre più gestite in forma elettronica ed i sistemi vengono utilizzati da un numero crescente di stakeholder: questo, se da un lato consente una loro migliore accessibilità e disponibilità, dall’altro determina profondi e rapidi mutamenti degli scenari di rischio che richiedono la presenza di misure e strumenti idonei di sicurezza per rendere sicure le informazioni, garantendo la loro salvaguardia anche in risposta a una crescente domanda di sicurezza da parte della clientela.
In un simile contesto, LUTECH governa la Sicurezza del Patrimonio Informativo aziendale nel rispetto e sulla base di standard riconosciuti, metodologie consolidate, obbligazioni contrattuali, Leggi e Regolamenti, richieste cogenti derivanti da audit di terze parti e operazioni di due diligence. Tuttavia la sicurezza delle informazioni è una responsabilità gestionale, e non un fattore esclusivamente tecnologico. Con questa convinzione accompagnata dalla esigenza costante di ricerca di nuove strategie di mercato volte a dare garanzie, non soltanto sulla qualità dei servizi erogati, ma anche sulle modalità di trattamento delle informazioni riguardanti clienti, fornitori e altre parti interessate, oltre che della propria struttura organizzativa, LUTECH ha deciso l’implementazione del SGSI (Sistema di Gestione per la Sicurezza delle Informazioni) modellato sulla base dello standard UNI CEI ISO/IEC 27001:2017.
L’approccio metodologico adottato dall’Azienda, che si fonda sull’impianto normativo internazionale ISO 27000, comprende:
- La Norma ISO 27001 che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.
- Le Linee guida ISO 27002 che costituiscono una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2017 al fine di proteggere le risorse informative.
- Le Linee guida ISO 27005 “Information technology — Security techniques — Information security risk management”; il loro scopo è fornire le linee guida per l’information security risk management, definendo dei metodi rigorosi per l’analisi del rischio e la relativa creazione di un piano di prevenzione/contenimento del rischio stesso;
- Le Linee guida ISO/IEC 27017:2015 per i Servizi Cloud e Linee Guida ISO/IEC 27018:2019 per la Protezione delle Informazioni Personali Identificabili (PII) nel Cloud pubblico, che sono pienamente integrate nel SGSI aziendale. LUTECH ha deciso di affrontare, anche con il supporto consapevole di detti standard e a beneficio di tutti gli stakeholder, gli obblighi giuridici applicabili al contesto, facilitando così la definizione di solidi e sicuri contratti di servizi cloud (intesi come “Insieme di infrastrutture tecnologiche remote utilizzate come risorsa virtuale per la memorizzazione e/o l’elaborazione nell’ambito di un servizio” in accordo alle Circolari AgID) e migliorando la trasparenza e la credibilità dei medesimi servizi.
Il SGSI di LUTECH attualmente copre, congiuntamente all’integrato SQ conforme a UNI EN ISO 9001:2015 e a ISO/IEC 20000-1:2018, le attività erogate nel campo della progettazione, sviluppo ed erogazione di prodotti e consulenze in ambito software/IT per la gestione e il governo di sistemi informativi complessi, l’erogazione di servizi anche in modalità cloud, l’erogazione di servizi di Data Center.
Garantire il rispetto dei principi di legge sulla protezione dei dati e aumentare la fiducia dei clienti verso le tecnologie di cloud computing è un obiettivo strategico per LUTECH. Il medesimo impegno riguarda specificatamente la protezione delle PII (Personally Identifiable information) ovvero quello di fornire una modalità strutturata, basata sulla privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico. Ciò riguarda espressamente le attività di progettazione, lo sviluppo, l'attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing. LUTECH in questa ottica ambisce a conseguire e mantenere il possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza connessi ai servizi erogati, si prefigge la finalità di proteggere da tutte le minacce - interne o esterne, intenzionali o accidentali - il patrimonio informativo aziendale, ivi comprese le informazioni e i dati relativi a clienti e fornitori; inoltre si prefigge la finalità di mantenere e dimostrare la correttezza delle trattative con clienti e fornitori e di dare evidenza che i servizi erogati non causino direttamente un aumento dei rischi per i clienti.
Per il perseguimento di tali finalità, LUTECH ha individuato nella documentazione del Sistema di Gestione per la Sicurezza delle Informazioni le modalità di valutazione e i criteri di gestione dei rischi, valutando gli investimenti economici che l’implementazione e il mantenimento del Sistema di Gestione potrà comportare.
Tutto ciò premesso, LUTECH, nel rispetto dei requisiti cogenti e in particolare della normativa vigente in merito alla sicurezza dei dati e delle informazioni e dei correlati sistemi informativi, si impegna ad assicurare che:
- Le informazioni siano protette da accessi non autorizzati, anche ricorrendo alla crittografia di dati e comunicazioni, nel rispetto della riservatezza e siano disponibili agli utenti autorizzati quando ne hanno bisogno, essendo questo un aspetto cardine dell’attuale perimetro del SGSI;
- Le informazioni siano opportunamente classificate, in quanto la classificazione delle informazioni costituisce l’attività basilare per la valutazione del rischio e quindi del potenziale danno ai dati di lavoro aziendali;
- Le informazioni non vengano rivelate a persone non autorizzate a seguito di azioni deliberate o per negligenza e, nel rispetto dell’integrità, siano salvaguardate da modifiche non autorizzate;
- Vengano predisposti piani per la continuità dell’attività aziendale e che tali piani siano il più possibile tenuti aggiornati e controllati;
- Il Personale riceva addestramento e aggiornamento sulla sicurezza delle informazioni;
- I Fornitori di tecnologie e di servizi correlati alla erogazione/gestione dei sistemi e dei servizi, in particolare per ciò che concerne gli acquisti di componenti informatici per i data center e per i clienti, siano accuratamente selezionati e monitorati con i medesimi criteri e principi che LUTECH adotta per i propri processi interni;
- Tutte le violazioni della sicurezza delle informazioni e possibili punti deboli vengano riferiti a chi di dovere ed esaminati;
- Siano rispettati i requisiti contrattuali;
- Nel porre in opera quanto sopra descritto sussista sempre e lungo tutta la catena del valore un impegno al miglioramento continuo, sia della gestione delle informazioni e dei dati che nell’infrastruttura tecnologica e documentale a supporto.
Attraverso l’attuazione di questa politica LUTECH intende ottemperare all'impegno di conformità a UNI CEI ISO/IEC 27001:2017 nonché di conseguire e mantenere tale certificazione. Per il conseguimento di tale obiettivo, la direzione di LUTECH si impegna a far sì che la presente politica sia diffusa, compresa e attuata non solo dal personale interno, ma anche da stagisti, collaboratori esterni, consulenti, fornitori sotto contratto, con particolare attenzione agli outsourcer che siano in qualsiasi modo coinvolti con le informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni.
La direzione di LUTECH si impegna infine a riesaminare regolarmente la politica ed eventuali modifiche che la influenzino, per accertarsi che permanga idonea all'attività e alla capacità di aziendale di soddisfare i Clienti, i Fornitori e le altre parti interessate.
Cinisello Balsamo, 20 Maggio 2022