Page 1

manualedeidipendenti Conoscere la sicurezza di XXXXX

Cos’è la Sicurezza delle informazioni? Per Sicurezza delle informazioni si intendono i controlli che proteggono le informazioni di XXXXX da accessi, modifiche, distruzione o divulgazione non autorizzati. Giuseppe Longo 02/11/09 M&P Risk Agency spa

Il nostro patrimonio include: Informazioni: Documenti (in forma cartacea o elettronica) o proprietà intellettuali usate per i prodotti ed i servizi offerti dall’azienda. Il know-how: l’insieme di conoscenze, capacità, modalità di creazione e gestione dei nostri prodotti. Software: applicazioni e servizi software che consentono di fare il nostro business, inclusi sistemi operativi, applicazioni di database, software di rete, applicazioni per l’ufficio, software personalizzati, ecc., che elaborano, conservano e trasmettono informazioni. Hardware: apparati utilizzati per eseguire i processi aziendali o i servizi e i prodotti per i clienti. Persone: Il personale coinvolto nella gestione dei processi lavorativi aziendali che possiede competenze, conoscenze ed esperienza uniche, difficilmente sostituibili.

Gli obiettivi di questo manuale sono: Introdurre i concetti sulla Sicurezza delle informazioni Rendervi consapevoli delle vostra responsabilità sulla Sicurezza delle informazioni Aumentare la consapevolezza dell’importanza della partecipazione del personale nella protezione delle informazioni Fornirvi indicazioni su come contribuire alla adozione di misure di Sicurezza delle informazioni

L’obiettivo è incrementare al massimo la disponibilità delle informazioni e dei sistemi soltanto agli utenti autorizzati. I principali attributi relativi alla protezione del patrimonio di XXXXXXXX sono: Riservatezza: garanzia che le informazioni non vengano divulgate ad individui, programmi o processi non autorizzati. Integrità: le informazioni devono essere accurate, complete e protette da modifiche non autorizzate. L’integrità dei sistemi assicura che questi svolgano le proprie funzioni in modo intatto, liberi da manipolazioni non autorizzate, deliberate o accidentali. Disponibilità: le informazioni, i sistemi e le risorse devono essere tempestivamente accessibili agli utenti in modo da non compromettere la produttività. Perché la Sicurezza delle informazioni è importante: Le informazioni e le conoscenze utilizzate per elaborarle sono due dei punti di forza più importanti di XXXXXXXX. Qualunque danno a queste risorse o l’uso non autorizzato delle informazioni potrebbero: • pregiudicare la reputazione di XXXXXXXX. • compromettere il nostro rapporto con i clienti, con i partner e con gli azionisti. • in casi estremi, impedire ad XXXXXXXX di condurre il normale svolgimento delle proprie attività. Pertanto non c’è da stupirsi che XXXXXXXX si preoccupi tanto seriamente della Sicurezza delle informazioni.


manualedeidipendenti INDICE Introduzione Cos’è la Sicurezza delle informazioni ? Come posso proteggere le informazioni ? Importanza delle password 1 Importanza delle password 2 Rischi nell’utilizzo della posta elettronica Rischi di Internet Cosa sono le informazioni riservate ? Backup dei dati Cancellazione ed eliminazione di dati Cos’è il ’Social Engineering” ? Cosa significa sicurezza dell’edificio ? Sicurezza dell’ufficio Fuori dall’ufficio Riferire gli incidenti sulla sicurezza

1 1 3 3 4 5 5 6 7 7 8 9 9 10 11


manualedeidipendenti Come posso proteggere le informazioni ? È necessario che tutti siano consapevoli della sensibilità e dell’importanza delle informazioni utilizzate e della necessità di proteggerle. Tutti hanno la responsabilità di garantire che soltanto chi è autorizzato possa accedere alle informazioni di XXXXXXXX. È possibile contribuire alla protezione delle informazioni conoscendo e applicando le seguenti buone abitudini: • Mai condividere user ID, password o schede UMTS. • Gestire i documenti sensibili e riservati in modo appropriato, non lasciandoli mai esposti o incustoditi. • Non parlare mai di informazioni riservate in luoghi pubblici. •Quando ci si allontana dal proprio PC, disconnettersi o avviare lo screensaver protetto da password.

• Informare i preposti all’interno delle sedi della azienda della presenza di soggetti non autorizzati e privi di cartellino di identificazione.. • Eseguire un backup dei dati conservati in locale, incluso il disco fisso del proprio PC, i CD ROM, l’agenda elettronica, ecc., per prevenire la perdita di informazioni. • Assicurarsi che il proprio software antivirus sia sempre abilitato e fornisca una protezione costante contro i virus. • Durante l’utilizzo della posta elettronica o di Internet, prestare particolare attenzione quando si aprono allegati o si scaricano dati.

Importanza delle password 1 L’uso di una password e di uno User ID è il più diffuso meccanismo di controllo per l’accesso ai sistemi e alle informazioni. Una buona password non è facile da indovinare, al contrario di una parola riconoscibile, un nome o un compleanno. Se qualcuno conosce la vostra password potrà: • Accedere e usare dati per i quali non ha l’autorizzazione • Effettuare modifiche, cancellazioni o aggiunte non autorizzate ai dati • Fare tutto questo e altro fingendo di essere voi! Qualunque password vi venga assegnata è intesa solo ed esclusivamente per uso personale e dovrebbe essere cambiata, se possibile, con una sicura di vostra scelta. Rivelare il proprio user ID e la password è come dar via il proprio bancomat, rivelandone anche il numero del PIN.

Come usare le password Le password dovrebbero essere facili da ricordare per voi, ma difficili da indovinare per chiunque altro. Di seguito ecco alcune regole per creare una password sicura: • Creare una password difficile da intuire, di almeno 8 caratteri, basata su un insieme di lettere, sia maiuscole sia minuscole, numeri e caratteri speciali. • Non usare qualcosa che sia ovviamente riconducibile a voi, come la targa dell’auto, il compleanno, il nome del partner, ecc… • Non condividere mai la propria password con qualcun altro. • Non scrivere o conservare la propria password in un file non criptato. • Cambiare la password frequentemente. • Cambiare immediatamente la password quando altri ne vengono a conoscenza, o si sospetta che ciò sia avvenuto.


manualedeidipendenti Importanza delle password 2 Password da evitare

Come creare una password sicura

• Il proprio nome, soprannomi, o nomi di familiari e amici. • Il proprio user ID. • Password predefinite fornite con il sistema o con il software. • Tasti consecutivi sulla tastiera, ad es. QWERTY o FGHJKL • Parole presenti nel dizionario, perché possono essere compromesse da programmi di “cracking” delle password che utilizzano dizionari elettronici. • Date, specialmente quelle presenti sulla patente o su un calendario personale custodito nel portafoglio o in borsa. • Nomi di animali domestici, hobby, interessi speciali, ecc … • La propria squadra del cuore.

• Selezionare una parola o una frase e sostituire alcune lettere con numeri o caratteri speciali. Sarà quindi possibile ricordare la password senza che possa essere facilmente decodificata da un semplice attacco con il dizionario o indovinata. Ad esempio, invece di usare “ottobre ," cambiarlo in: ott0bR3. Lo zero e il tre assomigliano alla "o" e alla "e" che hanno sostituito. • Scegliere una frase e creare la password dalle lettere iniziali delle parole. Usando le iniziali di “Seat Pagine Gialle” ci vogliono un numero di caratteri speciali, preferibilmente al centro piuttosto che alla fine o all’inizio, per soddisfare la lunghezza minima di 8 caratteri: T+P+G+3j • Unire due parole con errori d’ortografia e inserire numeri o caratteri speciali. Ad esempio: “Bella Torino” diventa: Bela+T0riN

E ricordate, mai utilizzare come password questi o altri esempi forniti con materiale relativo alla sicurezza o alla formazione.


manualedeidipendenti Rischi nell’utilizzo della posta elettronica (e-mail) Per una grande azienda, la posta elettronica è un mezzo che permette di condividere informazioni con colleghi e clienti ovunque essi siano; ma bisogna essere consapevoli che l’utilizzo delle e-mail non è esente da rischi. L’utilità della posta elettronica può essere compromessa quando viene usata per: • e-mail commerciali non richieste (“spam”), • diffondere virus e altri software illeciti (“malware”) • inviare e-mail a nome di qualcun altro (“spoofing”) • ingannare gli utenti per indurli ad accedere siti Web illeciti (“phishing”) Come usare efficacemente la posta elettronica Conoscere e applicare le seguenti procedure: • Evitare l’invio di documenti riservati/sensibili via email a meno che non siano criptati o protetti da password.

• Non impostare sulla casella di posta l’inoltro automatico della posta in arrivo verso sistemi al di fuori di XXXXXXXX. • Non aprire allegati provenienti da persone sconosciute; potrebbero contenere un virus. • Non rispondere a un messaggio “spam”; servirebbe solo a confermare che il vostro indirizzo e-mail è valido. • Non utilizzare collegamenti (URL) in un’e-mail proveniente da mittenti sconosciuti, poiché potrebbe nascondere un collegamento verso una copia illecita del sito proposto. • Quando si risponde alle mail, evitare di inoltrare l’intera coda di messaggi a meno che non siano rilevanti. Potrebbero contenere informazioni o commenti non previsti per altri destinatari. • Un account di posta elettronica aziendale non dovrebbe essere utilizzato per la corrispondenza personale, poiché i messaggi provenienti da questo account sono considerati comunicazioni aziendali ufficiali.

Rischi di Internet Ricordate, quando navigate in rete o visitate un forum, non siete anonimi come potreste pensare. L’uso dei forum può spesso condurre a delle e-mail non richieste. Inoltre, si corre anche il potenziale rischio che le proprie opinioni “personali” siano erroneamente interpretate come opinioni “aziendali”. Le informazioni scaricate da Internet hanno le stesse probabilità di trasportare malware di qualunque altra forma di dati informatici. Navigando in Internet potreste aprire ad altri una via per accedere ai vostri dati e al vostro ambiente personali e o quelli di XXXXXXXX. Scaricare file, che potrebbero contenere malware, può compromettere la sicurezza del sistema e della rete, causando tempi di fermo costosi e fastidiosi per tutti. Scaricare software senza licenze mette XXXXXXXX a rischio da un punto di vista legale.

Prima di accedere a Internet Assicurarsi che il proprio computer sia adeguatamente protetto e configurato. Per qualunque dubbio contattare il proprio amministratore di sistema locale. Questi sono i requisiti minimi per un PC correttamente configurato: • Il sistema operativo e le applicazioni devono essere aggiornate con le ultime patch di sicurezza. • Deve essere dotato di un firewall personale, adeguatamente configurato e attivato. • Deve essere dotato di un software antivirus regolarmente aggiornato, attivato e configurato per eseguire una scansione di tutti i file almeno una volta alla settimana


manualedeidipendenti

Come usare in sicurezza Internet • Le informazioni riservate, o in qualunque modo sensibili, non dovrebbero mai essere messe in Internet o su forum informatici, ecc. • Non accedere deliberatamente a siti contenenti materiale inaccettabile, come pornografia, tecniche di pirateria informatica, siti che promuovono attività illegali o siti che offrono il download di musica e film. • Non scaricare, distribuire o diffondere deliberatamente malware, come virus, worm, cavalli di Troia o altri generi di programmi “vandalici” all’interno dell’ambiente di XXXXXXXX e in Internet.

• Non accedere a siti Web attraverso collegamenti inviati attraverso messaggi di posta elettronica non richiesti, poiché questi siti possono essere progettati per ingannare l’utente. Questo metodo è conosciuto come “phishing”. • Siate consapevoli che i programmi di “chat” sono un veicolo per lo scambio di file con lo scopo di permettere inavvertitamente l’acceso ai vostri dati sensibili o di importare file contenenti malware.

XXXXXXXX, nel rispetto della legge sulla Privacy, utilizza sistemi e software in grado di “filtrare” qualsiasi attività svolta su Internet. Gli utenti dovrebbero essere a conoscenza che questi sistemi di sicurezza possono tener traccia della tipologia dei siti Web visitati.

Cosa sono le informazioni riservate ? Classificare le informazioni in categorie è essenziale per stabilire il valore dell’informazione o del documento per la nostra azienda e gli adeguati controlli richiesti per proteggere quel valore. Quando si crea un documento, si deve sempre valutare quale tipo di riservatezza, se necessaria, applicare. Quando si riceve un documento riservato si devono prendere le necessarie precauzioni per proteggerlo.

Riservate La cui divulgazione non autorizzata potrebbe causare chiari danni a XXXXXXXX (o ai suoi clienti) o violare la privacy del personale dell’azienda. Ad uso interno La cui divulgazione verso l’esterno andrebbe contro i migliori interessi di XXXXXXXX (o dei suoi clienti) e di conseguenza deve essere ristretta al solo uso interno nell’ambito azienda.

Come classificare le informazioni Le informazioni riservate sono suddivise in tre categorie: Segrete La cui divulgazione non autorizzata potrebbe provocare danni molto gravi a XXXXXXXX e può implicare responsabilità penali per i dirigenti o il personale dell’azienda.

Le informazioni non riservate sono classificate come Pubbliche. Quando le informazioni sono state rese disponibili per la distribuzione al pubblico attraverso canali aziendali autorizzati. Le informazioni pubbliche non hanno un contesto o un contenuto sensibili e non richiedono particolari protezioni.


manualedeidipendenti Backup dei dati Eseguire copie di backup può rivelarsi un vero salvagente nel caso in cui i vostri documenti o file dovessero andare distrutti, persi o rubati. I backup delle unità condivise sono spesso automatici; tuttavia, è sempre necessario eseguire backup frequenti di tutti i file importanti custoditi nei propri computer, palmari, organizer, ecc … Quali sono le buone procedure di backup ? • Non lasciare dati importanti sul proprio PC, copiarli sul server e verificare che venga eseguito regolarmente un backup. • La frequenza con la quale eseguire i backup dei dati sarà dettata dalla complessità del lavoro. I file di contabilità, i database dei clienti o i file commerciali sono utilizzati quotidianamente, quindi soggetti a frequenti modifiche.

• Conservare una copia dei dati più importanti usando dei DVD o un secondo drive esterno, aggiornando la copia di backup ogni volta che vengono effettuate modifiche significative. • Conservare i backup in un luogo sicuro lontano dalla propria area di lavoro, in modo da poterli recuperare in caso di incidente grave. • Non presumere che i backup funzioneranno. Verificare la capacità di ripristino del software di backup. • Conservare più di una generazione di copie (es. Backup 1° settimana, Backup 2° settimana, ecc.). Non rimandate, fatelo oggi! I computer portatili sono particolarmente vulnerabili poiché vengono rubati dalle auto o negli aeroporti e nelle stazioni ferroviarie e spesso non esistono backup per le informazioni, probabilmente anche riservate, che questi contengono.

Cancellazione ed eliminazione di dati Gli apparati e le informazioni dovrebbero essere eliminati in modo sicuro quando non più utilizzati. Quando si decide di non avere più bisogno di attrezzature e mezzi informatici, si deve valutare cosa fare con le informazioni registrate in dischi, nastri, sulla carta e nella memoria che si pensa di eliminare. È necessario verificare che tutte le informazioni sensibili siano rimosse o eliminate secondo le procedure locali. Come cancellare le informazioni

• I documenti cartacei contenenti informazioni riservate o sensibili devono essere distrutti in un tritadocumenti. • Non gettare i supporti informatici rimovibili, come i CDROM, le chiavette di memoria, ecc. nel cestino! Potrebbero facilmente cadere in mani sbagliate. • Quando si cancella un file non si cancellano sempre i dati. Tenete a mente che sebbene possiate cancellare il file sul vostro sistema locale, questo potrebbe ancora essere presente sui server. • Contattare l’amministratore di sistema locale in caso di domande sullo smaltimento della attrezzatura.

• Rimuovere tutti i dati dal disco fisso del computer e da tutti i mezzi informatici rimovibili prima che l’attrezzatura venga smaltita o riciclata.

Per ulteriori informazioni contattare l’assistenza 3999


manualedeidipendenti Cos’è il “Social Engineering” ? Il “Social Engineering” è la manipolazione intenzionale di un individuo per fargli commettere delle azioni o divulgare informazioni riservate, come, ad esempio le password. INTANTO CHE L’AUTORE DELLA CHIAMATA SI FA STRADA NELL’ORGANIZZAZIONE, ACQUISISCE FAMILIARITÀ CON I NOMI, I TERMINI, GLI ACRONIMI E IL GERGO, AUMENTANDO COSÌ LA PROPRIA CREDIBILITÀ E IL PROPRIO “DIRITTO DI SAPERE” NELLA MENTE DELL’UTENTE BERSAGLIO.

Perché qualcuno dovrebbe farlo? La risposta semplice è per raggirare un’azienda in modo da farle divulgare informazioni riservate relative all’organizzazione, ai clienti o alle credenziali degli utenti, che possono poi essere utilizzate per ottenere accesso ai sistemi, ai file elettronici, ai sistemi e-mail, ecc…

Come comportarsi • Non fornire password per telefono, e-mail o personalmente. • Non “girare” (“forward”) il proprio telefono su un numero sconosciuto. • Non menzionare nomi di altri dipendenti o usare la terminologia di XXXXXXXX a meno che non si sia certi dell’identità di chi chiama e della sua necessità di conoscere le informazioni. • Siate particolarmente cauti se chi chiama vuole informazioni sulle telecomunicazioni (telefoni, modem, posta vocale, fax, ecc.) • Non inviare documenti, progetti, elenchi o qualunque altro documento a meno che non si sia certi che il destinatario è autorizzato a riceverli. • In caso di dubbi relativi alla persona che chiama, parlarne con il proprio responsabile. • In caso di dubbi, dire alla persona che sta chiamando che la ricontatterete in seguito e chiedetene il nome e il numero di telefono.


manualedeidipendenti Cosa significa sicurezza dell’edificio ? I visitatori non accompagnati dalla persona che li ha invitati possono essere una potenziale minaccia poiché possono ottenere informazioni sensibili dalle scrivanie, dalle fotocopiatrici o dai computer. INDOSSARE IL PROPRIO BADGE IN MODO CHE SIA FACILMENTE VISIBILE, POICHÉ QUESTA È LA MANIERA PRINCIPALE PER IDENTIFICARSI. Rischi negli uffici Lo avete visto nei film, chiunque con una scatola di pizza può entrare facilmente in un ufficio! Ci sono molti fornitori e concorrenti che svolgono attività legittime nei nostri edifici, ma tutti i loro accessi devono essere garantiti da procedure conosciute. Non abbiate timore di verificare l’identità di chiunque cammini casualmente all’interno dell’edificio, o si trovi da solo negli uffici, poiché potrebbe essere alla ricerca di informazioni interessanti !

Protocollo d’ufficio Ecco alcuni suggerimenti per mantenere la sicurezza nell’edificio dell’azienda: • osservare l’ambiente per rilevare attività insolite come ad esempio persone e veicoli che si aggirano nei dintorni in modo sospetto, borse incustodite, estranei dal comportamento sospetto all’interno dell’edificio, persone che utilizzano macchine fotografiche o video vicino al palazzo. Riferire incidenti sospetti al proprio responsabile e agli addetti della sicurezza. • I visitatori devono sempre essere controllati alla reception. Seguire sempre le procedure locali per l’accesso degli ospiti. Ricordate, i vostri visitatori sono sotto la vostra responsabilità. Assicuratevi che siano accompagnati in ogni momento. • Accertarsi di indossare sempre il vostro badge e non lasciarlo dove potrebbe essere facilmente rubata. • Tenere la porta aperta a qualcuno può essere un gesto educato, ma potreste in questo modo permettere ad una persona non autorizzata di entrare nell’edificio. Accertatevi della sua identità e invitatela a registrarsi alla reception, se non si tratta di un dipendente.

Sicurezza dell’ufficio Tenere la “scrivania libera”: uno dei più importanti contributi che si possono dare alla sicurezza delle informazioni è tenere la propria scrivania ordinata e libera dalle informazioni aziendali riservate quando ci si allontana dall’ufficio. ASSICURARSI CHE TUTTE LE INFORMAZIONI RISERVATE SIANO STATE CANCELLATE DALLE LAVAGNE BIANCHE QUANDO CI SI ALLONTANA DALL’UFFICIO O DALLA SALA RIUNIONI. ASSICURARSI CHE LE INFORMAZIONI NON VENGANO LASCIATE SULLE STAMPANTI O SULLE FOTOCOPIATRICI IN BELLA VISTA PER TUTTI !

Ecco alcuni suggerimenti per mantenere la sicurezza in ufficio: • svuotare le cassette della corrispondenza in arrivo e sgomberare la propria area di lavoro prima di assentarsi. • Chiudere a chiave i cassetti, se possibile, e conservare le chiavi in un luogo sicuro. • Bloccare la propria stazione di lavoro con uno screensaver con password automatica quando la si lascia incustodita.


manualedeidipendenti

• Sgomberare dalle informazioni sensibili le scrivanie, le lavagne a fogli mobili e le altre attrezzature per le presentazioni, come le lavagne bianche. • Conservare le informazioni riservate e sensibili in posti sicuri e non negli “open space”. • Per impedire accessi non autorizzati, chiudere finestre e porte prima di andare via.

• Proteggere l’attrezzatura portatile, ad es. computer portatili, cellulari, ecc., se si devono lasciare in ufficio la notte, chiudendoli a chiave in un cassetto o un armadio. Se non è possibile farlo, portarli con sé. • Assicurarsi che informazioni riservate non vengano lasciate in un fax o dimenticate su una fotocopiatrice o una stampante.

Fuori dall’ufficio Le normali procedure di sicurezza di XXXXXXXX non possono proteggere l’attrezzatura e le informazioni che portate con voi quando siete in giro. Rischi che si corrono quando si portano attrezzature e informazioni fuori dall’ufficio Attenzione, c’è un ladro nei dintorni ! I ladri professionisti guadagnano molto dalla rivendita di computer portatili, cellulari e altri apparati hi-tech. A volte sono le informazioni contenute nel computer portatile il vero bersaglio. Non rendetegli le cose semplici. Siate consapevoli dei rischi in aeroporti, ristoranti, hotel e quando fate la fila nei luoghi pubblici. Buone abitudini per quando si lavora fuori dall’ufficio • Mai lasciare oggetti trasportabili in un luogo esposto o non sicuro.

• Conservare sempre gli oggetti di valore non in vista, persino quando state guidando l’auto. Rompere il finestrino e afferrare la borsa del computer portatile quando si è fermi ad un semaforo richiede soltanto alcuni secondi. • Se si deve lasciare un computer nella propria auto parcheggiata, chiuderlo in un luogo non in vista prima di andare nel posto dove l’auto sarà parcheggiata. Questo riduce le probabilità che un ladro vi veda nascondere i valori prima che abbandoniate l’auto. • Proteggere sempre con password le attrezzature come computer portatili, cellulari, agende elettroniche, ecc. • Effettuare sempre il backup delle informazioni importanti conservate in sistemi remoti come i computer portatili prima di viaggiare. • Non parlare di informazioni riservate al cellulare, o con i colleghi, dove si corre il rischio di essere sentiti.


manualedeidipendenti Riferire gli incidenti sulla sicurezza Un incidente sulla sicurezza è “un evento che potrebbe causare danni ai processi aziendali di XXXXXXXX ”, sia effettivi sia sospetti. PERCHÉ RIFERIRE GLI INCIDENTI SULLA SICUREZZA? • Per impedire a problemi potenziali di diventare reali • Per migliorare la sicurezza come risultato del processo di “reporting” e analisi.

Come riferire gli incidenti sulla sicurezza: • Intraprendere immediatamente i provvedimenti per ridurre al minimo il rischio per XXXXXXXX. Riferire l’incidente al proprio responsabile o al responsabile della sicurezza locale il più velocemente possibile.

• Non cercare di dimostrare un sospetto punto debole o di porre rimedio ad una situazione; potrebbe essere interpretato come uso scorretto del sistema e distruggere le prove • Riferire qualunque malfunzionamento del sistema che potrebbe essere causato da un software contenente ad es. un virus, all’help desk locale. Prendere nota dei sintomi e di qualunque messaggio, smettere di usare il sistema e scollegarlo dalla rete. • furti di attrezzature XXXXXXXX (PC, cellulari, palmari, ecc.) possono costituire una violazione della sicurezza e devono essere riferiti alla funzione Security Governance come incidenti di sicurezza.


manualedeidipendenti Policy sulla sicurezza delle informazioni di XXXXXXXX  Lo scopo di questa Policy è proteggere il patrimonio d’informazione (1) di XXXXXXXX e dei nostri clienti da tutte le minacce, sia interne sia esterne, deliberate o accidentali.  La Policy si applica a tutto il personale, inclusi i fornitori, consulenti ed interinali, e a tutte le informazioni, siano esse di proprietà di XXXXXXXX, o di figure terze che autorizzano XXXXXXXX a custodirle e/o utilizzarle.  Fa parte della Policy aziendale garantire che: • Le informazioni siano protette contro qualunque accesso non autorizzato (2) • La riservatezza delle informazioni sia assicurata(1). • L’integrità delle informazioni sia mantenuta (3). • I requisiti aziendali sulla disponibilità delle informazioni e dei sistemi siano soddisfatti (4). • Sia effettuata la gestione dei rischi per identificare e valutare i rischi sulla sicurezza in modo da poter intraprendere adeguate contromisure. • La classificazione del patrimonio d’informazione sia applicata. • I requisiti legislativi e regolatori nazionali siano soddisfatti (5). • Tutto il personale possa accedere alla formazione sulla sicurezza delle informazioni. La funzione SECURITY GOVERNANCE ha la responsabilità di strutturare la sicurezza delle informazioni all’interno di XXXXXXXX ed è direttamente responsabile della manutenzione delle politiche globali e della consulenza relativa alla sua implementazione.

Le norme, le procedure e le linee guida devono essere prodotte localmente per supportare l’implementazione locale delle politiche globali conformemente alla legislazione vigente. Queste regole locali definiscono il livello minimo a cui devono attenersi tutti i dipendenti in materia di sicurezza delle informazioni. Tutti i manager sono direttamente responsabili dell’implementazione della Politica all’interno delle loro aree lavorative e della sua osservanza da parte del proprio staff. Tutti i dipendenti sono tenuti a rispettare la Policy e le relative norme, procedure e linee guida. La loro violazione può condurre a un’azione disciplinare. Il personale è tenuto ad informare il proprio manager o il responsabile della sicurezza locale di tutte le violazioni, effettive o sospette, della sicurezza delle informazioni. In caso di incidente sulla sicurezza, devono essere presi provvedimenti immediati per ridurre il rischio e l’impatto di eventuali danni a XXXXXXXX. Le eccezioni alla Politica devono essere approvate da SECURITY GOVERNANCE.

OBIETTIVO L’obiettivo della sicurezza delle informazioni è garantire la “Business Continuity” e ridurre al minimo i danni alle attività lavorative causati dall’impatto degli incidenti sulla sicurezza.

NOTE 1. Inclusi i dati immagazzinati nei computer, trasmessi attraverso le reti, stampati o scritti su carta, inviati via fax, conservati su supporti leggibili da dispositivi (ad es. CDRom, cassette, supporti USB) o forniti a voce nel corso di conversazioni telefoniche. 2. Protezione delle informazioni riservate o sensibili dalla diffusione non autorizzata o da interruzioni. 3. Salvaguardare l’accuratezza e la completezza delle informazioni proteggendole da modifiche non autorizzate. 4. Assicurare che le informazioni e le relative attività siano disponibili agli utenti quando necessario. 5. Ad esempio: le leggi sulla protezione dei dati, quelle sulla privacy e anche i contratti di licenza d’uso. Per maggiori informazioni, contattare SECURITY GOVERNANCE

PROVA  

catarinrfrange

Read more
Read more
Similar to
Popular now
Just for you