Politica della sicurezza delle informazioni

POLITICA DELLA SICUREZZA DELLE INFORMAZIONI DI UMBRIA DIGITALE 

La Società Umbria Digitale s.c.a r.l., con sede a Perugia via G.B. Pontani 39, come stabilito dalla legge regionale n.9/2014 e dallo statuto, eroga servizi di interesse generale in ambito lCT e svolge un ruolo chiave nel sistema istituzionale pubblico regionale.

Esegue attività di “Progettazione, sviluppo e installazione di sistemi informativi. Erogazione di servizi di conduzione tecnica, operativa e funzionale di sistemi informativi”.  
Il Vertice aziendale di Umbria Digitale (Amministratore Unico e Comitato di Gestione come definito nella disposizione organizzativa di Umbria Digitale s.c.a r.l. 1/2018) si impegna a preservare la riservatezza, l’integrità e la disponibilità di tutte le informazioni (in formato elettronico e non) in tutta l’organizzazione sottesa dal Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), al fine di mantenere la propria solidità economica, redditività, conformità legale, contrattuale e l’immagine presso i soci.

Il perimetro sotteso al SGSI è il seguente: 

“Erogazione di servizi di conduzione tecnica, operativa e funzionale di sistemi informativi gestiti nel data center regionale unitario (DCRU)”.

Dal 25 maggio 2018 trova inoltre piena applicazione il Regolamento generale sulla protezione dei dati personali, noto anche come GDPR – General Data Protection Regulation, le cui norme si applicano al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 
Umbria Digitale, in continuità con il percorso avviato molti anni fa in relazione alla compliance al codice Privacy 196/2003, ha attivato fin dal 2017 un piano operativo finalizzato al completo adeguamento dell’azienda al GDPR. A tale scopo è stato costituito uno specifico gruppo di lavoro “Privacy” ed è stato nominato il DPO con delibera dell’AU num. 151 del 25 maggio 2018.

Tutti i dipendenti dell'organizzazione sottesa dal SGSI sono pertanto tenuti a rispettare le presenti politiche e l’intero SGSI, comprensivo del GDPR, adottando tutte le misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio e attivandosi perché tali misure siano correttamente implementate e oggetto di costante valutazione. Un insieme di regole sono richieste a tutti coloro che, non essendo dipendenti dell’organizzazione si trovano ad operare per conto dell’azienda.  La politica sarà riesaminata ogni qualvolta sarà necessario e comunque almeno una volta all'anno. 


La politica per la Sicurezza delle informazioni riguarda la gestione e l’utilizzo del sistema informativo in tutti i suoi aspetti. 
Per perseguire gli obiettivi aziendali, le informazioni devono soddisfare i requisiti di:
    • riservatezza: le informazioni devono essere conosciute solo da coloro che ne hanno il relativo diritto, rispettando il principio del minimo privilegio (“necessità di sapere”) in base alle mansioni ricoperte (“necessità di operare”); 
    • integrità: le informazioni devono essere precise e complete, devono rispettare i valori e le aspettative aziendali, e devono essere protette da modifiche e cancellazioni non autorizzate. Per soddisfare tale requisito le informazioni devono essere esatte, aggiornate e leggibili; 
    • disponibilità: le informazioni devono essere disponibili quando richiesto dai processi aziendali, in maniera efficace ed efficiente; 
    • efficacia: le informazioni devono essere rilevanti e pertinenti al processo aziendale e, allo stesso tempo, devono essere disponibili tempestivamente, senza errori e fornite in modo da poter essere utilizzate dall’utente; 
    • efficienza: le informazioni devono essere fornite attraverso l’uso ottimale delle risorse sia dal punto di vista della produttività che della economicità; 
I dati personali devono essere trattati: 
    • in osservanza dei criteri di riservatezza; 
    • in modo lecito e secondo correttezza; 
    • per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati; 
    • nel pieno rispetto delle misure minime di sicurezza, custodendo e controllando i dati oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. 

Per poter gestire in modo adeguato il Sistema Informativo è essenziale un efficace processo di gestione dei rischi che, oltre a mettere in atto azioni di mitigazione, permetta una rielaborazione statistica degli incidenti al fine della pronta individuazione e la correzione di eventuali carenze relative a politiche, processi e procedure. Ciò può ridurre considerevolmente la frequenza e/o gravità degli eventi dannosi.
La Società con le sue unità organizzative interne assicura l’esecuzione dei processi atti a: 
    • diffondere il contenuto dei servizi, conoscere i punti di forza e di eventuale debolezza; 
    • assicurare agli utenti formazione e accesso alle funzioni secondo criteri di sicurezza aderenti a principi di sana e prudente gestione o comunque alle politiche di gestione del rischio informatico; 
    • attivare processi volti alla valorizzazione delle risorse informatiche, intese come leva per il raggiungimento degli obiettivi della Società; 
    • realizzare un sistema di comunicazione dei fabbisogni o delle criticità del Sistema Informativo con l’obiettivo di attivare un processo di miglioramento continuo; 
    • attuare controlli finalizzati a valutare la capacità dell’azienda di attenersi alle politiche di sicurezza stabilite; 
    • individuare tempestivamente deviazioni (anomalie, malfunzionamenti, differenze) rispetto a quanto conosciuto/approvato/autorizzato; 
    • favorire azioni correttive;
    • tracciare qualsiasi deviazione da quanto stabilito.

La Società predispone ed implementa il proprio Piano di Continuità Operativa ed il Piano di Disaster Recovery. Deve essere sempre assicurata la protezione dei dati e dei sistemi contro le possibili conseguenze dell’attività di software dannoso (c.d. malware). Inoltre, la Società, tenuto conto della particolare criticità dei ruoli connessi alla gestione del Sistema Informativo, adotta idonee cautele volte a prevenire e ad accertare eventuali utilizzi non in linea con gli obiettivi aziendali.

L'attribuzione delle funzioni relative alla gestione delle applicazioni, del Sistema Informativo o delle sue componenti si svolge previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, sia esso dipendente o collaboratore, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni interne ed esterne incluse quelle in materia di trattamento dei dati e sicurezza delle informazioni. 

Nel ricorso ai servizi esterni, la Società richiede ai fornitori analoghi criteri di valutazione di competenza, capacità ed affidabilità del proprio personale, nello svolgimento dell’incarico affidatogli e la garanzia del pieno rispetto delle vigenti disposizioni di legge, anche quelle in materia di trattamento dei dati e sicurezza delle informazioni.