1.1. Governance e Evoluzione

Questa Politica è stata creata in stretta collaborazione con e approvata dagli esecutivi di Scunio S.r.l. Almeno annualmente, viene esaminata e modificata secondo necessità per garantire chiarezza, sufficiente copertura di ambito, attenzione agli interessi dei clienti e del personale, e rispondenza generale al panorama della sicurezza in evoluzione e alle migliori pratiche del settore.

1.2. Team della Sicurezza

Il team della sicurezza di Scunio S.r.l. supervisiona l'attuazione di questa Politica, inclusi:

• l'approvvigionamento, la fornitura, la manutenzione, il ritiro e il recupero delle risorse informatiche aziendali,
• tutti gli aspetti dello sviluppo e del funzionamento del servizio relativi alla sicurezza, alla privacy, all'accesso, alla affidabilità e alla sopravvivenza,
• valutazione continua del rischio, gestione delle vulnerabilità, risposta agli incidenti e
• controlli delle risorse umane relativi alla sicurezza e formazione del personale.

1.3. Framework di Gestione dei Rischi

Il team della sicurezza mantiene un Framework di Gestione dei Rischi derivato da NIST SP 800-39 - "Gestione dei Rischi per la Sicurezza dell'Informazione: Vista dell'Organizzazione, Missione e Sistema" e NIST SP 800-30 - "Guida per la Conduzione delle Valutazioni dei Rischi". Gli esercizi di valutazione del rischio informano la prioritizzazione per miglioramenti continui alla posizione della sicurezza di Scunio S.r.l., che potrebbero includere modifiche a questa stessa Politica.

Il nostro Framework di Gestione dei Rischi incorpora quanto segue:

• Identificazione delle minacce rilevanti potenziali.
• Uno schema per valutare la solidità dei controlli implementati.
• Uno schema per valutare i rischi attuali e valutarne la gravità.
• Uno schema per rispondere ai rischi.

2.1. Comportamenti sul Lavoro

La prima linea di difesa nella sicurezza dei dati è costituita dal comportamento informato del personale, che svolge un ruolo significativo nel garantire la sicurezza di tutti i dati, indipendentemente dal formato. Tali comportamenti includono quelli elencati in questa sezione, nonché eventuali requisiti aggiuntivi specificati nel manuale dell'utente, nei processi di sicurezza specifici e in altri codici di condotta applicabili.

Formazione
Tutti i dipendenti e i collaboratori devono completare i programmi di formazione sulla consapevolezza della sicurezza e sul trattamento dei dati di Scunio S.r.l. almeno una volta all'anno.

Persone non Riconosciute e Visitatori
È responsabilità di tutto il personale adottare misure positive per mantenere la sicurezza fisica. Rilevare chiunque si trovi in un luogo di lavoro ristretto e non sia riconosciuto. Qualsiasi persona rilevata che non risponda adeguatamente deve essere segnalata immediatamente al personale di supervisione e al team di sicurezza. Tutti i visitatori degli uffici di Scunio S.r.l. devono essere registrati come tali o accompagnati da un dipendente di Scunio S.r.l.

Scrivania Pulita
Il personale dovrebbe mantenere gli spazi di lavoro liberi da materiali sensibili o confidenziali e fare attenzione a liberare tali materiali alla fine di ogni giornata lavorativa.

Dispositivi Non Sorvegliati
I dispositivi non sorvegliati devono essere bloccati. Tutti i dispositivi devono avere una funzione di blocco automatico dello schermo impostata per attivarsi automaticamente dopo non più di quindici minuti di inattività.

Utilizzo di Risorse Aziendali
I sistemi devono essere utilizzati per scopi aziendali nell'interesse dell'azienda, dei nostri clienti e partner nel corso delle normali operazioni aziendali. Il personale è responsabile di esercitare un buon giudizio riguardo alla ragionevolezza dell'uso personale dei sistemi. Sono consentiti solo hardware e software gestiti da Scunio S.r.l. da collegare o installare su attrezzature o reti aziendali e utilizzati per accedere ai dati di GestioneIncassi. L'hardware e il software gestiti da Scunio S.r.l. includono quelli di proprietà di Scunio S.r.l. o di personale di Scunio S.r.l. ma iscritti a un sistema di gestione dei dispositivi di Scunio S.r.l. Solo il software approvato da Scunio S.r.l. per uso aziendale può essere installato sulle attrezzature aziendali. Tutto il personale deve leggere e comprendere l'elenco delle attività vietate descritte in questa Policy. Le modifiche o le configurazioni non sono consentite senza il consenso scritto esplicito del team di sicurezza di Scunio S.r.l.

Supporti Rimovibili, Nessun Backup, Utilizzo di Archiviazione Cloud
L'uso di supporti rimovibili come le chiavette USB è vietato. Il personale non può configurare i dispositivi di lavoro per effettuare backup o copie dei dati al di fuori delle politiche aziendali. Invece, ci si aspetta che il personale operi principalmente "nel cloud" e tratti lo storage locale sui dispositivi informatici come effimero. I dati di GestioneIncassi devono essere salvati in uno storage cloud sicuro approvato dall'azienda (ad es. Google Docs) per garantire che anche in caso di smarrimento, furto o danneggiamento di un dispositivo aziendale, tali artefatti siano immediatamente recuperabili su un dispositivo di sostituzione.

Attività Vietate
Le seguenti attività sono vietate. In determinate condizioni e con il consenso scritto esplicito del team di sicurezza, il personale può essere esentato da determinate di queste restrizioni durante lo svolgimento delle proprie legittime responsabilità lavorative (ad es. test di penetrazione pianificati, il personale amministrativo di sistema potrebbe avere la necessità di disabilitare l'accesso di rete di un host se tale host sta disturbando i servizi di produzione).

L'elenco seguente non è esaustivo, ma cerca di fornire un quadro delle attività che rientrano nella categoria di uso non accettabile.

• In nessun caso il personale di Scunio S.r.l. è autorizzato a impegnarsi in attività illegali ai sensi della legge locale, statale, federale o internazionale utilizzando risorse di proprietà di Scunio S.r.l.
• Violazioni dei diritti di qualsiasi persona o azienda protetti da copyright, segreto industriale, brevetto o altre leggi o regolamenti sulla proprietà intellettuale, o simili, compresa, ma non solo, l'installazione o la distribuzione di prodotti software 'pirata' o di altri prodotti software non opportunamente autorizzati per l'uso da parte di Scunio S.r.l.
• È severamente vietato violare o tentare di violare i termini d'uso o l'accordo di licenza di qualsiasi prodotto software utilizzato da Scunio S.r.l.
• La copia non autorizzata di materiale protetto da copyright, compresa, ma non solo, la digitalizzazione e la distribuzione di fotografie da riviste, libri o altre fonti protette da copyright, musica protetta da copyright e l'installazione di qualsiasi software protetto da copyright per il quale Scunio S.r.l. o l'utente finale non dispongono di una licenza attiva è severamente vietata.
• L'esportazione di software, informazioni tecniche, software di crittografia o tecnologia può comportare una violazione delle leggi internazionali o regionali sul controllo delle esportazioni. La direzione appropriata dovrebbe essere consultata prima di esportare qualsiasi materiale che è in questione.
• Rivelare la propria password dell'account ad altri o consentire l'uso del proprio account da parte di altri. Ciò include colleghi, nonché familiari e altri membri del nucleo familiare quando si lavora a casa.
• Fare offerte fraudolente di prodotti, articoli o servizi originari da qualsiasi account di Scunio S.r.l.
• Fare dichiarazioni sulla garanzia, esplicitamente o implicitamente, a meno che non faccia parte dei normali compiti lavorativi e solo nella misura in cui le garanzie siano conformi alle garanzie autorizzate di Scunio S.r.l.
• Introdurre programmi maligni nella rete o nel server (ad esempio, virus, worm, cavalli di Troia, bombe e-mail, ecc.).
• Compromettere la sicurezza o interrompere le comunicazioni di rete. Le violazioni della sicurezza includono, ma non sono limitate a, l'accesso a dati a cui l'utente non è destinatario previsto o l'accesso a un server o a un account a cui l'utente non è espressamente autorizzato ad accedere. Ai fini di questa sezione, 'interruzione' include, ma non si limita a, lo sniffing di rete, i ping flood, lo spoofing dei pacchetti, il denial of service e l'invio di informazioni di routing contraffatte a fini maliziosi o illegali.
• Salvo che sotto diretta supervisione del team di sicurezza, scansione delle porte o scansione della sicurezza, o altri software progettati per sfruttare o individuare vulnerabilità informatiche, software o di rete.
• Esecuzione di qualsiasi forma di monitoraggio della rete che intercetterà dati non destinati all'host dell'utente, a meno che quest'attività non faccia parte del normale lavoro/dovere dell'utente.
• Circumventare l'autenticazione dell'utente o la sicurezza di qualsiasi host, rete o account o tentare di violare una risorsa informativa o di aggirare una funzione di sicurezza. Questo include l'esecuzione di programmi di cracking delle password o programmi sniffer e il tentativo di aggirare i permessi di file o di altre risorse.
• Tentativo di interferire o negare il servizio a qualsiasi altro utente.
• Fornire informazioni su, o elenchi di, personale di Scunio S.r.l. a parti esterne a Scunio S.r.l.
• Installazione di software che installa o include qualsiasi forma di malware, spyware o adware come definito dal team di sicurezza.
• Far crashare un sistema informativo. Far crashare deliberatamente un sistema informativo è severamente vietato. Gli utenti potrebbero non rendersi conto di aver causato il crash di un sistema, ma se viene dimostrato che il crash è avvenuto a seguito di un'azione dell'utente, una ripetizione dell'azione da parte di tale utente potrebbe essere considerata un atto deliberato.
• Tentativi di sottoporre a tecnologie utilizzate per configurare il sistema dispositivi aziendali gestiti dall'azienda (ad es. MDM) o dispositivi personali utilizzati volontariamente per scopi aziendali (ad es. Profili di lavoro mobili).

2.2. Configurazione dei Sistemi del Personale, Proprietà e Privacy

Configurazione Centralizzata del Sistema
I dispositivi del personale e la loro configurazione software sono gestiti a distanza dai membri del team della sicurezza tramite tecnologia di enforcement della configurazione, nota anche come software MDM. Tale tecnologia può essere utilizzata per scopi tra cui l'audit/l'installazione/la rimozione di applicazioni software o servizi di sistema, la gestione della configurazione di rete, l'applicazione delle policy sulla password, la cifratura dei dischi, il wipe & recovery remoto, la copia di file dati da/a dispositivi del personale, e qualsiasi altra interazione consentita per garantire che i dispositivi del personale siano conformi a questa Policy.

Crittografia dei Dati e dei Dispositivi
Tutti i dispositivi devono utilizzare una moderna crittografia del disco completo per proteggere i dati nel caso di smarrimento del dispositivo. Un esempio di crittografia del disco completo valida è Apple FileVault 2 che utilizza la crittografia XTS-AES-128 con una chiave a 256 bit. Questo è imposto utilizzando il software MDM.

Heartbeat e Wipe Remoto del Dispositivo
I dispositivi devono supportare la capacità di segnalare il proprio stato e di essere cancellati a distanza. Questo è imposto utilizzando il software MDM.

Prevenzione dello Storage Rimovibile
I dispositivi devono impedire l'uso dello storage rimovibile. Questo è imposto utilizzando il software MDM.

I dispositivi devono installare e configurare automaticamente il software antivirus fornito da Scunio S.r.l. per la protezione dell'endpoint. Il software configurato segnalerà lo stato e le minacce potenziali, consentendo l'amministrazione e la segnalazione remota da parte del team della sicurezza. Questo è imposto utilizzando il software MDM.

Mantenimento della Proprietà
Tutti i programmi software, i dati e la documentazione generati o forniti dal personale durante la fornitura dei servizi a Scunio S.r.l. o a beneficio di Scunio S.r.l. sono di proprietà di Scunio S.r.l. a meno che non siano diversamente disciplinati da un accordo contrattuale.

Privacy del Personale
Sebbene l'amministrazione della rete di Scunio S.r.l. desideri garantire un ragionevole livello di privacy, gli utenti devono essere consapevoli che i dati che creano sui sistemi aziendali rimangono di proprietà di Scunio S.r.l. A causa della necessità di proteggere la rete di Scunio S.r.l., la direzione non intende garantire la privacy delle informazioni personali del personale memorizzate su qualsiasi dispositivo di rete di Scunio S.r.l. Il personale è responsabile di esercitare un buon giudizio riguardo all'uso personale come la navigazione web generale o l'email personale. In caso di incertezza, il personale dovrebbe consultare il team della sicurezza o il proprio responsabile.

Il personale dovrebbe strutturare tutte le comunicazioni elettroniche con il riconoscimento del fatto che il contenuto potrebbe essere monitorato e che qualsiasi comunicazione elettronica potrebbe essere inoltrata, intercettata, stampata o memorizzata da altri.

Scunio S.r.l. si riserva il diritto, a sua discrezione, di esaminare i file o le comunicazioni elettroniche del personale per quanto necessario per garantire che tutti i media e i servizi elettronici siano utilizzati in conformità con tutte le leggi e i regolamenti applicabili nonché con le politiche aziendali.

Scunio S.r.l. si riserva il diritto di ispezionare reti e sistemi su base periodica per garantire la conformità a questa policy. Per scopi di sicurezza e manutenzione della rete, individui autorizzati all'interno di Scunio S.r.l. possono monitorare attrezzature, sistemi e traffico di rete in qualsiasi momento.