POLITICA DI CONTROLLO DEGLI ACCESSI

POLITICA DI CONTROLLO DEGLI ACCESSI

1. Introduzione

Disponibilità, riservatezza e integrità sono aspetti fondamentali della protezione dei sistemi e delle informazioni e si realizzano attraverso controlli fisici, logici e procedurali. È essenziale per la protezione dei sistemi e degli utenti autorizzati che hanno accesso ai sistemi e alle informazioni di Cubbit conoscere e comprendere come le loro azioni possano incidere sulla sicurezza.

Disponibilità: i sistemi e le informazioni sono fisicamente sicuri e, se necessario, accessibili alle persone autorizzate.

Riservatezza: i sistemi e le informazioni saranno accessibili solo alle persone autorizzate.

Integrità: l’accuratezza e la completezza dei sistemi e delle informazioni e la correttezza delle informazioni sono salvaguardate.

Gli utenti autorizzati, di cui al presente documento, appartengono ai seguenti gruppi:

Tutte le parti (sia come parte di un contratto di lavoro o di un contratto di terzi) che hanno accesso a, oppure l’uso di sistemi ICT e le informazioni appartenenti a, o sotto il controllo di, Cubbit compresi:

  • dipendenti Cubbit (full time, a tempo parziale o temporaneo);
  • collaboratori;
  • consulenti;
  • organizzazioni partner;
  • Qualsiasi altra parte che utilizzi risorse ICT di Cubbit.

2. Scopo

Lo scopo di questa politica è quello di garantire che sia l’accesso logico che fisico alle informazioni e ai sistemi sia controllato e le procedure per garantire la protezione dei sistemi informativi e dei dati siano in atto.

3. Campo di applicazione

Il campo di applicazione di questa politica comprende l’accesso alle informazioni di Cubbit, ai sistemi ICT e l’accesso fisico alle aree e ai luoghi in cui si trovano le informazioni e i dati. Questa politica si applica a tutto il ciclo di vita delle informazioni, dall’acquisizione/creazione fino all’utilizzo, allo stoccaggio e allo smaltimento.

4. Dichiarazione politica

Il personale viene opportunamente formato, in fase di inserimento aziendale, mediante eLearning, formazione dei manager, formazione specifica e programmi di sensibilizzazione per consentire loro di essere consapevoli delle proprie responsabilità nei confronti della sicurezza dei sistemi e dell’informazione.

 Accesso a sistemi/informazioni

L’opportuno profilo di accesso ai sistemi aziendali viene conferito dal System Administrator in funzione delle mansioni che ogni dipendente o collaboratore deve svolgere, e può variare in funzione delle eventuali variazioni di tali mansioni. I profili di accesso vengono revisionati almeno una volta all’anno dall’Amministratore di sistema e in occasione del cambio mansione. L’accesso ai sistemi potrà essere disabilitato temporaneamente in casi particolari (per es.: assenze prolungate).

L’accesso ai sistemi aziendali avviene mediante autenticazione, utilizzando l’account email aziendale Google Workspace assegnato in fase di onboarding.

Questo prevede, per esplicita scelta e politica di Cubbit:

  • Autenticazione a più fattori (conferma via SMS, notifica in-app o biometria);
  • Access Control list al singolo sistema informativo sulla base degli ID Google Workspace, che indica quale utente possa fare quale operazione in dettaglio.
  • Il codice sorgente del software Cubbit è conservato all’interno di un’apposita piattaforma di collaborazione online, leader di mercato, che offre meccanismi di autenticazione multifattore ed alla quale accedono gli sviluppatori. Allo sviluppatore software è lasciata la scelta se utilizzare il proprio account, o crearne uno dedicato, in ogni caso sarà necessario l’autenticazione a più fattori.
  • Qualora non fosse disponibile l’autenticazione mediante Google Workspace per uno specifico sistema informativo, è prevista una specifica procedura operativa idonea al mantenimento del medesimo standard di sicurezza di autenticazione a multifattore o, alternativamente, la necessità di login ogni massimo 30 minuti.
  • Ogni dipendente o collaboratore o consulente dovrà richiedere personalmente o tramite il proprio responsabile il conferimento dell’opportuno profilo di accesso ai sistemi informativi di cui necessita per lo svolgimento dell’attività lavorativa.
  • I login generici o “funzionali” non sono generalmente consentiti in Cubbit; ne è consentito l’uso in circostanze eccezionali o “controllate” solo qualora non fosse fornita nessuna altra possibilità tecnica.
  • Potrebbe essere richiesta una conferma firmata da parte dell’utente che indichi che comprende e apprezza le condizioni di accesso e sicurezza.
  • In caso di autorizzazione all’uso dei sistemi e delle informazioni, il richiedente riceverà credenziali e password di accesso univoche e associazione al meccanismo di autenticazione multifattore prescelto. All’utilizzatore verranno impartite istruzioni e formazione su come mantenere la sicurezza dei sistemi e delle informazioni nel rispetto delle procedure di seguito indicate.

Cancellazione di sistemi/informazioni

  • Come già affermato, se un membro del personale cambia ruolo dovrà essere richiesto al System Administrator di variare il suo profilo d’accesso in funzione delle nuove mansioni.
  • In caso di cessazione del rapporto di collaborazione l’accesso dovrà essere disabilitato.
  • Se si ritiene che un membro del personale abbia violato una delle politiche o procedure di sicurezza delle informazioni, compromettendo potenzialmente la disponibilità, la riservatezza o l’integrità di qualsiasi sistema o informazione, i suoi diritti di accesso al sistema/informazione devono essere riesaminati dai proprietari del sistema.
  • Se uno specifico limite di accesso viene superato o eluso più volte da un utente, il System Administrator deve rivedere i diritti di accesso dell’utente e, se necessario, richiamarlo.
  • Ogni modifica, sospensione, disattivazione relativa ai profili di accesso comporta l’aggiornamento della documentazione pertinente.

Considerazioni relative all’accesso all’infrastruttura IT

  • Tutti i sistemi dovrebbero essere accessibili mediante l’autenticazione sicura della convalida da parte dell’utente. Come minimo, ciò dovrebbe comportare l’uso di un Nome Utente e di una Password, e di un fattore di autenticazione aggiuntivo (SMS, app, biometria).
  • Il collegamento a sistemi/informazioni deve essere effettuato solo utilizzando apparecchiature autorizzate e/o correttamente configurate in conformità con le politiche di Cubbit.
  • Dopo aver effettuato il login, gli utenti devono assicurarsi che l’apparecchiatura non venga lasciata incustodita e che le sessioni attive vengano bloccate o terminate. I sistemi dovrebbero essere disconnessi, chiusi o terminati il più presto possibile. I dati di accesso al sistema non devono essere copiati, condivisi o scritti.

Accesso fisico e controlli

  • È di vitale importanza mantenere la sicurezza fisica degli uffici e dei locali in cui si trovano e si possono accedere alle informazioni, ai dati e agli strumenti di elaborazione. Devono esistere metodi per proteggere fisicamente l’accesso alle informazioni e ai dati: Il personale è in possesso di badge che deve essere utilizzato accedere agli uffici. Ogni visitatore è identificato e registrato in reception ed assegnato ad un membro del team di Cubbit.
  • L’uso di chiavi per edifici, stanze, armadietti di sicurezza, ecc. deve essere controllato e registrato. Le chiavi vengono consegnate previa scrittura con mandato di gestione e conservazione e devono essere conservate personalmente dal beneficiario, oppure in aree sicure/armadi bloccati quando non vengono utilizzate. L’eventuale beneficiario di una chiave deve comprendere la chiave nell’elenco di beni consegnati per uso personale. Le chiavi sono concesse in uso personale, e non possono essere date in prestito. Solo in casi eccezionali è consentita la cessione temporanea a un altro collaboratore, stante il permesso del responsabile e del beneficiario.
  • Le sedi in cui sono ubicate le informazioni critiche o sensibili e/o le strutture per l’elaborazione delle informazioni dovrebbero avere un perimetro sicuro e fisicamente sicuro, con controlli e restrizioni adeguati che consentano l’accesso soltanto al personale autorizzato.
  • La supervisione e la manutenzione della sicurezza fisica dei locali e degli uffici in cui sono installati i PC e/o le apparecchiature critiche per l’elaborazione delle informazioni deve essere una considerazione di primaria importanza. Ad esempio, non collocare le apparecchiature critiche in luoghi accessibili al pubblico, vicino alle finestre, in aree in cui il furto è un rischio elevato.
  • Tutte le interfacce utilizzate per gestire l’amministrazione del sistema e consentire l’accesso all’elaborazione delle informazioni devono essere adeguatamente protette.
  • L’accesso diretto a luoghi sicuri o l’accesso a uffici contigui che potrebbero fornire l’accesso devono essere per quanto possibile bloccati e protetti mediante appositi dispositivi di bloccaggio.
  • Non sono consentite visite personali o speciali da parte di parenti o conoscenti del personale all’interno di aree sicure.
  • L’attrezzatura deve essere posizionata in modo da ridurre al minimo l’accesso non necessario e non autorizzato alle zone di lavoro. Ad esempio, i punti di ristoro o i macchinari per ufficio destinati ai visitatori dovrebbero essere collocati esclusivamente in aree accessibili a tutti.

5. Responsabilità

I manager hanno la responsabilità di assicurare che tutto il personale sia a conoscenza delle politiche di sicurezza e che queste vengano osservate. I manager devono essere consapevoli della loro responsabilità di garantire che il personale disponga di conoscenze sufficienti e pertinenti in materia di sicurezza delle informazioni e dei sistemi. I proprietari di sistemi designati, responsabili della gestione dei sistemi ICT e delle informazioni inerenti, devono assicurarsi che tutto il personale sia consapevole delle proprie responsabilità in materia di sicurezza. I proprietari designati di sistemi e informazioni devono garantire il rispetto delle politiche e delle procedure di sicurezza.