POLITICA DI GESTIONE DEGLI ASSET

1. Introduzione


La Cubbit S.r.l. (Cubbit) riconosce l’importanza di garantire che le proprie attività siano identificate, registrate e protette. Cubbit è attenta a garantire che tutte le attività che gestisce e possiede siano contabilizzate, mantenute e controllate attraverso l’implementazione di best practice, meccanismi di registrazione, processi e procedure.

2. Scopo 


Lo scopo di questa politica è di assicurare che tutte le attività di Cubbit siano registrate e di stabilire buone pratiche professionali nella manutenzione, protezione e classificazione di tutte le medesime attività.

Cubbit classifica le attività come:

  • Sistemi informativi e di informazione: 
    • Basi di dati del servizio Storage Cubbit
    • Basi di dati utilizzate dai dipendenti e collaboratori Cubbit
    • File di dati
    • Documentazione del codice sorgente/software sviluppato da Cubbit
    • Documentazione cartacea
    • Guide per l’utente
    • Materiale di formazione
    • Politiche, procedure
    • Piani di continuità operativa
    • Dati finanziari
  • Software
    • Applicazioni e codice sorgente sviluppati da Cubbit
    • Applicazioni di  terze parti
    • Software di sistema
    • Software di sviluppo
    • Programmi di utilità
  • Fisico
    • Attrezzatura informatica
    • Apparecchiature di comunicazione
    • Supporti di memorizzazione e registrazione
    • Sedi aziendali
  • Servizi: 
    • Comunicazioni
    • Servizi (energia, illuminazione, controlli ambientali)
  • Personale
    • Conoscenza
    • Competenze 
    • Esperienza 
  • Immobilizzazioni immateriali: 
  • Reputazione

3. Portata


Questo ambito di applicazione si estende a tutti i dipartimenti, dipendenti, collaboratori, consulenti, appaltatori, fornitori e agenzie partner di Cubbit che utilizzano o sono responsabili dello sviluppo, della gestione e della manutenzione di tutti gli asset ICT di Cubbit .

4. Dichiarazione politica


Il dipartimento IT individua tutte le risorse, materiali e immateriali, che costituiscono il patrimonio aziendale e le individua esplicitamente. Tutte le risorse ICT identificate (che includono hardware, software e licenze, ecc.) devono essere registrate nell’inventario delle risorse ICT di Cubbit.

Cubbit deve adottare le seguenti misure per garantire che tutte le attività siano adeguatamente identificate, registrate e mantenute.  

4.1 Sistemi informativi e di informazione

I dati e le informazioni detenuti e gestiti da Cubbit possono essere conservati su supporto cartaceo in luoghi fisici, sistemi di archiviazione, uffici o memorizzati elettronicamente utilizzando software e sistemi di backup elettronici.

Tipi di risorse dei sistemi informativi:

  • Basi di dati del servizio di cloud storage di Cubbit

I dati del servizio storage di Cubbit sono cifrati in modalità “zero-knowledge”, che rende impossibile a chiunque all’interno dell’organizzazione decifrare le informazioni. Ai dipendenti e collaboratori è fatto esplicito divieto di richiedere all’utente finale la chiave di cifratura privata. Gli accessi al database sono programmatici, ed eventuale accesso di manutenzione straordinaria manuale è riservato agli amministratori di sistema.

  • Basi di dati utilizzate dai dipendenti e collaboratori Cubbit: l’accesso a questi dati deve essere consentito solo ai dipendenti, collaboratori e consulenti autorizzati e verrà abilitato un changelog automatico per ogni accesso e modifica manuale da parte di personale Cubbit.
  • File di dati: L’accesso a qualsiasi file di dati deve essere consentito solo ai dipendenti, collaboratori e consulenti autorizzati e devono essere mantenuti registri per registrare tutti gli accessi e le modifiche apportate a qualsiasi dato contenuto.
  • Documenti cartacei: tutti i documenti cartacei contenenti dati sensibili e personali devono essere accessibili, elaborati, mantenuti e archiviati in modo sicuro in conformità con la guida alle informazioni di Cubbit. I documenti cartacei riservati che richiedono un accesso controllato devono essere muniti, se contengono particolari categorie di dati personali, di un registro di entrata e di uscita.
  • Guide per l’utente – Tutte le guide per l’utente che aiutano e facilitano la comprensione di processi, procedure o sistemi devono essere conservate in modo sicuro e devono essere facilmente e prontamente accessibili a tutti i dipendenti interessati, ove possibile. I manuali che esistono solo in forma fisica dovrebbero essere digitalizzati per includere una versione elettronica che possa essere memorizzata elettronicamente sulla rete della Cubbit e diffusa, ove possibile, sulla rete Intranet della Cubbit.
  • Materiale di formazione – Tutto il materiale di formazione pertinente deve essere conservato e reso facilmente accessibile a tutti i dipendenti interessati. La duplicazione o la riproduzione fisica dei manuali di addestramento deve essere ridotta al minimo e, ove possibile, evitata.
  • Politiche, procedure – Tutte le politiche e procedure di Cubbit devono essere rese disponibili e diffuse tramite la rete Intranet di Cubbit. – Tutte le copie originali dei documenti delle politiche e procedure, sia in formato elettronico che cartaceo, devono essere archiviate in modo sicuro, riviste regolarmente e deve essere conservato un registro di controllo della cronologia delle versioni di ciascun documento per garantirne l’aggiornamento. Le politiche e le procedure non possono essere diffuse.
  • Piani di Business Continuity – Tutti i piani di Business Continuity devono essere rivisti periodicamente almeno una volta all’anno o in occasione delle prove di simulazione, diffusi ai dipendenti appropriati e conservati in modo sicuro per un facile reperimento unitamente al piano periodico delle simulazioni e dei verbali di simulazione.
  • Dati finanziari – I dati e le informazioni relativi ai dati finanziari di Cubbit devono essere riservati esclusivamente ai dipendenti autorizzati. Devono essere istituiti meccanismi di registrazione per registrare l’accesso, le modifiche e l’uso dei dati e delle informazioni finanziarie.

4.2 Software

Il software per computer e sistemi IT è ampiamente utilizzato da Cubbit ed è vitale per il funzionamento quotidiano di Cubbit e per la fornitura di servizi essenziali ai propri clienti.

  • Applicazioni: i software utilizzati da Cubbit devono essere adeguatamente forniti e autorizzati da Cubbit e devono essere valutati per esigenze aziendali, idoneità, efficienza, facilità d’uso, rapporto costi/benefici e integrazione nei sistemi esistenti di Cubbit. Tutti i software approvati per l’uso da parte di Cubbit devono essere registrati nell’Elenco dei software approvati. È necessario acquistare un numero adeguato di licenze software, quando necessarie, per coprire il volume di utilizzo e soddisfare i requisiti di legge. I supporti software devono essere conservati (fisicamente ed elettronicamente) in un luogo sicuro e centralizzato insieme agli eventuali codici di installazione del software e numeri di registrazione. L’accesso ai supporti software da parte dei dipendenti deve essere controllato e limitato ai soli dipendenti autorizzati. È necessario tenere un registro di tutte le installazioni di software, dei volumi di licenze, della documentazione e dei riferimenti in un luogo centralizzato (database) in cui l’accesso è consentito solo ai dipendenti autorizzati. Per controllare l’uso dei supporti fisici è necessario utilizzare un sistema di accesso/uscita. 
  • Software di sistema: il software di sistema/server, come i sistemi operativi, deve essere valutato in base alle esigenze aziendali, all’idoneità, all’efficienza, al rapporto costo/efficacia e all’integrazione nei sistemi esistenti di Cubbit. I supporti di installazione del sistema operativo devono essere conservati in un luogo sicuro e centralizzato insieme ai codici di installazione. L’accesso ai supporti software del server/sistema da parte dei dipendenti deve essere controllato e limitato ai soli dipendenti autorizzati. È necessario tenere un registro di tutte le installazioni di software, dei volumi di licenze, della documentazione e dei riferimenti in un luogo centralizzato (database) in cui l’accesso è consentito solo ai dipendenti autorizzati. Per controllare l’uso dei supporti fisici è necessario utilizzare un sistema di accesso/uscita. I backup delle installazioni complete di server/sistemi devono essere eseguiti regolarmente a scopo di ripristino d’emergenza. L’installazione, la configurazione e la manutenzione del software del server/sistema devono essere eseguite esclusivamente da personale qualificato e addestrato.
  • Il software di sviluppo: come il software per lo sviluppo applicativo deve seguire gli stessi processi di approvvigionamento e utilizzo del software Applicazioni e Server/sistemi. Il software di sviluppo deve essere utilizzato solo da dipendenti che hanno ricevuto una formazione o che sono in formazione per utilizzare il software di sviluppo.

Tutti i tipi di software (ad eccezione degli aggiornamenti di sicurezza di routine e delle patch verificate dai fornitori di software) devono essere sottoposti a procedure di acquisto concordate e devono essere registrati nell’elenco dei Software approvati di Cubbit.

4.3 Fisico

Le attività più visibili di Cubbit sono quelle che si trovano fisicamente in tutta Cubbit, quali computer, stampanti, telefoni, ecc. Anche gli uffici e gli edifici devono essere considerati come beni ICT, in quanto forniscono la sede per l’alloggiamento e l’installazione dell’infrastruttura ICT di Cubbit  e dei documenti e delle informazioni fisicamente memorizzati.

  • Apparecchiature informatiche: Le apparecchiature informatiche devono essere sottoposte a controlli dall’acquisto allo smaltimento. Cubbit deve essere in grado di tracciare tutte le attività e gli utilizzi relativi a tutti i dispositivi informatici di proprietà utilizzando vari mezzi, quali la rete informatica e/o sistemi di logging, ecc. A tutti i computer deve essere assegnato un numero unico di asset tag, registrato in base al numero di serie e al modello del produttore.

Durante il suo ciclo di vita, un computer può essere soggetto ad aggiornamenti hardware, nuove installazioni di software, modifiche di configurazione e manutenzione. Tutte queste attività devono essere registrate nel sistema di gestione degli asset ICT di Cubbit, che viene mantenuto e aggiornato dal dipartimento IT.

  • Apparecchiature di comunicazione: I telefoni cellulari/smartphone per ufficio sono dispositivi di comunicazione in uso in Cubbit. Insieme alle apparecchiature informatiche, a questi dispositivi deve essere assegnato un numero di asset tag. Il dipendente, collaboratore o consulente a cui il dispositivo è assegnato ne diviene responsabile per uso e custodia. Tutti  i dispositivi mobili devono essere identificati e registrati nell’apposita banca dati.
  • Archiviazione e registrazione multimediali: I supporti quali CD/DVD, nastri magnetici, dischi rigidi flash/portatili sono beni preziosi perché vengono utilizzati per salvare e recuperare informazioni e dati di Cubbit La natura portatile di questo tipo di supporto richiede un uso responsabile e il rispetto di tutte le politiche, procedure e processi di Cubbit  che sono in atto per la protezione delle informazioni e dei dati. Dovrebbero essere istituiti adeguati meccanismi di etichettatura e registrazione per garantire la sicurezza e l’integrità dei supporti, che consentano di seguire i supporti essenziali, ad esempio i supporti necessari per effettuare il ripristino di dati/file, e di accedervi ed eseguirli da una postazione sicura. I supporti portatili devono essere utilizzati in conformità con la Politica di crittografia Cubbit , le Procedure di protezione dei laptop e dei dispositivi mobili e le Procedure di protezione dei dati e di gestione dei supporti.

Tutti i supporti/dispositivi di computer, comunicazione e archiviazione fisici devono essere sottoposti alle procedure di acquisto concordate e devono essere registrati nell’elenco dell’hardware approvato da Cubbit.

4.4 Servizi  

  • Comunicazioni: è vitale per Cubbit mantenere la sua capacità di comunicare in molte forme diverse. Gli apparati di comunicazione devono essere sottoposti a manutenzione e devono essere messi in atto processi, politiche e procedure chiari per la fornitura di questo servizio. La posta elettronica è anche un mezzo vitale di comunicazione e, come tale, richiede un’infrastruttura solida e affidabile per consentire a Cubbit  di comunicare in modo efficace e affidabile, sia internamente che esternamente.
  • Utilità (energia, illuminazione, controlli ambientali): Questi servizi sono beni in quanto forniscono i requisiti fondamentali per Cubbit per funzionare in modo appropriato, sicuro ed efficace. È essenziale che la manutenzione e le ispezioni degli immobili siano effettuate regolarmente e che i dipendenti siano proattivi nel segnalare eventuali guasti. 

4.5 Personale

Cubbit non può funzionare senza la sua forza lavoro, che è il suo asset più importante. La fornitura di servizi di qualità richiede che i dipendenti di Cubbit abbiano le competenze, le conoscenze e la capacità necessarie per lavorare in molte aree e reparti diversi di Cubbit Il numero di funzioni uniche di Cubbit richiede una base di conoscenze e competenze diversificata che deve essere supportata da solidi processi di reclutamento, da un’adeguata offerta formativa e da una buona gestione dell’identificazione delle competenze dei dipendenti, del loro collocamento e della loro assegnazione.

  • Conoscenza ed esperienza: Cubbit ha un bacino di dipendenti, collaboratori e consulenti che hanno una vasta conoscenza ed esperienza di base a cui attingere ed è un bene prezioso.  Le skill dei lavoratori possono essere raccolte in una skill matrix a disposizione in azienda.
  • Competenze: tutti i dipendenti, collaboratori e consulenti di Cubbit devono possedere le competenze e le capacità necessarie per svolgere il proprio lavoro. Il piano di formazione annuale viene elaborato per colmare gli eventuali gap formativi dei lavoratori e/o per gli adempimenti formativi periodici previsti dalla Legge (Sicurezza, Privacy, ecc.).

4.6 Immobilizzazioni immateriali  

  • Reputation: Cubbit è ben consapevole che la percezione e la fiducia del cliente nella sua capacità di fornire servizi efficaci ed efficienti è della massima importanza. La reputazione è un bene che promuove la fiducia e genera supporto in ciò che Cubbit  sta cercando di ottenere. Cubbit prende sul serio la propria reputazione e si impegna in modo proattivo a sviluppare politiche e procedure insieme a un approccio coerente nel mantenere e presentare la giusta immagine.

4.7 Classificazione delle informazioni

Cubbit deve sviluppare uno schema di classificazione delle informazioni in base al quale tutte le attività relative alle ICT siano valutate e contrassegnate per indicare il livello di criticità e sensibilità. La classificazione comporta il raggruppamento delle informazioni e la classificazione del contenuto per stabilire il modo più appropriato di archiviare/recuperare le informazioni e determinare chi è autorizzato ad accedere a determinate informazioni e dati. Si raccomanda che la “proprietà” di questo processo sia il dipartimento IT di Cubbit.

5. Responsabilità


Tutti i dipartimenti di Cubbit, dipendenti, collaboratori, consulenti, appaltatori, fornitori e agenzie partner devono osservare e rispettare tutte le politiche e le procedure di Utilizzo Accettabile relative a tutte le risorse ICT di proprietà di Cubbit.