La sicurezza e la salvaguardia del patrimonio informativo costituiscono condizione imprescindibile per il raggiungimento degli obiettivi di business di Netech S.r.l.

I requisiti per la sicurezza delle informazioni sono coerenti con gli obiettivi aziendali e il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) rappresenta lo strumento che consente la condivisione delle informazioni, lo svolgimento di operazioni corrette e la riduzione dei rischi connessi alle informazioni a livelli accettabili.

In considerazione di ciò, lo svolgimento delle attività aziendali deve sempre avvenire garantendo adeguati livelli di:

1. 1. Riservatezza: proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
   2. Integrità: proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
   3. Disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata;

delle informazioni attraverso l’adozione di un formale “Sistema di Gestione della Sicurezza delle Informazioni” (SGSI) in linea con i requisiti attesi dagli stakeholder di Netech S.r.l. e nel rispetto delle normative vigenti.

In particolare, il Sistema di Gestione della Sicurezza delle Informazioni è applicato a:

« Erogazione di servizi di protezione informatica, test dei sistemi ICT del cliente e predisposizione di piani di automazione e continuità operativa; vendita di servizi informatici di Private, Public e Hybrid Cloud, SaaS; erogazione servizi MSSP, SOC e NOC»

Gli obiettivi generali del SGSI perseguiti con l’impegno della direzione, sono:

• • dimostrare agli stakeholders la propria capacità di fornire con regolarità servizi informatici sicuri, massimizzando gli obiettivi di sicurezza;
  • minimizzare il rischio di perdita e/o indisponibilità dei dati gestiti, pianificando e gestendo le attività a garanzia della continuità di servizio;
  • svolgere una continua e adeguata analisi dei rischi che esamini costantemente le vulnerabilità e le minacce associate alle attività a cui si applica il sistema;
  • rispettare le leggi e le disposizioni vigenti, i requisiti contrattuali e le procedure in essere;
  • promuovere la collaborazione, comprensione e consapevolezza del SGSI da parte dei fornitori strategici;
  • conformarsi ai principi e ai controlli stabiliti dalla ISO/IEC 27001:2022 con estensione alla ISO 27017 e ISO 27018 o altre norme/regolamenti che disciplinano le attività in cui opera l’azienda, tra i quali, in particolare le regolamentazioni inerenti i trattamenti dei dati personali e la loro sicurezza (GDPR e normative nazionali).

In particolare, per l’implementazione ed erogazione dei servizi in cloud, ai sensi della ISO 27017, la direzione si impegna ad adottare requisiti di sicurezza che prendano in considerazione i rischi derivanti dal personale interno, la gestione sicura del multi-tenancy (condivisione dell’infrastruttura), l’accesso agli asset in cloud dei clienti da parte del personale del service provider, il controllo degli accessi (in particolare degli amministratori), le comunicazioni ai clienti in occasione di cambiamenti dell’infrastruttura, la sicurezza dei sistemi di virtualizzazione, la protezione e l’accesso dei dati dei clienti in ambiente cloud, la gestione del ciclo di vita degli account cloud dei clienti, la comunicazione dei data breach e linee guida per la condivisione delle informazioni a supporto delle attività di investigazione e forensi nonché la costante sicurezza sull’ubicazione fisica dei dati nei server in cloud.

Inoltre, l’azienda è costantemente impegnata nella protezione dei dati personali degli interessati che gestisce, con particolare riferimento a quelli dei propri clienti. Rispetto a questi ultimi l’azienda, ai sensi della ISO 27018 e in accordo con la legislazione privacy vigente (GDPR), agisce come “Data Processor” ovvero come Responsabile del Trattamento, dichiarando questo status e i relativi obblighi che ne discendono nei contratti con i clienti. Tali obblighi sono riportati anche nelle nomine a responsabile dei fornitori utilizzati per svolgere il trattamento.

Tutto il personale, nell’ambito delle relative responsabilità, è coinvolto nella segnalazione al Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) di eventuali eventi negativi o incidenti riscontrati e di qualsiasi debolezza identificata nel SGSI.

Tutta l’organizzazione, a partire dai vertici, è impegnata a supportare l’implementazione, la messa in opera e il riesame periodico per il miglioramento continuo del SGSI.
Il vertice aziendale si impegna a perseguire, con i mezzi e le risorse adeguate, gli obiettivi di questa politica.

Revisione e data di aggiornamento: V.1.0 del 15/03/2024