Bizneo dipende dai sistemi informativi. Questi sistemi sono gestiti con diligenza, adottando le misure adeguate per proteggerli da danni accidentali o deliberati che possano influire sulla disponibilità, integrità, riservatezza, autenticità o tracciabilità delle informazioni trattate e dei servizi erogati.
Consapevoli dell'importanza della sicurezza delle informazioni, e in linea con il percorso che segna la nostra stessa identità, da Bizneo è stato promosso l'istituzione di un sistema di gestione della sicurezza delle informazioni (di seguito, SGSI) sotto il riferimento ISO 27001 e in conformità ai requisiti del Decreto Reale 311/2022, del 3 maggio, che regola lo Schema Nazionale di Sicurezza nell'ambito dell'Amministrazione Elettronica (di seguito, ENS) al fine di identificare, valutare e minimizzare i rischi a cui sono esposte le informazioni proprie e dei clienti, nonché garantire il raggiungimento degli obiettivi stabiliti.
L'obiettivo della presente Politica di Sicurezza è garantire la qualità delle informazioni e la fornitura continua dei servizi, agendo preventivamente e supervisionando l'attività quotidiana, nonché fornire un quadro di riferimento per l'istituzione degli obiettivi di sicurezza che consentano a Bizneo di sviluppare una cultura aziendale, un modo di lavorare e di prendere decisioni, allineato con la sicurezza delle informazioni e che il rispetto dei dati personali sia una costante.
I sistemi informativi sono protetti contro minacce in rapida evoluzione, il cui danno potenziale incide sulla riservatezza, integrità, disponibilità, uso previsto (tracciabilità) e valore delle informazioni (autenticità) dei servizi. Per difendersi da queste minacce, è stata definita una strategia che si adatta ai cambiamenti delle condizioni ambientali per garantire la continua erogazione dei nostri servizi.
Dai diversi dipartimenti di Bizneo si assicura che la sicurezza sia una parte integrante di ogni fase del ciclo di vita del sistema, dalla sua concezione fino al suo ritiro dal servizio, passando per le decisioni di sviluppo o acquisizione e le attività operative.
Bizneo è preparata a prevenire, rilevare, reagire e riprendersi dagli incidenti, in conformità con l'Articolo 12 del ENS, perciò sono stati potenziati diversi aspetti della sicurezza delle informazioni:
Quadro Legale e Normativo
Bizneo svolgerà le sue attività in conformità con il quadro legale e normativo vigente. Si impegna a rispettare tutte le leggi e i regolamenti pertinenti relativi alla sicurezza delle informazioni, incluse, ma non limitate a quelle indicate nel documento "Legislazione Applicabile SGSI".
Bizneo integra l'ENS e la ISO 27001 nella politica di sicurezza dell'organizzazione per fornire una struttura più completa e robusta per affrontare gli aspetti specifici della sicurezza delle informazioni, sia a livello nazionale che internazionale. Inoltre, l'adozione di questi standard migliora la credibilità dell'azienda, dimostrando il suo impegno verso le migliori pratiche di sicurezza..
Quadro Organizzativo della Sicurezza
La presente politica di sicurezza è stata stabilita in conformità con i principi fondamentali indicati nel capitolo II del Decreto Reale 311/2022 ed è stata sviluppata applicando i seguenti requisiti minimi:
Organizzazione in materia di sicurezza
Bizneo ha identificato e definito i ruoli e le funzioni di sicurezza necessari per garantire la protezione delle informazioni. Ogni ruolo ha responsabilità chiaramente definite (Responsabilità Autorità e Competenza ENS).
Bizneo ha nominato un Comitato di Sicurezza che supervisionerà il monitoraggio e il rispetto del SGSI. Il Comitato di Sicurezza è composto da incarichi aziendali e di responsabilità all'interno dell'organizzazione. La composizione dei membri del Comitato di Sicurezza è definita nella procedura creata a tal fine (PS00 - Manuale del SGSI). Tale comitato di Sicurezza avrà le seguenti funzioni e responsabilità:
• Coordinare tutte le attività relative alla sicurezza delle TIC
• È responsabile della redazione della Politica di Sicurezza
• È responsabile della creazione e approvazione delle norme che inquadrano l'uso dei servizi TIC.
• Approverà le procedure di azione relative all'uso dei servizi TIC
• Approverà i requisiti di formazione e qualificazione degli amministratori, operatori e utenti dal punto di vista della sicurezza delle TIC
Inoltre, sono state definite le funzioni e le responsabilità del responsabile della Sicurezza, del responsabile dell'Informazione e del responsabile dei Servizi, nonché il rapporto di questi con il Comitato per la Sicurezza.
Al fine di descrivere il processo e la gerarchia per risolvere i conflitti di autorità che possono verificarsi durante la gestione dell'ENS tra i profili critici con responsabilità in materia di sicurezza, in Bizneo sono state definite le funzioni per la risoluzione dei conflitti di fronte ai responsabili e che si applicano a tutti i profili specifici di gestione dell'ENS (Responsabilità Autorità e Competenza ENS).
Il responsabile della Sicurezza delle Informazioni, il responsabile del Servizio, così come il responsabile dell'Informazione saranno nominati dalla Direzione su proposta del Comitato per la Sicurezza. Tali nomine saranno riesaminate ogni 2 anni o quando il posto diventa vacante.
Nel seguente organigramma sono evidenziati i posti con funzioni o responsabilità legate alla sicurezza delle informazioni. L'escalation in assenza di uno di questi responsabili sarà effettuata secondo le linee gerarchiche indicate in questo diagramma.
Analisi e gestione dei rischi
Tutti i sistemi soggetti a questa Politica sono stati valutati mediante un'analisi dei rischi, valutando le minacce e i rischi a cui sono esposti. Questa analisi sarà ripetuta:
regolarmente, almeno una volta all'anno
quando cambia l'informazione gestita
quando cambiano i servizi forniti
quando si verifica un grave incidente di sicurezza
quando vengono segnalate gravi vulnerabilità
Categorizzazione dei sistemi
Bizneo, mediante la redazione della procedura corrispondente (PS00 - Manuale del SGSI) ha definito i criteri per determinare il livello di sicurezza richiesto in ogni dimensione. A tal fine si analizzano gli elementi essenziali, informazioni e servizi, ruotando intorno ad essi i criteri che il responsabile di ciascun tipo di informazione e di ciascun servizio potrà utilizzare, considerando che la facoltà di determinare la categoria del sistema spetta al responsabile di questo.
Lo Schema Nazionale di Sicurezza stabilisce nel suo Allegato II misure di sicurezza condizionate alla valutazione del livello di sicurezza in ciascuna dimensione e alla categoria di sicurezza (articolo 40) del sistema informativo rispettivo. A sua volta, la categoria di sicurezza del sistema si calcola in funzione del livello di sicurezza più alto delle dimensioni valutate.
Gestione del personale e professionalità
Tutti i membri di Bizneo hanno l'obbligo di conoscere e rispettare questa Politica di Sicurezza delle Informazioni e la Normativa di Sicurezza, essendo responsabilità del Comitato per la Sicurezza applicare le misure necessarie affinché l'informazione arrivi ai destinatari.
Tutti i dipendenti riceveranno una sessione di sensibilizzazione in materia di sicurezza almeno una volta all'anno. Inoltre, sarà stabilito un programma di sensibilizzazione continua per sensibilizzare tutti i membri di Bizneo, in particolare i nuovi assunti, che è allineato con altri standard implementati.
Il personale dedicato alle mansioni di sicurezza è qualificato in modo appropriato, data la sensibilità e complessità di alcune di queste mansioni. Ciò è applicabile a tutte le fasi del ciclo di vita del processo di sicurezza (installazione, manutenzione, gestione degli incidenti e smantellamento). A tal fine il personale riceve la formazione specifica necessaria per garantire la sicurezza delle tecnologie dell'informazione applicabili ai sistemi e servizi soggetti all'ENS.
Ovviamente, gli stessi requisiti richiesti internamente devono essere richiesti a qualsiasi fornitore che fornisca servizi legati alla sicurezza. A tal fine, da Bizneo è stata promossa una procedura per la valutazione dei fornitori in modo da garantire un livello di sicurezza simile a quello richiesto dall'entità.
Autorizzazione e controllo degli accessi
Il primo passo per garantire che le informazioni e i sistemi siano protetti è limitare l'accesso ad essi. Pertanto, è stato definito chi, e in quale misura, avrà accesso alle risorse, in modo che ciascuno abbia l'accesso necessario per svolgere i propri compiti, ma non ad apparecchiature o dati che non devono essere alla loro portata.
Inoltre, i sistemi informativi di Bizneo sono dotati di meccanismi di autorizzazione per consentire l'accesso, negarlo e revocarlo quando necessario.
Protezione delle strutture
Le strutture sono protette da danni che possono influire sui sistemi che ospitano e contro l'accesso di persone non autorizzate. L'accesso alle nostre strutture è sicuro e regolamentato dalla procedura predisposta a tal fine.
Acquisto di prodotti di sicurezza e contratti di servizi di sicurezza
Bizneo stabilisce i requisiti aziendali e di sicurezza delle informazioni per i suoi sistemi informativi, siano essi nuovi o esistenti e che vengano ampliati o migliorati.
Pertanto, ogni nuova acquisizione di prodotto e servizi di sicurezza che possa influire sul SGSI dovrà essere valutata in precedenza, dal punto di vista funzionale e dei requisiti di sicurezza necessari. Dopo la convalida, si procederà con la prova formale del prodotto indicando se soddisfa i requisiti.
Ogni servizio contratto dovrà essere valutato prima della sua messa in produzione al fine di garantire che soddisfi i requisiti minimi di sicurezza definiti nella presente Politica di Sicurezza delle Informazioni e nella Normativa di Sicurezza vigente.
Minimo privilegio
Il Sistema di Sicurezza delle Informazioni implementato in Bizneo segue il Principio del Minimo Privilegio secondo il quale agli utenti del sistema vengono concessi i livelli (o permessi) di accesso minimi necessari per svolgere le proprie funzioni, con l'obiettivo di limitare l'accesso alle informazioni e alle risorse esclusivamente a ciò che è strettamente necessario per svolgere un compito specifico.
Questo principio di minimo privilegio garantisce che ciascuna parte (sia essa un processo, un utente o un programma) possa accedere solo a ciò che è essenziale per il suo legittimo scopo, senza concedere privilegi non necessari. Tuttavia, questo principio non si limita solo all'accesso degli utenti umani, ma si applica anche alle applicazioni, ai sistemi o ai dispositivi connessi che richiedono privilegi per svolgere le necessarie attività.
Limitando i privilegi, si riduce l'esposizione ai cyberattacchi e si evita l'"accumulo di privilegi".
Integrità e aggiornamento del sistema
Per garantire sempre l'integrità dei sistemi informativi, ogni cambiamento fisico e logico viene effettuato solo dopo la sua approvazione formale e mediante una procedura formale.
A tal fine, i sistemi vengono aggiornati in modo controllato e secondo lo stato di sicurezza richiesto in ogni momento. Le modifiche alle specifiche dei produttori, l'emergere di nuove vulnerabilità, l'emissione di aggiornamenti e patch che influenzano i sistemi sono analizzati per prendere le misure necessarie affinché i sistemi e il loro livello di sicurezza non si deteriorino, gestendo anche i rischi che introducono le modifiche che verranno effettuate.
Una parte significativa del ciclo di vita delle informazioni corrisponde al loro archivio e al loro trasporto. Le informazioni devono essere protette in ogni momento. A tal fine sono state sviluppate procedure adeguate, che coprono sia le informazioni in formato elettronico che cartaceo, nonché una politica per la gestione e il trattamento delle informazioni.
La prevenzione contro altri sistemi informativi interconnessi è un aspetto cruciale per Bizneo. A tal fine sono state stabilite misure per garantire la sicurezza quando i sistemi informativi si collegano tra loro, tenendo conto di aspetti quali la protezione del perimetro, il controllo degli accessi o il corretto registro delle attività con cui rilevare possibili anomalie o comportamenti insoliti nell'interconnessione.
Qualsiasi connessione verso o da servizi interconnessi sarà effettuata seguendo le linee guida definite nelle guide CCN-STIC pubblicate a tal fine.
Registrazione delle attività e rilevamento di codice dannoso
L'azienda supervisiona i suoi sistemi informativi e di elaborazione registrandoli come incidenti di sicurezza, esaminando i registri delle operazioni e dei guasti dei suoi sistemi per identificare il problema. Pertanto, le attività di supervisione dell'uso dei sistemi di Bizneo rispettano i requisiti legali di privacy e sono utilizzate per verificare l'efficacia dei controlli di sicurezza implementati e il rispetto della politica di controllo degli accessi.
Inoltre, le apparecchiature aziendali, tramite l'uso di antivirus di ultima generazione con gestione centralizzata, sono dotate di strumenti per la protezione, rilevamento, recupero ed eliminazione di codice dannoso.
Incidenti di sicurezza
La direzione di Bizneo ha stabilito una procedura formale di notifica per la quale tutto il personale deve segnalare incidenti relativi alla sicurezza attraverso il canale stabilito immediatamente e senza ritardi. Ciò consente di garantire una risposta rapida ed efficace agli incidenti e alle vulnerabilità della sicurezza.
Continuità delle attività
L'azienda ha stabilito una procedura per affrontare le interruzioni nelle attività aziendali e proteggere i processi critici dagli effetti di guasti significativi nei sistemi informativi e garantire il loro immediato ripristino. A tal fine, è stato implementato un piano di continuità aziendale (vedere PROSI-11 Piano di Continuità Aziendale) per ridurre l'impatto sull'infrastruttura di Bizneo, e conseguentemente sull'azienda, e il recupero degli asset informativi (sia per incidenti, guasti alle apparecchiature, atti deliberati, ecc.) in modo che i processi del dipartimento raggiungano un livello accettabile di continuità mediante misure di recupero correttive e preventive.
Miglioramento continuo del processo di sicurezza
La Direzione, da parte sua, valuta particolarmente e stabilisce come criterio principale per la stima dei suoi rischi, la valutazione della riservatezza, integrità e disponibilità delle informazioni critiche dell'azienda e dei suoi clienti, nonché garantire la tracciabilità e l'autenticità di questi.
Pertanto, si impegna a sviluppare, implementare, mantenere e migliorare continuamente la presente politica di Sicurezza e il suo Sistema di Gestione con l'obiettivo del miglioramento continuo nel modo in cui fornisce i suoi servizi e nel modo in cui tratta le informazioni.
Dati personali
Bizneo tratta dati personali. In tal senso, e in conformità con la legislazione vigente in materia di protezione dei dati, tenendo conto dello stato dell'arte, dei costi di attuazione, e della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche, Bizneo ha applicato misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che includa, tra l'altro:
la pseudonimizzazione e la crittografia dei dati personali;
la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di trattamento;
la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo rapido in caso di incidente fisico o tecnico;
un processo di verifica, valutazione e valutazione regolari dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
Documentazione e comunicazione
Questa Politica di Sicurezza delle Informazioni sarà disponibile come informazione documentata e comunicata all'interno dell'organizzazione. Inoltre, sarà condivisa con le parti interessate rilevanti, come autorità, operatori e utenti di trasporto pubblico, secondo quanto appropriato.
Revisione e aggiornamento
Questa politica sarà rivista annualmente o prima se vi sono cambiamenti significativi nell'ambiente operativo o tecnologico di Bizneo. La direzione si impegna a mantenere questa politica allineata con gli obiettivi dell'azienda e con i requisiti di sicurezza delle informazioni applicabili.
La presente Politica di Sicurezza delle Informazioni sarà sempre allineata con le politiche generali della società e con quelle che fungono da quadro per altri sistemi di gestione interna, come le politiche di qualità.
A Madrid, il 30 aprile 2024
Santiago Salas
CEO Bizneo