Protocolli per la Sicurezza Informatica

Transcript

B. Parte Speciale - 3. Protocolli di Controllo 231
_______________________________________________________________________________________
Protocollo per la Sicurezza Informatica
L’importanza del presente Protocollo
Il rispetto delle regole dettate dal Protocollo permette di prevenire la commissione dei reatipresupposto contenuti nelle seguenti famiglie:
 Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il
conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente
pubblico (art. 24, Decreto 231);
 Delitti informatici e trattamento illecito di dati (art. 24-bis, Decreto 231);
 Delitti di criminalità organizzata (art. 24-ter, Decreto 231);
 Concussione, induzione indebita a dare o promettere utilità e corruzione (art. 25, Decreto 231);
 Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di
riconoscimento (art. 25-bis, Decreto 231);
 Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché
autoriciclaggio (art. 25-octies, Decreto 231);
 Delitti in materia di violazione del diritto d’autore (art. 25-novies, Decreto 231).
Contenuto e struttura
Il Protocollo detta prescrizioni dirette a prevenire condotte delittuose nell’interesse o a vantaggio di
Veneto Banca, attraverso comportamenti idonei a integrare, mediante azioni od omissioni, le
fattispecie di reato, avendo presente che, su un piano generale e concreto, molti dei reati
informatici possono non presentare il requisito indispensabile per la responsabilità amministrativa
da reato ai sensi del Decreto 231.
La configurazione della responsabilità amministrativa da reato ai sensi del Decreto 231, deve essere
correlata al Modello 231 prescelto dal Gruppo in materia di sistemi informativi aziendali, che
prevede per tutte le Società comprese nel perimetro di consolidamento, l’esternalizzazione dei
processi informatici a soggetti terzi, dotati di autonomia e indipendenza (in primis: SEC Servizi,
Telecom e IBM).
Il rapporto di outsourcing informatico è regolato sulla base di un contratto che, nell’affidare la
gestione del servizio al “SEC”, scinde la responsabilità del governo della funzione decentrata
spettante alla Capogruppo, dalla responsabilità della conduzione delle attività esternalizzate,
spettante all’Outsourcer. Sulla base dello schema organizzativo disciplinato dalla normativa
prudenziale di vigilanza emanata dalla Banca d’Italia, sono state adottate tutte le misure idonee a
gestire consapevolmente i rischi associati all’outsourcing informatico, in relazione:
 alla definizione degli obiettivi, degli standard qualitativi e quantitativi attesi dai processi
esternalizzati, in modo da verificare, sulla base di parametri predefiniti contrattualmente
1
_______________________________________________________________________________________
(“Service Level Agreement”), la qualità del servizio reso e le metodologie adottate nella
prestazione dello stesso;
 alla valutazione e al controllo dell’operato del fornitore, finalizzati ad accertare la preservazione
dell’integrità e della funzionalità dei sistemi di gestione allo scopo di evitare anomalie,
irregolarità, disfunzioni o interruzioni del servizio, che possano integrare le fattispecie dei reati
informatici da prevenire.
La struttura del Protocollo è funzionale allo schema di outsourcing informatico diretto a garantire
condizioni di sicurezza e correttezza nell’amministrazione e nell’utilizzo dei sistemi informativi
esternalizzati, che si articola su due diversi livelli:
 Gestione dei Processi di Information Technology, che coinvolgono l’Outsourcer;
 Gestione delle Attività di Controllo, peculiari del Presidio Informatico di Gruppo.
Questa separazione di compiti e responsabilità consente un rafforzativo della prevenzione dai reati
informatici, perché accanto alle misure proprie adottate dall’Outsourcer, che è l’unico depositario
del “know-how” specialistico, si pongono i controlli esterni e di qualità esercitati dal Titolare della
Funzione aziendale esternalizzata.
Principi generali di prevenzione dei reati di criminalità informatica
Al fine della prevenzione dei reati informatici previsti dal Decreto 231, è fatto espresso divieto ai
Destinatari di:
 installare nella rete aziendale un proprio software che non rientri nello scopo per cui il sistema
informatico è stato assegnato all’utente per evitare che possa interrompere, danneggiare,
manomettere, o impedire le comunicazioni informatiche aziendali;
 prestare o cedere a terzi qualsiasi apparecchiatura informatica senza la preventiva
autorizzazione del Responsabile interno;
 trasferire all’esterno e/o trasmettere file, documenti, o qualsiasi altra documentazione riservata
di proprietà di Veneto Banca o di altre società facenti parte del Gruppo, se non per finalità
strettamente attinenti allo svolgimento delle proprie mansioni e, comunque, previa
autorizzazione del Responsabile interno;
 astenersi dall’effettuare copie non autorizzate di dati o di software;
 utilizzare password di altri utenti aziendali, anche per l’accesso ad aree protette in nome e per
conto dello stesso, salvo espressa autorizzazione del responsabile dei Sistemi Informatici;
 alterare, contraffare, documenti informatici, pubblici o privati;
 accedere abusivamente al sistema informatico o telematico interno o di soggetti esterni;
 detenere e/o utilizzare abusivamente codici di accesso di società o soggetti concorrenti, pubblici
o privati, al fine di acquisire informazioni riservate;
2
_______________________________________________________________________________________
 svolgere attività di intercettazione, impedimento, interruzione di comunicazioni relative a un
sistema informatico o telematico di soggetti pubblici o privati, al fine di acquisire informazioni
riservate;
 modificare, cancellare, danneggiare, distruggere dati, informazioni, programmi di soggetti
privati, o soggetti pubblici o comunque di pubblica utilità.
Gestione dei Processi di “Information Technology”
I Processi sensibili di “Information Technology”, individuati come di pertinenza dell’ “Outsourcer”,
sono articolati nelle fasi di seguito descritte e per essi si rinvia alle regole, agli strumenti e ai presidi
di controllo adottati dal “SEC”, con la finalità di assicurare un’efficace azione di prevenzione e
protezione dai reati informatici.
In particolare:
a) il Processo di gestione della sicurezza fisica e logica è strutturato secondo le seguenti fasi:
 analisi del rischio in materia di “Information Technology” e definizione dei requisiti di
sicurezza informatica;
 gestione degli accessi informatici a soggetti autorizzati e servizi di sicurezza in tema di
“Information e Comunication Technology”;
 gestione normativa e architettura di sicurezza informatica;
 monitoraggio degli eventi di sicurezza informatica e gestione delle crisi di sicurezza dei dati e
delle informazioni;
 progettazione e realizzazione degli interventi e delle soluzioni di sicurezza informatica;
 gestione della protezione di aree e locali ove si svolge l’attività informatica;
 gestione della sicurezza dei sistemi periferici e dei siti secondari previsti dalle normative di
legge o prudenziali vigenti in materia;
b) il Processo di prevenzione delle frodi è strutturato secondo le seguenti fasi:
 monitoraggio dell’evoluzione delle frodi informatiche e fisiche;
 definizione e presidio delle attività necessarie all’intercettazione e alla soluzione delle azioni
di potenziale minaccia all’integrità del patrimonio informativo;
 gestione delle comunicazioni con le Forze dell’Ordine e con le Autorità pubbliche di
controllo;
c) il Processo di gestione della “progettazione & sviluppo” e dell’“attivazione & supporto” dei
servizi IT è strutturato secondo le seguenti fasi:
 progettazione, realizzazione e gestione delle soluzioni applicative e delle infrastrutture
tecnologiche;
 erogazione dei servizi di “Information Technology”;
3
_______________________________________________________________________________________
 monitoraggio del funzionamento dei servizi erogati e gestione delle anomalie;
 assistenza all’utente attraverso funzioni e/o attività di “help desk” e “problem solving”.
d) il Processo di gestione della protezione dei dati e delle informazioni è strutturato secondo le
seguenti fasi:
 definizione dei “profili di accesso” in ragione delle funzioni e del ruolo di “amministratore
del sistema”;
 previsione di autorizzazioni, abilitazioni e autenticazioni che regolano la gestione e l’utilizzo
dei dati e delle informazioni degli utenti;
 salvaguardia della riservatezza, integrità e disponibilità delle informazioni con riferimento
specifico al trattamento dei dati personali.
Gestione delle Attività di Controllo sui Processi IT
Le Attività di Controllo sui Processi IT – individuati come di pertinenza della Capogruppo, per il
tramite del proprio presidio informatico – sono articolate nelle fasi di seguito descritte e, pur se
contestualizzate nell’ambito del rapporto contrattuale “utente-fornitore”, svolgono un ruolo
integrativo e rafforzativo dell’azione di prevenzione e contrasto dei reati informatici.
In particolare:
a) il Processo di Controllo della gestione della sicurezza fisica e logica è strutturato secondo le
seguenti fasi di verifica:
 determinazione degli obiettivi e delle strategie di sicurezza informatica attraverso una
metodologia di analisi dei rischi in materia di “Information Technology”;
 accertamento e monitoraggio del corretto e adeguato mantenimento dei livelli di sicurezza
stabiliti;
 protezione e controllo delle aree fisiche destinate alla gestione dei sistemi informatici, allo
scopo di evitare accessi non autorizzati, alterazioni, distrazioni o sottrazioni di “asset”
informativi;
 identificazione e autenticazione dei codici personali degli utenti necessari ad assicurare
“standard” qualitativi per la sicurezza dei dati e delle informazioni e il loro corretto utilizzo;
 controlli su un sistema di autorizzazione degli accessi ai dati e alle informazioni, che utilizzi
anche tecniche crittografiche e/o di firma digitale per garantire la riservatezza e l’integrità;
b) il Processo di Controllo della prevenzione dalle frodi è strutturato secondo le seguenti fasi di
verifica:
 previsione di canali e modalità di comunicazione per la segnalazione tempestiva di incidenti
e situazioni sospette allo scopo di minimizzare i rischi e i danni generati e poter prevenire
comportamenti irregolari, anomali o inadeguati;
4
_______________________________________________________________________________________
 interventi e forme di raccordo con il “gestore del sistema” per la disciplina delle modalità di
comunicazione alle Forze dell’Ordine e alle Autorità pubbliche di controllo;
c) il Processo di Controllo della gestione della “progettazione & sviluppo” e dell’“attivazione &
supporto” dei servizi IT è strutturato secondo le seguenti fasi di verifica:
 previsione della separazione degli ambienti informatici di sviluppo, collaudo e produzione
nei quali i sistemi e le applicazioni vengono installati, gestiti e manutenuti;
 predisposizione e conservazione della documentazione di sistema relativa alle
configurazioni, personalizzazioni e procedure operative, funzionali al sicuro e corretto
svolgimento delle attività informatiche;
 accertamento e monitoraggio sugli interventi di rimozione di sistemi, applicazioni e reti
individuati come obsoleti ovvero sostituiti da nuove “release” aggiornate;
 controlli su procedure di pianificazione e gestione dei salvataggi di sistemi operativi,
“software”, dati e informazioni, configurazioni di sistema;
 monitoraggio sulla gestione degli strumenti di “hardware” e di ogni “asset” informatico in
dotazione, anche attraverso la definizione “standard” di custodia, utilizzo, riproduzione,
distruzione e trasposto fisico dei supporti rimuovibili e dei PC per proteggerli da
danneggiamenti, furti e usi non autorizzati;
 accertamento e controllo della tracciabilità dei processi decisori, anche ai fini di
archiviazione e conservazione dei documenti inerenti agli “iter”decisionali, riguardanti le fasi
di progettazione, sviluppo, manutenzione o cambiamento di sistemi, applicazioni e reti IT.
d) il Processo di Controllo della gestione della protezione dei dati e delle informazioni è
strutturato secondo le seguenti fasi di verifica:
 accertamento e monitoraggio tramite “check list” e altri tabulati, rilasciati o resi disponibili
dal “gestore del sistema”, per controllare i profili di accesso, in ragione dei ruoli e delle
funzioni esercitati all’interno delle diverse componenti societarie, organizzative e funzionali
del Gruppo;
 presidio delle contromisure individuate per la protezione dei dati gestiti dai sistemi
informativi nel rispetto dei requisiti di riservatezza, integrità e disponibilità informativa,
stabiliti in funzione degli ambiti e delle modalità di utilizzo dalle disposizioni di legge o dalla
normativa interna e secondaria emanata dalle Autorità pubbliche di controllo;
 previsione di misure di sicurezza delle applicazioni informatiche in termini di installazione,
gestione dell’esercizio e delle emergenze, protezione dei codici, che assicurino la
preservazione dei requisiti di “privacy”, integrità e disponibilità delle informazioni e dei dati
trattati;
 prevenzione da software dannosi, mediante l’adozione di strumenti e infrastrutture
tecnologiche adeguate, che prevedano l’utilizzo e la diffusione di sistemi antivirus e modalità
5
_______________________________________________________________________________________
sicure per lo scambio e l’acquisizione delle informazioni e dei dati tramite “e-mail” e
connessioni ai siti “web”.
Gestione delle risorse umane in ambito IT
Nell’ambito della gestione delle risorse umane la Società provvede all’applicazione delle seguenti
misure:
a) una valutazione (prima dell'assunzione o della stipula di un contratto) dell'esperienza delle
persone destinate a svolgere attività di sicurezza IT;
b) l’attuazione di specifiche attività di formazione e aggiornamenti periodici sulle procedure
aziendali di sicurezza del sistema informatico per tutti i dipendenti e, dove rilevante, per i terzi;
c) l’obbligo di restituzione dei beni forniti per lo svolgimento dell'attività lavorativa (ad es. PC,
telefoni cellulari, token di autenticazione, ecc.) per i dipendenti e i terzi al momento della
conclusione del rapporto di lavoro e/o del contratto. la Società adempie alle prescrizioni del
Garante per la protezione dei dati personali in tema di attribuzione delle funzioni di
amministratore di sistema, con riferimento, in particolare, a quanto segue:






la valutazione delle caratteristiche soggettive;
le designazioni individuali;
l’elenco degli amministratori di sistema;
i servizi in outsourcing (servizi forniti da terze parti anche interne al Gruppo);
la verifica delle attività;
la registrazione degli accessi.
La Società definisce ruoli e responsabilità degli utenti interni ed esterni all’azienda o operatori di
sistema ai fini della sicurezza del sistema, e i connessi obblighi nell’utilizzo del sistema informatico e
delle risorse informatiche e telematiche (anche con riferimento all’accesso a risorse telematiche in
possesso di enti terzi la cui gestione del sistema di sicurezza ricade sulla parte terza stessa).
Gestione dei controlli
L’accesso alle informazioni, al sistema informatico, alla rete, ai sistemi operativi e alle applicazioni
viene sottoposto a controllo da parte della Società attraverso l’adozione di misure selezionate in
base alla tipologia dell’apparato e alla catena tecnologica in esame, tra le quali:
a) l’autenticazione individuale degli utenti tramite codice identificativo dell’utente e password o
altro sistema di autenticazione sicura (valido per tutta la catena tecnologica ad eccezione degli
apparati di misurazione e comunicazione);
b) le autorizzazioni specifiche dei diversi utenti o categorie di utenti (valido per tutta la catena
tecnologica ad eccezione degli apparati di misurazione e comunicazione);
c) procedimenti di registrazione e deregistrazione per accordare e revocare, in caso di cessazione o
cambiamento del tipo di rapporto o dei compiti assegnati, l'accesso a tutti i sistemi e servizi
6
_______________________________________________________________________________________
informativi, anche di terzi (valido per tutta la catena tecnologica ad eccezione degli apparati di
misurazione e comunicazione);
d) la rivisitazione periodica dei diritti d'accesso degli utenti (valido per tutta la catena tecnologica
ad eccezione degli apparati di misurazione e comunicazione);
e) l’accesso ai servizi di rete esclusivamente da parte degli utenti specificamente autorizzati e le
restrizioni della capacità degli utenti di connettersi alla rete (anche se tali diritti permettono di
connettersi a reti e dispositivi di terze parti, la cui gestione del sistema di sicurezza ricade sulla
parte terza stessa).
Sono raccomandabili inoltre le seguenti misure, sulle quali peraltro sono in corso nella Banca azioni
di adeguamento per gradi:

la chiusura di sessioni inattive dopo un limitato periodo di tempo (valido per le postazioni di
lavoro e per le connessioni ad applicazioni, come ad esempio screen saver);

controlli crittografici per la protezione delle informazioni e regolamentazione della gestione
delle chiavi crittografiche al fine di evitare un uso non appropriato della firma digitale.
La sicurezza del sistema informatico e telematico viene garantita da parte della Società attraverso
l’adozione di misure selezionate in base alla tipologia dell’apparato e alla catena tecnologica in
esame, tra le quali:
a) le misure volte a garantire e monitorare la disponibilità degli elaboratori di informazioni (valido
per tutte le applicazioni sulla base delle funzionalità di sicurezza disponibili e per i database e i
sistemi operativi da esse sottese);
b) la protezione da software pericoloso (es. worm e virus) (valido, sottoforma di antivirus per gli
ambienti Microsoft sia client che server e di patch management per gli altri sistemi e apparati di
comunicazione come router, switch e per apparati firewall);
c) il backup di informazioni di uso centralizzato e del software applicativo ritenuto critico (valido
per le applicazioni e database da esse sottese) nonché delle informazioni salvate nelle aree
condivise centralizzate;
d) la previsione e la disponibilità, anche per gli utenti finali, di strumenti di protezione volti a
garantire la sicurezza nello scambio di informazioni critiche per il business aziendale e di
carattere confidenziale anche con terzi;
e) gli strumenti per effettuare:

la registrazione delle attività eseguite sulle applicazioni, sui sistemi e sulle reti che abbiano
diretto impatto sulla sicurezza o relative agli accessi alle risorse informatiche e telematiche;

la registrazione delle attività effettuate dagli utenti verso l’esterno della rete aziendale (es.
traffico http);

la protezione delle informazioni registrate (log) contro accessi non autorizzati;
7
_______________________________________________________________________________________
f) una verifica periodica/a evento dei log che registrano, per quanto rilevante ai fini della sicurezza,
gli eventi, le attività degli utilizzatori e le eccezioni (valido per applicazioni e per apparati a
diretto impatto sulla sicurezza perimetrale (proxy, firewall, IDS, router);
g) le regole per la corretta gestione e custodia dei dispostivi di memorizzazione (ad es. PC, telefoni,
chiavi USB, CD, hard disk esterni, ecc.).
È raccomandabile inoltre, laddove possibile, il controllo che i cambiamenti effettuati agli elaboratori
e ai sistemi (valido per le applicazioni e per apparati a diretto impatto sulla sicurezza perimetrale
(proxy, firewall, IDS, router) non alterino i livelli di sicurezza;
La Società:
a) dispone l’adozione di controlli al fine di prevenire accessi non autorizzati, danni e interferenze ai
locali e ai beni in essi contenuti tramite la messa in sicurezza delle aree e delle apparecchiature
con particolare attenzione ai locali dedicati ai centri di elaborazione dati gestiti direttamente;
b) dispone l’adozione di controlli al fine di prevenire danni e interferenze alle apparecchiature
gestite direttamente che garantiscono la connettività e le comunicazioni;
c) assicura l’inventariazione degli asset aziendali (inclusi i database in essi contenuti) utilizzati ai fini
dell’operatività del sistema informatico e telematico.
8
_______________________________________________________________________________________
Gestione di accessi, account e profili
 Deve essere prevista la definizione formale, individuale ed univoca, dei requisiti di autenticazione
per l’accesso ai dati, alle applicazioni ed alle risorse condivise.
 Devono essere definite apposite regole per la creazione e gestione delle password di accesso alla
rete, alle applicazioni e a tutto il patrimonio informativo della Società compresi i sistemi critici o
sensibili (ad esempio: lunghezza minima della password, regole di complessità, scadenza, ecc.).
 Devono essere individuate modalità specifiche per l’assegnazione dell’accesso remoto ai sistemi
da parte di soggetti terzi, quali consulenti e fornitori.
 Gli accessi effettuati sugli applicativi dagli utenti devono essere oggetto di verifiche e, per il
perimetro previsto dal garante della privacy, le applicazioni devono tener traccia delle modifiche
ai dati compiute dagli utenti e devono essere attivati controlli che identificano variazioni di dati
nei database nel rispetto della normativa sulla privacy.
 Devono essere individuate le modalità di generazione e protezione dei log delle attività sui
sistemi.
 Deve essere previsto un sistema formale di autorizzazione e registrazione dell’attribuzione,
modifica e cancellazione dei profili di accesso ai sistemi, coerente con l’operatività e le
responsabilità assegnate.
 Devono essere previste procedure per l’assegnazione e l’utilizzo di privilegi speciali
(amministratore di sistema, super user, ecc.).
 Devono essere eseguite verifiche periodiche dei profili utente al fine di convalidare il livello di
responsabilità dei singoli con i privilegi concessi.
Gestione dei sistemi hardware
Deve essere prevista la compilazione e la manutenzione di un inventario aggiornato dell’hardware
in uso presso la Società e definite le responsabilità e le modalità operative in caso di
implementazione e/o manutenzione di hardware.
Gestione dei sistemi software
Deve essere prevista la compilazione e manutenzione di un inventario aggiornato del software in
uso presso la Società.
Può essere utilizzato solo software formalmente autorizzato e certificato. A tal fine è
raccomandabile, laddove possibile, l’effettuazione, sui principali sistemi, di verifiche periodiche sui
software installati e sulle memorie di massa dei sistemi in uso al fine di controllare la presenza di
software. privi di regolare licenza, proibiti e/o potenzialmente nocivi.
Per la manutenzione del software o a nuove implementazioni, deve essere prevista l’esistenza di
ambienti separati, isolati dagli ambienti operativi.
Devono essere individuate modalità di controllo e test:
9
_______________________________________________________________________________________
 per lo sviluppo di nuovo software, qualora affidato in outsourcing,
 per le modifiche o gli interventi di manutenzione apportati da personale interno o da provider
esterni.
Gestione degli accessi fisici ai siti ove risiedono le infrastrutture IT
 Devono essere implementate misure di sicurezza fisica dei siti ove risiedono le infrastrutture
individuando le modalità di vigilanza, la frequenza, le responsabilità, il processo di reporting delle
violazioni/effrazioni dei locali tecnici o delle misure di sicurezza, le contromisure da attivare.
 Deve essere prevista la definizione delle credenziali fisiche di accesso ai siti ove risiedono i
sistemi informativi e le infrastrutture IT quali, a titolo esemplificativo, codici di accesso, token
authenticator, pin, badge, valori biometrici e la tracciabilità degli stessi.
Gestione e sicurezza della documentazione in formato digitale
 Deve essere implementato un sistema di gestione delle chiavi a sostegno dell’uso delle tecniche
crittografiche per la generazione, distribuzione, revoca ed archiviazione delle chiavi.
Sono raccomandabili inoltre, laddove possibili, controlli per la protezione delle chiavi da possibili
modifiche, distruzioni, utilizzi non autorizzati. Deve essere regolamentato l’utilizzo della firma
digitale nei documenti disciplinandone responsabilità, livelli autorizzativi, regole di adozione di
sistemi di certificazione, eventuale utilizzo ed invio dei documenti, modalità di archiviazione e
distruzione degli stessi.
Back-up
Devono essere effettuate attività di back up per ogni rete di telecomunicazione, sistema hardware o
applicazione software, definendo la frequenza dell’attività, le modalità, il numero di copie ed il
periodo di conservazione dei dati.
Gestione degli incidenti
Il trattamento degli incidenti e dei problemi relativi alla sicurezza informatica include:
a) l’adozione di canali gestionali per la comunicazione degli incidenti e problemi (relativamente a
tutta la catena tecnologica);
b) la registrazione, conservazione e analisi periodica degli incidenti e problemi, singoli e ricorrenti e
l’individuazione della root cause e delle azioni preventive (relativamente a tutta la catena
tecnologica);
c) la gestione dei problemi che hanno generato uno o più incidenti, fino alla loro soluzione
definitiva (relativamente a tutta la catena tecnologica).
La Società assicura lo svolgimento di attività di monitoraggio/verifica periodica dell’efficacia e
operatività del sistema di gestione della sicurezza informatica sia in ambito applicativo che in
10
_______________________________________________________________________________________
ambito infrastrutturale, adottando le misure di verifica definite in base alle diverse categorie
tecnologiche.
La Società adempie alle prescrizioni del Garante per la protezione dei dati personali in tema di
attribuzione delle funzioni di amministratore di sistema, con riferimento, in particolare, a quanto
segue:
a) la valutazione delle caratteristiche soggettive;
b) le designazioni individuali;
c) l’elenco degli amministratori di sistema;
d) i servizi in outsourcing (servizi forniti da terze parti anche interne al Gruppo);
e) la verifica delle attività;
f) la registrazione degli accessi.
Impedimento alla modifica
La Società deve assicurare che la modifica dei contenuti diffusi attraverso la rete sia consentita solo
ai soggetti specificamente preposti e avvenga in conformità alle policy aziendali che regolano
l’attività della funzione nella quale essi operano.
Esistenza di filtri
La Società deve assicurare l’istituzione e l’operatività costante di dispositivi tecnologici che
impediscono a tutti i soggetti apicali e sottoposti – con la sola esclusione di quelli a ciò
specificamente autorizzati per ragioni tecniche – l’accesso a siti internet o l’utilizzo di altri strumenti
che consentano lo scambio e la condivisione di contenuti tra utenti, o che presentino contenuti
pedo-pornografici.
Monitoraggio
È raccomandabile, laddove possibile, il monitoraggio dell’utilizzo di internet da parte di tutti i
soggetti apicali e sottoposti sul luogo di lavoro – compatibilmente con le vigenti disposizioni in
materia di tutela della riservatezza dei lavoratori - compresa l’immissione o acquisizione di
contenuti mediante utilizzo della rete aziendale o esterna.
Tale monitoraggio deve essere operato anche attraverso l’adozione di dispositivi di verifica dei
volumi caricati (upload) o scaricati (download) con fissazione di apposite soglie di segnalazione
automatica. Devono essere monitorati i volumi di trasferimento di messaggi di posta elettronica o
di file che per dimensioni o caratteristiche potrebbero contenere opere dell’ingegno protette.
Programmi per elaborare in formato eseguibile e codici di attivazione
La Società assicura che i programmi utilizzati dai soggetti apicali e sottoposti non siano diffusi in
formato eseguibile senza regolari codici di attivazione per le licenze degli stessi, con la sola
esclusione dei soggetti a ciò specificamente autorizzati per ragioni tecniche.
11
_______________________________________________________________________________________
Operatività su banche dati
È raccomandabile, laddove possibile, che l’estrazione, la copia, il salvataggio e la stampa su
qualunque supporto d’informazioni contenute in banche dati sia precluso mediante adozione di
idonei dispositivi tecnologici e strumenti organizzativi a tutti i soggetti apicali e sottoposti con la
sola esclusione di quelli a ciò specificamente autorizzati per ragioni tecniche. Tale previsione non
risulta applicabile alle banche dati che siano prodotte e commercializzate con espressa concessione
di tali facoltà in virtù della loro natura di strumenti di diffusione di determinati contenuti
informativi.
Servizi criptati
La Società monitora che la trasmissione e diffusione di servizi criptati avvenga in conformità
all’accordo con il legittimo distributore.
Dispositivi di decodificazione
La Società cura che l’acquisizione e utilizzo di dispositivi di decodificazione avvenga in conformità
alle caratteristiche tecniche e modalità di impiego di detti apparati previsti da una prescrizione
aziendale emanata al fine di prevenire l’accesso ad un servizio criptato senza il pagamento del
canone dovuto ovvero in maniera difforme dalle condizioni convenute con il fornitore del servizio.
Gestione dell’utilizzo dei sistemi informativi che si interconnettono o utilizzano software esterni
Nell’ambito della gestione del processo relativo all’utilizzo di sistemi informativi che si
interconnettono con sistemi esterni:
Deve essere tenuto, a carico dell’IT, il censimento aggiornato dei sistemi esterni, della Pubblica
Amministrazione e non, cui gli utenti e le procedure informatiche interne accedono.
Deve essere regolamentato l’accesso ai sistemi informativi di Veneto Banca ed esterni. In
particolare:
 Accesso ai sistemi solo mediante identificazione dell’utente;
 Istruzioni agli utenti in merito alle appropriate modalità di creazione, aggiornamento e custodia
della chiave di accesso personale e della password;
 Attribuzione al singolo utente/amministratore delle sole credenziali di accesso a sistemi interni
ed esterni e dei soli profili autorizzativi necessari allo svolgimento del proprio lavoro;
 Censimento per ciascun sistema degli amministratori e degli utenti che sono autorizzati ad
accedere e dei relativi profili di autorizzazione.
 Monitoraggio dell’utilizzo dei sistemi informativi attraverso sistemi per la registrazione degli
accessi logici.
 Corretto uso delle risorse IT e dell’accesso ad Internet;
12
_______________________________________________________________________________________
 Filtri che blocchino l’accesso a siti dal contenuto illecito (ad esempio siti dal contenuto pedopornografico) o che abilitino il solo accesso a determinati siti dal contenuto lecito;
 responsabilizzazione del singolo utente al corretto utilizzo e all’appropriata conservazione delle
risorse informatiche assegnate, che devono essere utilizzate esclusivamente per l’espletamento
della propria attività e assoluto divieto di connettersi e/o scaricare dati a/da siti web che siano da
considerarsi illeciti (ad esempio, siti che promuovano o appoggino movimenti terroristici o
sovversivi o che effettuino attività di pirateria informatica, di pedopornografia ovvero che violino
le norme dettate in materia di copyright e di proprietà intellettuale);
 procedure per il ripristino delle attività operative del Sistema Informativo a causa di eventi
accidentali che ne impediscano il corretto funzionamento.
È raccomandabile inoltre, laddove possibile, il divieto di modifica delle configurazioni standard di
software e hardware aziendale.
Le norme di comportamento stabilite nelle regolamentazioni interne per l’utilizzo dei sistemi
informativi di VB devono essere applicate dal personale di VB anche quando accede a sistemi
informativi esterni o opera sui sistemi informativi dei clienti.
Deve essere tenuto il censimento aggiornato dei sistemi esterni, della Pubblica Amministrazione e
non, cui gli utenti e le procedure informatiche interne accedono.
Prevenzione reati diritto d’autore
La Società assicura che la modifica dei contenuti diffusi attraverso la rete sia consentita solo ai
soggetti specificamente preposti e avvenga in conformità alle policy aziendali che regolano l’attività
della funzione nella quale essi operano.
La Società assicura l’istituzione e l’operatività costante di dispositivi tecnologici che impediscono a
tutti i soggetti apicali e sottoposti – con la sola esclusione di quelli a ciò specificamente autorizzati
per ragioni tecniche – l’accesso a siti internet o l’utilizzo di altri strumenti che consentano lo
scambio e la condivisione di contenuti tra utenti.
La Società assicura che i programmi per elaboratore utilizzati dai soggetti apicali e sottoposti non
siano diffusi in formato eseguibile e che non siano distribuiti agli utilizzatori di detti programmi i
codici di attivazione per le licenze degli stessi, con la sola esclusione dei soggetti a ciò
specificamente autorizzati per ragioni tecniche.
Tale previsione non risulta applicabile alle banche dati che siano prodotte e commercializzate con
espressa concessione di tali facoltà in virtù della loro natura di strumenti di diffusione di
determinati contenuti informativi.
I presidi di controllo relativi al controllo degli accessi, gestione delle comunicazioni e
dell’operatività, sicurezza nell’acquisizione, sviluppo e manutenzione del sistema informatico (o
della componente informatica presente nel servizio) e/o delle componenti tecniche connesse con il
sistema previsti nell’ambito della prevenzione dei delitti informatici di cui al relativo capitolo di
13
_______________________________________________________________________________________
Parte Speciale del Modello sono applicati dalla Società anche ai fini della prevenzione dei reati di cui
al presente capitolo.
La Società monitora che la ritrasmissione e diffusione di servizi criptati avvenga in conformità
all’accordo con il legittimo distributore.
La Società cura che l’acquisizione e utilizzo di dispositivi di decodificazione avvenga in conformità
alle caratteristiche tecniche e modalità di impiego di detti apparati previsti da una prescrizione
aziendale emanata al fine di prevenire l’accesso ad un servizio criptato senza il pagamento del
canone dovuto ovvero in maniera difforme dalle condizioni convenute con il fornitore del servizio.
Trattamento dati relativi alla P.A.
Sono assolutamente vietate le pratiche finalizzate a comunicare informazioni false, errate o
comunque manipolate, anche in forma elettronica, mediante l’alterazione di dati o programmi
informatici, allo scopo di inficiare il processo decisorio e/o di valutazione della Pubblica
Amministrazione, procurando così vantaggi non dovuti alla Società e danni ingiusti allo Stato, agli
altri enti pubblici, all’Unione Europea (sul punto si veda nel dettaglio il Protocollo Relazioni Esterne,
Rapporti con la Pubblica Amministrazione).
L’utilizzo di sistemi informativi aziendali per espletare gli adempimenti verso gli Enti della Pubblica
Amministrazione, che prevedano il ricorso a software forniti dagli enti pubblici ovvero la
connessione diretta con gli stessi, deve avvenire assicurando protocolli di sicurezza fisica e di
sicurezza informatica, secondo gli standard e le best practice in uso sul mercato e nel sistema.
Con riguardo alla prevenzione dai reati commessi tramite l’utilizzo di procedure e sistemi
informatici, avute presenti le soluzioni offerte dalle più avanzate tecnologie acquisite nel settore,
anche per il tramite dell’outsourcer informatico SEC di Padova, sono adottate password personali
che limitano l’accesso al sistema a determinate fasi dell’operazione e che, nello stesso tempo,
consentano l’identificazione del soggetto cui l’operazione, o una sua fase rilevante, può essere
imputata.
Sono previsti strumenti di registrazione e controllo, giornalieri o comunque periodici, delle
operazioni compiute per il tramite di sistemi elettronici, in modo da poter avere sempre riscontro
della correttezza delle procedure seguite e della coerenza interna delle diverse fasi operative del
processo aziendale con la Pubblica Amministrazione.
Viene introdotta la previsione di predisporre reports, sottoscritti dagli incaricati intervenuti per la
Società, relativamente ad incontri di affari con soggetti in rappresentanza della Pubblica
Amministrazione, delle Comunità Europee o degli Stati esteri.
Il funzionario o dirigente che ha condotto le trattative con la Pubblica Amministrazione non può
concorrere al processo di formazione delle decisioni né partecipare all’iter deliberativo dell’Organo
decisorio competente in materia. É prevista la definizione dei ruoli e delle responsabilità nonché la
formalizzazione di deleghe interne, da conservare agli atti, per i soggetti che partecipano o
14
_______________________________________________________________________________________
intervengono al processo di istruttoria delle domande di ammissione ai contributi pubblici e nella
gestione dei rapporti precontrattuali con gli Enti della Pubblica Amministrazione.
Le azioni commerciali verso la Pubblica Amministrazione sono svolte da strutture separate da quelle
che gestiscono l’erogazione di servizi o prodotti contrattualizzati, con affidamento della fase di
perfezionamento dell’accordo al Responsabile della struttura competente in base all’oggetto del
contratto o a soggetti appositamente abilitati.
Per l’attività di sviluppo commerciale e di individuazione di opportunità di business con la Pubblica
Amministrazione, i sistemi premianti e incentivanti devono risultare coerenti con i principi e le
regole contenute nel Protocollo e nel Codice etico e di comportamento, anche prevedendo
meccanismi correttivi in caso di eventuali comportamenti devianti.
Devono infine essere previste disposizioni interne che impongono, sul posto di lavoro, il corretto
utilizzo degli strumenti informatici e di telefonia fissa e mobile a uso aziendale, con divieti di
accesso e/o ricezione di materiale pedopornografico, di connessione con siti internet e con “chat
line” illegali o di dubbia finalità rilevanti rispetto ai reati presupposto.
15

Protocolli per la Sicurezza Informatica

Transcript

Documenti analoghi

Consulente per la sicurezza informatica

Richiesta di occupazione suolo pubblico – bar e ristoranti

Le insidie reali del mondo virtuale

Zucchetti S.p.A. - Informagiovani

Figure professionali in informatica

Ratifica della Convenzione di Budapest

Gian Pietro Camisa

software di direct marketing

Addetto/tecnico sistemi informatici e telematici

i documenti digitali: la formazione, la trasmissione e la conservazione