Information Security

Net Studio considera le informazioni uno dei suoi asset più critici. Per questo motivo, ritiene necessario stabilire misure adeguate in tutti luoghi ove le informazioni possono essere archiviate o trasmesse, per garantire:

• Confidenzialità, assicurare che soltanto chi è autorizzato e necessita delle informazioni per svolgere il proprio lavoro (“need-to-know”) possa accedere a dati rilevanti, per evitare problemi di leak accidentali oppure cancellazione di informazioni sensibili.
• Integrità, assicurare che le informazioni e i suoi metodi di elaborazione siano corretti e accurati, in modo da prevenire alterazioni non autorizzate.
• Disponibilità, assicurare che gli utenti autorizzati possano accedere alle informazioni e agli asset associati quando ne hanno bisogno, garantendo l’accesso ai sistemi critici aziendali in ogni momento grazie alla preparazione di piani di business continuity.

L’Information Security è una parte essenziale della strategia di business di Net Studio a causa dell’impatto che ha sul proprio business e quello dei propri clienti. L’azienda, in linea con le politiche del gruppo Indra, ha adottato un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), certificato ISO 27001, per definire, implementare e migliorare controlli e procedure efficaci per mitigare e gestire i rischi nei suoi processi interni, operazioni quotidiane, sviluppo ed esecuzione di programmi e servizi, dalla fase commerciale a quella operativa, e nei processi relativi alla gestione dei clienti.

I capisaldi della strategia della sicurezza:

• La governance della sicurezza delle informazioni, questo assicura la corretta coordinazione e organizzazione della sicurezza delle informazioni a tutti i livelli. I seguenti ruoli sono presenti a livello del gruppo Indra, di cui Net Studio fa parte. Alla guida è presente il CISO (Chief Information Security Officer), che riporta direttamente all’Audit and Compliance Committee (ACC) e al Risk Coordination Unit (RCU) ed è responsabile del coordinamento delle informazioni nell’azienda. La principale funzione del CISO è quella di sviluppare la strategia, gli obiettivi e i piani della sicurezza delle informazioni. Quest’area include anche i LISO (Local Information Security Officers) di mercato e di area geografica, la cui principale funzione è quella di assicurare la sicurezza delle informazioni nei mercati e nelle filiali di loro competenza.
• La sicurezza delle informazioni è regolata da un framework, la conformità con questo framework è obbligatoria per tutto il gruppo Indra, compresa Net Studio. Alla base del framework c’è la politica della sicurezza delle informazioni, che stabilisce dei principi basilari di sicurezza del framework.
• Awareness e training costante sulla Sicurezza delle Informazioni durante tutto il periodo lavorativo di un dipendente. Questo permette di aumentare la consapevolezza di tutti i dipendenti dell’azienda, in questo modo sono a conoscenza delle loro responsabilità nel campo della Sicurezza delle Informazioni e quanto è critico proteggere la confidenzialità, l’integrità e la disponibilità delle informazioni gestite da noi e dai nostri clienti.
• Tecnologia e controlli di sicurezza come soluzione end-to-end che comprende controlli di sicurezza fisici e ambientali, danni e interferenze nelle infrastrutture aziendali, controlli di sicurezza logici per preservare confidenzialità, integrità e disponibilità delle informazioni e delle risorse per processarle.
• I processi di audit e monitoraggio della conformità, come verifica e meccanismi di controllo, supervisione continua e processi di monitoraggio, che sono sempre attivi:
  • Processi di monitoraggio della sicurezza e delle reti per garantire la conformità alle normative di sicurezza nelle reti e nei sistemi informativi.
  • Audit delle vulnerabilità tecniche delle piattaforme e delle applicazioni per scoprire e valutare i rischi di sicurezza derivanti da tali vulnerabilità.
  • Processi di convalida prima della connessione delle piattaforme alle reti aziendali per garantire la conformità alle normative sulla sicurezza delle informazioni riguardanti patch, aggiornamenti critici, antivirus, ecc.

Inoltre, la relazione annuale di Indra sulla sostenibilità include indicatori che forniscono prove di conformità alla Politica di Sicurezza.

La conformità del SGSI di Net Studio all’ISO 27001 è oltretutto certificato da ACCREDIA (Ente Italiano di Accreditamento), quindi è soggetto a regolare audit da parte di enti esterni.

Al fine di garantire la sicurezza nella catena di approvvigionamento, abbiamo stabilito una politica di Sicurezza delle Informazioni per i fornitori, che è obbligatoria e inclusa nei processi di approvazione e contrattazione.

Infine, per garantire la pronta individuazione ed efficace gestione degli incidenti di sicurezza, Indra ha formalizzato un Computer Security Incident Response Team (CSIRT), che fornisce i suoi servizi in conformità a quanto stabilito nel suo regolamento interno. In caso di eventi sospetti o vulnerabilità che potrebbero influenzare i sistemi informativi di gruppo, contattare CSIRT@indra.es.