Sicurezza delle informazioni

 

 

 

 

 

Il Sistema di Gestione della Sicurezza delle informazioni di InnovaPuglia S.p.A.


InnovaPuglia è certificata da diversi anni secondo lo standard ISO/IEC 27001 con la seguente definizione dello scopo (ambito) coperto dalla certificazione: "Gestione sistemistica dell'infrastruttura tecnologica di erogazione dei servizi ICT della Regione Puglia. Erogazione del Servizio di conservazione dei documenti informatici per gli enti regionali".

Questo significa che i servizi infotelematici gestiti da InnovaPuglia nel suo Datacenter sono gestiti in conformità ai requisiti previsti dalla norma e questo rappresenta una importante forma di garanzia per gli Enti Pubblici, a partire dalla Regione Puglia, che intendano avvalersi dei servizi di InnovaPuglia. Particolare attenzione viene inoltre evidenziata in relazione ai servizi di Conservazione a norma di documenti informatici  che garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici conservati, come previsto dall'art. 44 del Codice dell'Amministrazione Digitale.
 
La concentrazione dei servizi infotelematici della PA in un Datacenter adeguatamente attrezzato dal punto di vista tecnologico, riduce la "superficie d'attacco" che può essere oggetto di un'aggressione informatica che metta a repentaglio le informazioni detenute, nonché l'affidabilità dei procedimenti amministrativi gestiti.
 
La mera riduzione della superficie d'attacco e la sua "fortificazione" tecnologica, sarebbero però inefficaci se l'organizzazione che gestisce i servizi stessi non fosse adeguatamente organizzata in termini di processi gestionali e di controllo.
 
La certificazione ISO/IEC 27001 attesta appunto che questi processi sono stati verificati e sono conformi alla norma. Tutto questo garantisce che l'insieme costituito dall'infrastruttura tecnologica e dalle modalità organizzative e procedurali di gestione sono adeguate rispetto alla sfida di erogare pubblici digitali garantendo al tempo stesso  l'integrità e la riservatezza delle informazioni nonché la correttezza dei procedimenti amministrativi.
 
È importante sottolineare come questa garanzia relativa alla sicurezza sia un attributo imprescindibile dell'obbligo che insiste sulla Pubbliche Amministrazioni di garantire la disponibilità di servizi digitali sancito dall'art. 2 comma 1 del Codice dell'Amministrazione Digitale, che si riporta di seguito.  
Art. 2. Finalità e ambito di applicazione.
 
1. Lo Stato, le regioni e le autonomie locali assicurano la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate le tecnologie dell'informazione e della comunicazione.
 
È evidente come usare "con modalità più appropriate le tecnologie dell'informazione e della comunicazione" non possa che comprendere al primo posto la sicurezza delle stesse.
 
InnovaPuglia, società in-house della Regione Puglia per l'innovazione tecnologica, operando per conto della Regione Puglia nel campo dei servizi innovativi digitali, rende pertanto possibile l'attuazione del dettato del Codice dell'Amministrazione Digitale senza far venire meno i necessari requisiti di sicurezza.
 
A questo fine InnovaPuglia si relaziona anche con i competenti Organismi nazionali preposti come il CERT-PA (Computer Emergency Response Team della PA) dell'Agenzia per l'Italia Digitale (AgID) ed il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale.
 
POLITICA DELLA SICUREZZA DELL'INFORMAZIONE DI INNOVAPUGLIA S.p.A.
 
InnovaPuglia S.p.A. considera la sicurezza delle informazioni elemento strategico per le proprie attività. Infatti, l'Alta Direzione di InnovaPuglia, si è posta l'obiettivo di preservare gli interessi propri e dei propri Clienti proteggendo i propri asset informativi e ponendo particolare attenzione agli aspetti di:
- riservatezza, integrità e disponibilità delle informazioni;
- accessi non autorizzati alle informazioni;
- livello di servizio;
- requisiti normativi;
- continuità operativa;
- formazione per l'information security per tutti i dipendenti;
- gestione e comunicazione di tutte le reali o sospette violazioni di sicurezza (ad es. data breach) per essere prontamente investigate.
 
Il SGSI assicura che la gestione della continuità operativa, le procedure di backup, la protezione da virus e hackers, la gestione degli accessi ai sistemi e all'informazione e la gestione degli incidenti sono effettivamente implementati e adeguatamente supportati da specifiche politiche e procedure scritte.
 
I requisiti della sicurezza delle informazioni saranno continuamente allineati agli obiettivi strategici di business aziendale e garantiranno che l'informazione sia condivisa e fruibile mantenendo il rischio, che questo comporta, ad un livello accettabile.
 
La direzione sostiene attivamente la sicurezza dell'azienda tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.
 
Tutto il personale deve contribuire, ognuno per la propria competenza e professionalità, all'effettiva efficacia del SGSI e al rispetto della presente politica.
 
Il SGSI è soggetto a continuo e sistematico riesame e miglioramento.
 
Nell'ambito della Sicurezza dell'Informazione gli obiettivi che il Servizio di Conservazione si prefigge sono i seguenti:
• gestire l'accesso alle informazioni ed ai servizi di elaborazione;
• gestire e fornire delle procedure agli utenti che ne necessitano per l'operatività del Servizio;
• gestire tutti i cambiamenti che influiscono sulla sicurezza dell'informazione;
• assicurare la protezione delle informazioni da malware;
• proteggersi dalla perdita di dati attraverso copie di backup delle informazioni;
• proteggere i log (applicativi, degli utenti e degli amministratori di sistema) e assicurare la sincronizzazione degli orologi;
• controllare l'installazione del software sui sistemi di produzione;
• gestire le vulnerabilità tecniche;
• assicurare la continuità operativa;
• assicurare la conformità alle Leggi Nazionali, al Regolamento Generale della Protezione dei Dati Personali n. 2016/679 e agli accordi contrattuali con gli utenti;
• soddisfare il principio di data minimization, attraverso il quale i dati non più trattati saranno rimossi.
 
Il SGSI è esteso al servizio cloud di tipo IaaS che InnovaPuglia eroga nei confronti della Regione Puglia. Il servizio cloud messo a disposizione da InnovaPuglia terrà in considerazione i seguenti aspetti:
- i requisiti del Regolamento ACN recante "livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione" e successive modifiche e integrazioni;
- i necessari requisiti normativi e tecnologici nella progettazione e nell'implementazione del servizio cloud;
- i rischi legati all'attività degli utenti autorizzati;
- l'accesso agli asset del cloud service customer da parte del personale del cloud service provider;
- le procedure di controllo accessi all'ambiente cloud;
- modalità di comunicazione nei confronti del cloud service customer nell'ambito del processo di change management;
- le problematiche relative alla sicurezza dell'infrastruttura virtuale;
- protezione dei dati del cloud service customer;
- la gestione del ciclo di vita degli accounts del cloud service customer;
- la conformità ai dettami del Regolamento generale per la protezione dei dati personali n.2016/679 (General Data Protection Regulation o GDPR) e Dlgs 196/2003 - Codice in materia di protezione dei dati personali così come modificato da DL n. 101 del10/08/2018, nonchè agli accordi contrattuali tra il cloud service customer e il cloud service provider;
- il principio di data minimization, attraverso il quale i dati non più trattati saranno rimossi dopo un determinato lasso di tempo.
 
Tutti i dati e le informazioni mantenute nell'ambiente cloud risiederanno nell'infrastruttura cloud di Innovapuglia distribuita su 2 sedi. La prima sita all'interno del Parco Tecnopolis Csata S.P. per Casamassima Km. 3, 70010 Valenzano (BA) e la seconda (sito di disaster recovery) sita presso la ASL di Lecce in via Miglietta 5, 73100 Lecce.