Politica sistemi di gestione

POLITICA PER LA QUALITÀ

La Direzione Generale di Logos Technologies S.r.l. al fine di garantire la qualità delle soluzioni realizzate e dei servizi forniti al Cliente, ha istituito un Sistema di Gestione per la Qualità il cui compito è quello mantenere sotto controllo i fattori interni ed esterni, tecnici, organizzativi ed umani che possono influenzare la qualità dei servizi offerti ed erogati.

A tale scopo è stato realizzato il Manuale di Gestione per la Qualità, nel quale sono riportate le modalità di gestione della qualità volte alla massimizzazione dell’efficacia di impiego delle risorse umane, tecniche ed organizzative dell’intera Azienda.

Scopo principale di Logos Technologies S.r.l. è offrire al Cliente la soluzione che risponde alle sue esigenze operative e lo soddisfi, sia per qualità che per puntualità ed affidabilità nella esecuzione.

La politica aziendale per la qualità persegue dunque i seguenti obiettivi:

  • Progettare ed erogare i servizi in modo da incontrare le richieste del Cliente senza errori
  • Rispettare i tempi confermati
  • Rispettare le leggi e le normative cogenti
  • Migliorare l’organizzazione interna con particolare riguardo alla gestione dei servizi e la competenza del personale
  • Realizzare la massima trasparenza nei confronti del Cliente allo scopo di definire esattamente tutti gli aspetti tecnico / commerciali del lavoro
  • Servirsi di fornitori affidabili e creare con essi un rapporto di collaborazione duratura
  • Fornire il massimo supporto al Cliente nella risoluzione di tutti gli eventuali problemi

Tali obiettivi sono tenuti sotto controllo con un continuo monitoraggio (del servizio e delle commesse) ed attraverso un’attenta applicazione delle procedure aziendali relative al Sistema di gestione per la Qualità e al Sistema di gestione della Sicurezza dell'informazione

Il Servizio Gestione Qualità, al fine di verificare l’adeguatezza e l’efficacia nel tempo del Sistema di Qualità aziendale in relazione agli obiettivi stabiliti, pianifica ed esegue audit, i cui risultati vengono documentati e sottoposti ai responsabili delle aree interessate affinché scaturisca:

  • Una periodica attività riesame della gestione del rischio, che prevede l'analisi dei rischi dei processi aziendali, la loro valutazione, le prassi attive per il loro monitoraggio a scopo preventivo, il piano di trattamento del rischio, se necessario
  • L’identificazione delle cause determinanti le non conformità riscontrate (eventi della non qualità)
  • La determinazione delle azioni correttive appropriate
  • La pianificazione dell’attuazione delle azioni correttive
  • La programmazione delle verifiche di attuazione delle azioni correttive e della loro efficacia
  • L’identificazione ed acquisizione di risorse e strumenti necessari per ottenere la qualità richiesta
  • La pianificazione della formazione del personale per il mantenimento ed aggiornamento delle competenze professionali
  • La continua verifica della consapevolezza del personale in relazione all'importanza del lavoro svolto nella quotidianità
  • L’aggiornamento di tecniche di test e collaudo
  • L'utilizzazione di strumenti di monitoraggio efficaci

La Direzione è impegnata direttamente nella gestione per la qualità, avendo affidato al Chief Operation Officer la responsabilità del Servizio Gestione Qualità (SGQ).

Il Servizio Gestione Qualità dispone della massima autorità nelle azioni relative all’attuazione del Sistema e del più completo supporto tecnico ed organizzativo.

La Direzione Generale si impegna ad assicurare che la suddetta politica sia comunicata e compresa ai pertinenti livelli dell’organizzazione.

La Direzione Generale si impegna ad attuare ed a sostenere la politica per la qualità sopra esposta e a verificarne periodicamente l'attuazione attraverso gli strumenti definiti nel Sistema di Gestione per la Qualità. La politica adottata è riesaminata annualmente.

POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

Gli obiettivi

La sempre più crescente importanza delle informazioni gestite in ambito commerciale e tecnico, visto il campo di attività in cui si trova ad operare, hanno fatto rilevare a LOGOS TECHNOLOGIES SRL. la necessità di adottare un sistema di gestione per:

  • Garantire la sicurezza dei dati e delle informazioni interessate che vertono all’interno dei sistemi informativi, sia quello aziendale sia quanto gestito per conto del cliente
  • Normare la gestione informatica dei dati in oggetto

Lo standard normativo ISO/IEC 27001:2013 rappresenta la norma adatta per creare un sistema di gestione che permetta di assicurare, monitorare, mantenere, migliorare la gestione della sicurezza delle informazioni, evitare la manomissione delle stesse e la sottrazione da parte di terzi, nonché prevedere e ridurre al minimo i rischi cui i dati sono sottoposti. La creazione di un sistema di gestione della sicurezza delle informazioni (SGSI) proposto dalla ISO 27001 rappresenta un valore aggiunto per LOGOS TECHNOLOGIES che vuole distinguersi nel proprio mercato di riferimento.

I vantaggi dell'adozione di un sistema così concepito possono riassumersi nei seguenti punti fondamentali:

  • Accrescere la consapevolezza dell'importanza della sicurezza delle informazioni tra lavoratori, Direzione, responsabili, clienti e fornitori, fornendo un sistema di procedure definite sulla base della realtà aziendale che diano risalto alla formazione ed all'informazione nonché alla responsabilità da parte di tutti gli utenti
  • Individuare i beni critici per il business dell'azienda, le informazioni e i dati sensibili, interni o meno, fondamentali per la gestione del sistema ed il suo mantenimento
  • Garantire un sistema di regole e strutture che vada a perseguire per i punti specificati dalla norma, la sicurezza dei dati e delle informazioni aziendali e delle strutture adibite alla loro conservazione
  • Fornire un sistema in cui riporre fiducia, sia all'interno che all'esterno dell'organizzazione
  • Aggiornamento e monitoraggio: arricchire cioè la conoscenza, la dimestichezza e la capacità pratica della Direzione nella gestione e nel mantenimento di un sistema di sicurezza dell'informazione
  • Sviluppare un corretto sistema di business, attraverso riduzione del rischio di diffusione all'esterno non controllata delle informazioni che si intendono gestire in modo sicuro
  • Continuo aggiornamento delle proprie infrastrutture tecniche ed organizzative alla luce delle esigenze riscontrate cogenti e mutevoli (Compliance e contract review)
  • Migliorare la gestione delle relazioni con i soggetti terzi (comunicazioni, divulgazione delle informazioni, accesso alle informazioni aziendali, livelli di rischio)
  • Compatibilità legislativa con le norme nazionali ed internazionali vigenti in tema di privacy e tutela dei dati personali, diritti di proprietà intellettuale, diritto d'autore, concorrenza. Nonché compatibilità con altri schemi normativi internazionali che regolano l'implementazione di altri sistemi di gestione (es.lSO 9001:2015 Sistema di Gestione per la Qualità)
  • Tutela delle credenziali di accesso ai propri sistemi informatici e alle proprie attrezzature da parte dell'utenza aziendale e dei clienti

L'Organizzazione, strutturando un sistema formato da politiche, manuali, procedure, istruzioni operative, documenti e registrazioni, persegue l'obiettivo di migliorare e mantenere il sistema, evidenziandone punti di forza e di debolezza.

Tutte le azioni che andranno a dare evidenza di un miglioramento o comunque di una gestione con particolari problematiche, saranno oggetto di registrazione e revisione annuale, per valutarne applicazione ed efficacia.

Il sistema di gestione sicurezza delle informazioni (SGSI)

Intendiamo proteggere le informazioni aziendali dal più ampio spettro di minacce possibile, allo scopo di assicurare la continuità delle nostre attività, minimizzare i rischi, garantire il ritorno degli investimenti, le opportunità di business, il rispetto delle leggi, la redditività dell'attività aziendale. Tutti i dati e le relative elaborazioni per la gestione delle nostre attività di business devono essere protette per garantire che giungano integre a chi deve utilizzarle, che non vadano disperse o peggio ancora che non finiscano nelle mani di concorrenti o di approfittatori in forma non autorizzata o controllata. L’informazione è considerata un asset, e come altri asset sono considerati le strutture materiali o immateriali che la gestiscono. Il controllo dell’informazione è essenziale per l'organizzazione di LOGOS TECHNOLOGIES e come tale ha la necessità di essere protetta. Le protezioni sono tanto più necessarie quanto più l'interconnessione è amplia, la qual cosa espone l'Informazione ad una più larga varietà di rischi e di vulnerabilità: frodi, spionaggio, vandalismi, incendi.

L’ intera organizzazione è consapevole del problema e si impegna a condividere gli obiettivi ed i principi della sicurezza delle informazioni. Sulla struttura organizzativa e sui processi operativi aziendali è stato sovrapposto l'SGSI cioè un sistema di operazioni e di controlli per gestire il rischio. In particolare con l'implementazione di questo sistema:

  • Vengono analizzati i rischi
  • Vengono trattati i rischi sulla base di criteri di accettazione dei rischi stessi, in ogni caso non compromettendo il rispetto delle leggi dello Stato ed i requisiti contrattuali. Pertanto:
    • Accettiamo consapevolmente i rischi se soddisfano quei criteri; alternativamente
    • Evitiamo i rischi non permettendo azioni/attività che potrebbero essere causa dei rischi stessi
    • Cerchiamo per quanto possibile di trasferire i rischi a terze parti
  • Rendiamo consapevoli tutte le nostre risorse e dipendenti che operano nel vivo del sistema che gestisce le informazioni che si intendono proteggere, della necessità di operare responsabilmente mediante formazione a tutti i livelli
  • Introduciamo specifiche attività di controllo e precauzione contro i disastri
  • Prenderemo adeguati provvedimenti ogni qualvolta si verificheranno delle violazioni

Questo sistema include:

  • Monitoraggio di tutti gli eventi con la verifica periodica dell'efficacia dei controlli prescritti ed il successivo riesame annuale della Direzione
  • Attivazione delle azioni di miglioramento
  • Gestione della documentazione e delle registrazioni di sistema
  • Addestramento del personale per conseguire competenza e consapevolezza sulle problematiche della sicurezza delle informazioni
  • Audit interni per verificare che i controlli siano efficaci, gli obiettivi dei controlli vengono raggiunti e che le procedure vengano applicate: in sintesi che il SGSI sia conforme alla norma di riferimento ISO/IEC 27001: 2013
  • Miglioramento attraverso le Azioni Correttive e Preventive

Nell'ambito di questo sistema sono assegnate le seguenti responsabilità:

  1. Direzione aziendale - la definizione degli Asset da proteggere
  2. Security Team - valutazione dei rischi cui possono essere esposti i vari Asset
  3. Security Team ed Amministratori di Sistema - l'impostazione dei controlli, la loro implementazione e monitoraggio
  4. Security Team ed Amministratori di Sistema - la registrazione di tutte le minacce verificatesi la pianificazione ed implementazione dei controlli necessari
  5. Dipendenti che lavorano con i rispettivi Asset materiali o immateriali - attenersi alle autorizzazioni prescritte e segnalazione al Security Team o Amministratore di Sistema di eventuali minacce riscontrate
  6. Direzione aziendale - riesaminare periodicamente lo stato di sicurezza delle informazioni e l'efficacia della presente politica
  7. Security Team e Qualità - proporre alla Direzione e intraprendere azioni di miglioramento

La gestione

Con GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI intendiamo la definizione dei requisiti di sicurezza delle informazioni (nostre e dei clienti), l'analisi dei rischi, la definizione di un piano per soddisfare quei requisiti, nonché l'implementazione del piano stesso. Abbiamo definito l'elenco degli Asset che dobbiamo proteggere in termini di Hw, Sw, rete, tipologia di dati, località e attività i cui dati sono immagazzinati e/o elaborati nel nostro Sistema Informativo e i sistemi informativi dei clienti.

In particolare gli Asset protetti, inclusi quelli relativi ai requisiti legali e contrattuali, sono:

HARDWARE

  • Server
  • Storage
  • Network Appliance
  • PC (Client aziendali e Notebook)

SOFTWARE

  • Sistemi Operativi
  • Applicativi
  • Piattaforme di Fault and Performance Monitor

TIPOLOGIA di DATI

  • Documentazione, dati e registrazioni di origine interna relativa ai processi Aziendali
  • Documentazione, dati e registrazioni di origine esterna (di proprietà del cliente)

LOCALITÀ

  • Mestre (VE), via Felisati 61
  • Milano (MI), via Bernina 6 (C/o Fastweb S.p.a)

Le nostre attività sono fortemente dipendenti dal Sistema Informativo: l'assenza di sicurezza o anche la diminuzione del livello di sicurezza comprometterebbero la gestione di quanto sopra espresso in termini di dati. Dalla GSI intendiamo conseguire i seguenti obiettivi:

  • Evitare l'accesso ai nostri Sistemi Informativi da parte dei non autorizzati
  • Evitare che le informazioni che vengono trasmesse ed elaborate nei nostri Sistemi Informativi vengano modificate, rese non disponibili a chi deve utilizzarle o distrutte intenzionalmente o anche solo accidentalmente
  • Proteggere l'informazione che attiene alle leggi dello Stato ed Europee cogenti ed al nostro business. I requisiti per garantire la sicurezza delle informazioni sono:
    • CONFIDENZIALITÀ/RISERVATEZZA: attribuzione a ciascun dipendente implicato nel sistema informativo degli accessi fisici e logici al Sistema Informativo secondo responsabilità e mansioni
    • INTEGRITÀ: l'informazione deve essere resa disponibile integra a chi ne ha diritto
    • DISPONIBILITÀ: l'informazione deve essere disponibile quando richiesta dalle persone autorizzate.
  • Dobbiamo salvaguardare il capitale investito nel Sistema Informativo in termini di hardware, software, e mantenimento del sistema stesso
  • Prendere coscienza dei costi che dobbiamo sopportare per sostituzioni e manutenzioni conseguenti a cedimenti della sicurezza. La gestione del rischio è eseguita per gli Asset di cui sopra con la seguente metodologia:
    • Analisi del rischio di ogni Asset con le protezioni in atto
    • Individuazione degli Asset che dall'analisi presentano un valore dell'Asset non trascurabile "compromesso" dal rischio
    • Analisi di dettaglio del rischio su quegli Asset che dall'analisi presentano un valore dell'Asset compromesso non trascurabile
    • Se dall'analisi di dettaglio il livello di rischio rimane non trascurabile: verificare l'efficacia delle protezioni di Baseline e/o introduzione di nuove protezioni dedicate agli specifici Asset

Per garantire quanto sopra vengono messe in atto le seguenti contromisure:

  • Impostazione ed attuazione dei necessari ed adeguati controlli per la difesa da attacchi o incidenti
  • Formazione dei lavoratori e collaboratori di LOGOS TECHNOLOGIES implicati nel Sistema Informativo aziendale e quelli dei clienti, delle proprie specifiche responsabilità per evitare comportamenti e prassi operative non idonee
  • Impegno del management a perseguire gli obiettivi per la sicurezza
  • Meccanismi per la distribuzione delle autorizzazioni agli accessi fisici e logici e contromisure in caso di violazione
  • Adozione di un sistema di controllo degli accessi
  • Introduzione di processi di monitoraggio per valutare l'applicazione e l'efficacia

Le politiche adottate sono comunicate a lavoratori e i KPI attraverso comunicazione email e vengono riesaminate annualmente.