Protezione Dati

Misure tecniche e organizzative per la sicurezza delle informazioni

Il gruppo Radius adotta un approccio basato sulle migliori pratiche alla protezione dei dati, seguendo le indicazioni dell'ICO e allineandosi ai principi dell'attuale legislazione e regolamento sulla protezione dei dati. Dal 2014 abbiamo investito molto in nuova infrastruttura IT e personale chiave per conformarsi allo standard ISO 27001 per la gestione della sicurezza delle informazioni, supportati da un'importante società di consulenza sulla sicurezza delle informazioni (IS). Nel 2018 abbiamo ottenuto la certificazione ISO 27001 e siamo stati riaccreditati nel primo trimestre del 2021. Dal 2016 abbiamo ottenuto anche la certificazione Cyber Essentials Plus, nel quarto trimestre di ogni anno successivo.
Quella che segue è una sinossi strutturata delle nostre misure tecniche e organizzative per la sicurezza delle informazioni che abbiamo adottato, inquadrate attorno allo standard ISO 27001 per un sistema di gestione della sicurezza delle informazioni (ISMS):
Gestione: la direzione di Radius riconosce che le informazioni che gestisce devono essere trattate con la dovuta cura (indipendentemente dal fatto che tali informazioni siano di proprietà dell'organizzazione, dei clienti dell'organizzazione o degli utenti dei servizi forniti dall'organizzazione) e si impegna a preservarne la riservatezza, l'integrità e disponibilità.

Politica sulla sicurezza delle informazioni: esiste un set completo di politiche IS comprendente una politica IS generale con una dichiarazione esecutiva e obiettivi definiti, sottopolitiche IS primarie che influiscono su tutti i lavoratori, sottopolitiche IS secondarie che influiscono su alcuni lavoratori e sottopolitiche IS di riferimento documenti di orientamento generale.

Organizzazione della sicurezza delle informazioni – Ruoli e responsabilità per l'ISMS sono definiti, con l'ISMS gestito da un team composto dal responsabile dell'IS, dai revisori dell'IS e dall'analista della sicurezza informatica, che riporta al Consiglio – Le considerazioni sull'IS sono un requisito obbligatorio di tutto il nuovo lavoro di progetto .
Sicurezza delle risorse umane – Tutto il personale viene selezionato secondo uno standard BPSS, con controllo anche del DBS del personale chiave – Esiste un processo formale di avviamento/movimento/abbandono e un processo disciplinare formale in atto – La formazione e la sensibilizzazione IS sono un requisito obbligatorio per tutti i lavoratori , che viene fornito attraverso un tradizionale sistema di gestione dell'apprendimento virtuale.
Gestione delle risorse – Esistono 3 tipi di classificazione dei dati definiti con le linee guida di gestione appropriate fornite – Le risorse informative sono registrate e gestite all'interno di un registro delle risorse principale, indicando i proprietari e le posizioni assegnati – Tutte le risorse non più necessarie vengono smaltite in modo sicuro tramite processori registrati RAEE.

Controllo degli accessi – A tutti gli utenti vengono assegnati account utente standard comprendenti un ID e una password – Agli amministratori viene rilasciato un account utente aggiuntivo con privilegi elevati – Single Sign On e Multi-Factor Authentication sono sempre più adottati in tutta l'azienda – La ricertificazione degli account utente è frequente in alcuni revisioni dell'account effettuate mensilmente.

Crittografia: un aspetto del business in rapida evoluzione e crescita, con le chiavi gestite centralmente e in conformità con le migliori pratiche.
Sicurezza fisica e ambientale – Tutti i data center sono ospitati in ambienti con rigide misure di sicurezza fisica – Un numero crescente di uffici, compreso il quartier generale, dispone di un controllo degli accessi basato su carta d'identità di prossimità, che sarà infine implementato in tutti gli uffici – Lo stesso vale alla copertura CCTV e ANPR – Rastrellamenti mensili degli uffici da parte di Clear Desk.
Sicurezza delle operazioni – I team IT seguono i principi ITIL – La gestione delle modifiche è controllata da un processo del Change Advisory Board – Gli ambienti di produzione sono separati dagli ambienti di sviluppo e test – Ogni endpoint utente è crittografato e dispone di protezione anti-malware – Tutti i sistemi sono sincronizzati NTP – I registri sono conservato per 12 mesi – Il software viene distribuito, patchato e gestito centralmente – Valutazioni delle vulnerabilità eseguite a frequenze variabili.
Sicurezza delle comunicazioni – La segregazione delle reti è in atto con alcune DMZ – Processi di trasferimento delle informazioni in atto – Gestione della posta elettronica con doppio filtraggio nel cloud – Accordi di non divulgazione (NDA) in atto come richiesto.

Acquisizione, sviluppo e manutenzione dei sistemi – La sicurezza delle informazioni è parte integrante dei principi di Security by Design adottati, con valutazioni di impatto sulla protezione dei dati (DPIA) effettuate dai Project Manager, per tutte le modifiche imposte – Vengono utilizzati diversi ambienti di sviluppo – Test effettuati su tutte le modifiche da parte di un team di testing interno – Penetration Testing e Vulnerability Assessment indipendenti effettuati su applicazioni esposte all'esterno.

Rapporti con i fornitori – I fornitori vengono valutati in termini di rischio sulla loro interazione con i dati e i sistemi Radius – Monitoraggio della conformità in corso – Contratti/accordi/NDA implementati in linea con i requisiti GDPR.
Gestione degli incidenti sulla sicurezza delle informazioni – Segnalazione degli incidenti gestita tramite un registro con un archivio sicuro di prove – Vari strumenti di monitoraggio automatizzato in atto – Processo di segnalazione della violazione dei dati integrato con un servizio di conservazione della risposta alla violazione dei dati di terze parti da parte di un'importante società di consulenza sulla sicurezza delle informazioni del Regno Unito. Aspetti di sicurezza delle informazioni della gestione della continuità aziendale – Piani di continuità operativa in atto e invocati con successo più volte fino ad oggi – Piani di ripristino di emergenza definiti per tutti i sistemi principali – Programma di test in atto.
Conformità – Tutte le leggi e i regolamenti pertinenti sono stati identificati e rispettati – DPIA condotti in linea con il GDPR – Penetration Testing indipendenti – ISMS valutato in modo indipendente – Il Management IS Forum fornisce una revisione interna dell’ISMS.

La presente informativa sulla protezione dei dati è stata rivista e aggiornata l'ultima volta il 30 marzo 2022 – Versione 1.4.