4.1 REGOLE GENERALI
4.1.1 IL SISTEMA IN LINEA GENERALE
L’organizzazione di SOPAF in ambito informatico deve prevedere una serie di regole che garantiscano la stessa dal possibile compimento di uno dei reati sopra elencati.
L’utilizzo e la gestione di sistemi informatici e del Patrimonio Informativo sono, infatti, attività imprescindibili per l’espletamento del business aziendale e contraddistinguono la maggior parte dei processi della Società.
Tra i sistemi informativi utilizzati da SOPAF vi sono altresì hardware e software per l’espletamento di adempimenti verso la Pubblica Amministrazione che prevedano il ricorso a specifici programmi forniti dagli stessi Enti, ovvero la connessione diretta con gli stessi.
Si rendono quindi necessarie sia la predisposizione di norme e misure di sicurezza organizzative, comportamentali e tecnologiche sia la realizzazione di attività di controllo, peculiari del presidio a tutela di una gestione e di un utilizzo dei sistemi informatici in coerenza con la normativa vigente.
A tale proposito in termini generali è fatto pertanto divieto di porre in essere comportamenti, collaborare o darne causa alla realizzazione, che possano rientrare nelle fattispecie di reato considerate ai fini degli articoli 24-bis D.Lgs. 231/2001.
Sono altresì proibite le violazioni ai principi ed alle procedure aziendali in materia di comportamento e salvaguardia del patrimonio informatico.
Nell’ambito dei citati comportamenti è (coerentemente a quanto previsto anche nel Codice di Condotta) obbligo in particolare di:
operare nel rispetto delle leggi e delle normative nazionali ed internazionali vigenti;
operare nel rispetto delle regole della presente PARTE SPECIALE, del Codice di Condotta e delle norme interne aziendali, mantenendosi aggiornati sull’evoluzione normativa.5 PRINCIPI PROCEDURALI SPECIFICI
Tutti i DESTINATARI del presente MODELLO, nonchè quanti agiscano in nome e per conto della Società sono tenuti, a rispettare le seguenti regole specifiche di comportamento:
- utilizzare in modo corretto le risorse informatiche assegnate (es. personal computer fissi o portatili), servendosene esclusivamente per l’espletamento della propria attività. Tali risorse devono essere conservate in modo appropriato e la Società dovrà essere tempestivamente informata di eventuali furti o danneggiamenti;
- le Strutture coinvolte nei processi devono predisporre e mantenere il censimento degli applicativi che si interconnettono con la Pubblica Amministrazione o con le Autorità di Vigilanza e/o dei loro specifici software in uso;
- usare in modo corretto e per i fini ai quali sono state rilasciate, le passwords di accesso ai sistemi informatici aziendali, avendo cura di mantenerne la riservatezza;
- ricevere uno specifico incarico all’utilizzo dei processi informatici;
- ogni dipendente/amministratore del sistema è tenuto alla segnalazione all’Alta Direzione aziendale di eventuali incidenti di sicurezza (anche concernenti attacchi al sistema informatico da parte di hacker esterni) mettendo a disposizione e archiviando tutta la documentazione relativa all’incidente;
- qualora sia previsto il coinvolgimento di soggetti terzi/outsourcer nella gestione dei sistemi informatici nonché nell’interconnessione/utilizzo dei software della Pubblica Amministrazione o delle Autorità di Vigilanza, i contratti con tali soggetti devono contenere apposita dichiarazione di conoscenza della normativa di cui al D.Lgs. 231/2001 e di impegno al suo rispetto.
E’ assolutamente vietato:
- introdursi abusivamente in un sistema informatico o telematico protetto da misure di sicurezza contro la volontà del titolare del diritto all’accesso;
- accedere al sistema informatico o telematico, o a parti di esso, ovvero a banche dati della Società, o a parti di esse, non possedendo le credenziali d’accesso o mediante l’utilizzo delle credenziali di altri colleghi abilitati;
- intercettare fraudolentemente e/o diffondere, mediante qualsiasi mezzo di informazione al pubblico, comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi;
- utilizzare dispositivi tecnici o strumenti software non autorizzati (virus, worm, troian, spyware, dialer, keylogger, rootkit, ecc…) atti ad impedire o interrompere le comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi;
- introdurre o trasmettere dati, informazioni o programmi al fine di distruggere, danneggiare, rendere in tutto o in parte inservibili, ostacolare il funzionamento dei sistemi informatici o telematici di pubblica utilità;
- detenere, procurarsi, riprodurre, o diffondere abusivamente codici d’accesso o comunque mezzi idonei all’accesso di un sistema protetto da misure di sicurezza;
- procurare, riprodurre, diffondere, comunicare, mettere a disposizione di altri, apparecchiature, dispositivi o programmi al fine di danneggiare illecitamente un sistema o i dati e i programmi ad esso pertinenti ovvero favorirne l’interruzione o l’alterazione del suo funzionamento;
- alterare, mediante l’utilizzo di firma elettronica altrui o comunque in qualsiasi modo, documenti informatici;
- produrre e trasmettere documenti in formato elettronico con dati falsi o alterati.
I RESPONSABILE DI AREA/FUNZIONE hanno il compito di:
• effettuare una rivisitazione periodica dei diritti d'accesso degli utenti;
• monitorare che le abilitazioni degli utenti di strumenti informatici avvengano tramite la definizione di diversi “profili di accesso” in ragione delle funzioni svolte all’interno della Società e sollecitare l’Area IT, in caso di trasferimento o di modifica dell’attività dell’utente, affinchè proceda all’attribuzione allo stesso di un profilo abilitativo corrispondente al nuovo ruolo assegnato;
• Accertarsi che vengano attuati sistemi che consentano una segregazione degli accessi in funzione dei diversi compiti assegnati agli utenti e dei distinti ruoli e responsabilità nella gestione della sicurezza delle informazioni;
I RESPONSABILI DELLE AREE/FUNZIONI COINVOLTE NELLE ATTIVITÀ DI UTILIZZO O GESTIONE DEI SISTEMI INFORMATICI CHE SI INTERCONNETTONO CON LA PUBBLICA AMMINISTRAZIONE O CON LE
AUTORITÀ DI VIGILANZA devono:
• predisporre e mantenere il censimento degli applicativi e/o dei loro specifici software in uso;
• formalizzare uno specifico incarico ai soggetti coinvolti nell’utilizzo del software.
IL SISTEMA INFORMATICO deve garantire una corretta tracciabilità delle autorizzazioni ai profili degli accessi e della tracciabilità degli accessi e deve impedire accessi da parte di soggetti non autorizzati.
Deve altresì garantire una immodificabilità dei dati di natura permanente in esso contenuti e la chiusura di sessioni inattive, dopo un limitato periodo di tempo.
Le attività di implementazione e modifica dei software, gestione delle procedure informatiche, controllo degli accessi fisici, logici e della sicurezza del software dovranno organizzativamente essere demandate a strutture della Società differenti rispetto agli utenti delle stesse, a garanzia della corretta gestione e del presidio continuativo sulla gestione e utilizzo dei sistemi informativi.
LA SOCIETÀ deve inoltre dotarsi di specifici strumenti di sicurezza:
Con riferimento alla sicurezza fisica:
- protezione e controllo delle aree fisiche (perimetri/zone riservate) in modo da scongiurare accessi non autorizzati, alterazione o sottrazione dei documenti e/o strumenti informativi.
Con riferimento alla sicurezza logica:
- identificazione e autenticazione dei codici identificativi degli utenti;
- autorizzazione relativa agli accessi alle informazioni richiesti;
- previsione di tecniche crittografiche e di firma digitale per garantire la riservatezza, l’integrità e il non ripudio delle informazioni archiviate o trasmesse.
Con riferimento all’esercizio ed alla gestione di applicazioni, sistemi e reti:
- previsione di una separazione degli ambienti nei quali i sistemi e le applicazioni sono installati, gestiti e conservati in modo tale da garantire nel tempo la loro integrità e disponibilità;
- predisposizione e protezione della documentazione di sistema relativa alle configurazioni, personalizzazioni e procedure operative, funzionale ad un corretto e sicuro svolgimento delle attività;
- attuazione di interventi di rimozione di sistemi, applicazioni e reti individuati come obsoleti;
- pianificazione e gestione dei salvataggi di sistemi operativi, software, dati e delle configurazioni di sistema;
- formalizzazione di responsabilità, processi, strumenti e modalità per lo scambio delle informazioni tramite posta elettronica e siti web;
- adozione di opportune contromisure per rendere sicura la rete di telecomunicazione e gli apparati a supporto e garantire la corretta e sicura circolazione delle informazioni.
6 FLUSSI INFORMATIVI VERSO L’ORGANISMO DI VIGILANZA
Fermo restando il potere discrezionale dell’OdV di attivarsi con specifici controlli a seguito delle segnalazioni ricevute (si rinvia a quanto esplicitato nella Parte Generale del presente Modello), l’OdV effettua periodicamente controlli a campione sulle attività potenzialmente a rischio di delitti informatici diretti a verificare la corretta esplicazione delle stesse in relazione alle regole di cui al presente Modello e, in particolare, ai comportamenti previsti nella presente parte speciale.
Gli Organi di governo societario, i Responsabili di Area/Funzioni e più in generale tutti i dipendenti o collaboratori che vengano a conoscenza che, nello svolgimento della propria attività, sono stati compiuti atti od operazioni che possano generare uno dei sopra elencati reati informatici, provvedono a comunicare all’ORGANISMO di Vigilanza le seguenti informazioni minime:
- ogni nuova attività a rischio e/o ogni variazione alle attività a rischio esistenti;
- ogni deroga, violazione o sospetto di violazione di propria conoscenza rispetto alle modalità esecutive e/o comportamentali disciplinate dalla presente PARTE SPECIALE
- proposte di modifiche da apportare alle procedure/Parti Speciali di propria competenza a seguito delle anomalie e criticità riscontrate nel corso dei controlli effettuati