Policy per la sicurezza e la qualità delle informazioni
1. Introduzione
Oggi le informazioni rappresentano uno dei principali motori dell’economia e giocano un ruolo strategico nello sviluppo e nella gestione del business.
Tutti i dati posseduti da expert.ai, indipendentemente dalla forma in cui vengono elaborati, gestiti o archiviati, definiscono il “Patrimonio Informativo” dell’azienda, che rappresenta un elemento fondamentale per guidarne scelte e processi operativi. Per expert.ai si intende l’insieme delle società appartenenti al Gruppo (Italia, Francia, Germania, Spagna, USA, UK, Canada).
Nell’attuale contesto di mercato, dinamico e in rapida evoluzione, le tecnologie rendono più semplice e veloce la raccolta e l’elaborazione delle informazioni utili al raggiungimento degli obiettivi di business.
Le aziende, stimolate da una competitività sempre più incalzante, sono alla ricerca di nuove modalità di interazione con i clienti così come di soluzioni basate su tecnologie all’avanguardia e sullo sviluppo di canali innovativi, volti a supportare una quantità sempre più pervasiva di informazioni ad alto valore.
In questo contesto, le soluzioni adottate dalle organizzazioni stanno rapidamente e radicalmente evolvendo, determinando l’esposizione a nuovi scenari di rischio. Per scegliere e adattare efficaci misure di protezione e mitigazione del rischio, è quindi necessario monitorare l’innovazione in modo costante e tempestivo.
In questo modo, sarà possibile soddisfare la crescente domanda di sicurezza da parte dei clienti e proteggere valore e competitività aziendali.
Inoltre, protezione e gestione sicura delle informazioni sono regolate da normative nazionali e internazionali sempre più vincolanti e perciò richiedono, anche dal punto di vista organizzativo, comportamenti, sistemi di controllo e azioni specifiche.
La tutela del Patrimonio Informativo riveste quindi una valenza strategica e nasce dall’elaborazione di adeguati standard di riferimento che indirizzino i necessari interventi organizzativi, tecnologici e normativi.
Per expert.ai, lo sviluppo di software di intelligenza artificiale costituisce il core business. L’azienda, infatti, ha sviluppato nel tempo tecnologie e soluzioni all’avanguardia, basate sull’intelligenza artificiale per la comprensione del linguaggio naturale.
Per soddisfare un mercato sempre più attento, esigente e orientato a garantire che il servizio/prodotto finale possieda peculiarità che lo rendano facilmente fruibile da parte dei clienti nonché conforme alle normative e agli standard internazionali, expert.ai ha implementato un Sistema di Gestione della Qualità – Quality Management System (QMS).
Per definire e documentare formalmente il Quality Management System è necessario un approccio globale alla realtà aziendale, attuato attraverso diverse fasi di analisi e ottimizzazione di ogni fase e di ogni aspetto del servizio offerto. In questo contesto, è fondamentale il coinvolgimento del personale aziendale, a partire dal Top Management cui spetta determinare gli obiettivi strategici. In estrema sintesi, gli obiettivi del QMS possono essere riassunti nel perseguimento della soddisfazione del cliente attraverso la fornitura di un prodotto di qualità. La soddisfazione del cliente, infatti, è considerata un prerequisito imprescindibile per affermare e incrementare il successo dell’organizzazione.
Per la fornitura dei propri servizi/prodotti, expert.ai ha quindi seguito i principi indicati nella norma ISO 9001:2015, volti a garantire la Qualità della propria fornitura, perseguendo la soddisfazione del cliente e l’efficacia del proprio QMS.
Principi alla base del QMS:
Focus sul cliente: un’attenzione costantemente rivolta alla soddisfazione delle esigenze dei clienti.
Miglioramento continuo: un miglioramento dinamico e non discontinuo, ma per obiettivi “graduali”, in modo da verificare di volta in volta il raggiungimento di quanto prefissato, adottando di conseguenza nuove iniziative e fissando nuovi obiettivi.
Coinvolgimento di tutta l’organizzazione: tutte le risorse dell’azienda sono coinvolte e tutte le funzioni aziendali collaborano al raggiungimento degli obiettivi prefissati.
2. Motivazione
Expert.ai è un’azienda attiva in ambito Information Technology nel campo dell’elaborazione del linguaggio naturale.
Considerata la natura delle proprie attività, expert.ai considera la qualità e la sicurezza delle informazioni elementi fondamentali per garantire la protezione della propria infrastruttura tecnologica, del proprio patrimonio informativo e dei servizi offerti ai clienti. Inoltre, la gestione della qualità e della sicurezza delle informazioni costituisce un vantaggio competitivo nei processi di progettazione e sviluppo dei prodotti/servizi.
Expert.ai progetta e sviluppa tecnologie per trasformare il modo in cui le persone trovano, comprendono e utilizzano le informazioni: la sicurezza informatica è considerata un aspetto cruciale per garantire la Qualità dei propri prodotti.
La missione di expert.ai è sviluppare software di intelligenza artificiale per comprendere il linguaggio con la velocità e la precisione necessarie per discernere, gestire e utilizzare informazioni strategiche su larga scala. Il principale focus dell’azienda è quindi gestire in modo efficace tutti i processi legati alla gestione delle informazioni – e ciò non può prescindere da un’attenzione rigorosa a sicurezza e qualità.
Inoltre, uno degli obiettivi di expert.ai è consolidare la leadership nel mercato dell’intelligenza artificiale a livello internazionale; è pertanto fondamentale l’impegno per il miglioramento continuo dei propri processi, a livello sia organizzativo sia tecnico.
Su questi presupposti, expert.ai si impegna ad adottare le misure tecniche e organizzative necessarie per garantire l’integrità, la riservatezza e la disponibilità del proprio patrimonio informativo.
3. Finalità e impegno
Consapevole dell’importanza della reputazione aziendale e puntando al raggiungimento di obiettivi di qualità nella gestione dei processi e nell’erogazione dei servizi, expert.ai intende mantenere attivamente e migliorare continuamente un Sistema Integrato di Gestione della Qualità e della Sicurezza delle Informazioni (Integrated Quality and Information Security Management System – ISQMS) in conformità alle norme ISO 9001 e ISO/IEC 27001, unitamente all’obiettivo di gestire in modo efficiente ed efficace l’organizzazione e garantirne la continuità.
Per il perseguimento di queste finalità, expert.ai intende:
- valorizzare le competenze di tutti i membri dell’organizzazione e garantire formazione e sviluppo professionale costanti;
- provvedere alle risorse necessarie per il funzionamento e il mantenimento dell’ISQMS;
- favorire lo sviluppo tecnologico dell’intera organizzazione;
- garantire a clienti e stakeholder il rispetto della normativa privacy (Regolamento UE 2016/679 – GDPR, General Data Protection Regulation) nonché la riservatezza, l’integrità e la disponibilità delle informazioni;
- aumentare la cultura della Qualità e della Sicurezza delle Informazioni;
- motivare e responsabilizzare il personale affinché contribuisca al raggiungimento degli obiettivi aziendali;
- soddisfare i clienti per rafforzare il posizionamento dell’azienda nel mercato;
- garantire il rispetto dei tempi previsti per l’esecuzione dei progetti;
- coinvolgere fornitori strategici e in outsourcing nella fornitura di servizi di qualità e nel rispetto degli SLA (Service Level Agreement);
- minimizzare i rischi operativi e la possibilità di incorrere nei reati previsti dal D.Lgs. 231/2001;
- standardizzare i metodi operativi e implementare controlli per ridurre gli errori;
- impostare un ciclo di miglioramento continuo e ottimizzare i processi di implementazione per ridurre i tempi di consegna del servizio;
- comprendere, esaminare e valutare le esigenze e le aspettative di tutte le parti interessate.
Pertanto, al fine di perseguire i propri obiettivi, expert.ai si impegna a:
- sostenere, diffondere e illustrare la Policy per la Qualità e la Sicurezza delle Informazioni mettendo a disposizione del personale la documentazione e promuovendo azioni mirate di formazione e coinvolgimento;
- comunicare la Policy, ove opportuno, alle parti interessate;
- definire gli obiettivi per ciascun processo fornendo le competenze e le risorse per raggiungerli;
- riesaminare sistematicamente Policy e obiettivi dell’ISQMS e i rischi associati al loro raggiungimento.
4. Comunicazione sulla Qualità e sulla Sicurezza delle Informazioni
La qualità e la sicurezza delle informazioni, così come le modalità con cui le stesse sono garantite nell’ambito dei processi e dei servizi erogati, sono oggetto di specifiche comunicazioni da parte delle competenti funzioni aziendali ai soggetti coinvolti.
Tutti i dipendenti ricevono adeguati aggiornamenti sui processi di qualità e sicurezza delle informazioni nonché sulle misure attuate dall’organizzazione attraverso specifiche iniziative di formazione. Inoltre, tutta la documentazione aggiornata relativa all’ISQMS è resa disponibile in un’area dedicata del sito intranet aziendale.
Per quanto riguarda terzi (clienti e/o fornitori), le comunicazioni relative alla qualità e alla sicurezza delle informazioni sono regolate in conformità alle policy aziendali facenti parte dell’ISQMS e alle condizioni contrattuali.
La comunicazione e la diffusione di informazioni verso l’esterno sono ammesse da expert.ai esclusivamente per il corretto svolgimento delle proprie attività, che devono avvenire nel rispetto delle regole dettate dai modelli organizzativi aziendali e nel rispetto della normativa vigente.
Vengono infine mantenuti opportuni contatti con le Autorità preposte alla sicurezza dei dati e delle informazioni e con gli enti e le associazioni di riferimento in materia di Cybersecurity e Privacy, con l’obiettivo di fornire collaborazione in qualsiasi momento e aggiornare le proprie competenze in relazione ad ambiti di ricerca nel campo dell’intelligenza artificiale.
5. Ruoli e responsabilità
Il Sistema di Gestione della Qualità e della Sicurezza delle Informazioni di expert.ai prevede al proprio interno i seguenti ruoli e responsabilità:
Chief Information Security Officer (CISO): ha la responsabilità di stabilire e implementare la governance della sicurezza all’interno dell’organizzazione in base a rischi e obiettivi aziendali.
Chief Data Officer (CDO): è responsabile dello sviluppo e della gestione della strategia di gestione dei dati e delle informazioni dell’azienda. Rivede e aggiorna policy e procedure individuate dall’azienda in materia di privacy e sicurezza delle informazioni per garantire conformità, integrità, adeguatezza e allineamento con il modello aziendale.
Cyber Security Engineer: è responsabile della progettazione e implementazione di soluzioni di rete sicure per la difesa da hacker, attacchi informatici e altre minacce persistenti. È inoltre responsabile delle attività di testing e del monitoraggio dei sistemi aziendali, garantendo che tutte le misure di sicurezza siano aggiornate e funzionanti. Ha anche la responsabilità dell’esecuzione dei penetration test.
Cyber Security Specialist: è responsabile dell’indirizzo strategico e dell’implementazione delle misure di sicurezza dei sistemi aziendali per mitigare i rischi informatici e monitorare e analizzare gli eventi di sicurezza; ha inoltre la responsabilità della revisione delle modifiche risultanti dall’applicazione dell’ISQMS e del mantenimento delle metriche di valutazione di terze parti.
Amministratori IT & di Sistema: sono responsabili della definizione, implementazione e manutenzione tecnica dei dispositivi e delle tecnologie di sicurezza che compongono le reti e le risorse ICT dell’organizzazione che fanno parte del Sistema di Gestione della Sicurezza delle Informazioni.
Nella documentazione del Sistema di Gestione della Sicurezza delle Informazioni figura anche la “Direzione IT”, con cui si intendono i tecnici e gli Amministratori di Sistema incaricati e autorizzati che operano sui sistemi aziendali e assicurano la corretta gestione dei dispositivi e delle reti.
CISO, CDO, Cyber Security Specialist e Cyber Security Engineer costituiscono lo “Staff della Qualità e della Sicurezza delle Informazioni”, vale a dire l’organo consultivo e di controllo del Sistema di Gestione della Qualità e della Sicurezza delle Informazioni e che elabora e implementa policy e procedure, revisionandone e monitorandone l’attuazione.
Allo Staff Qualità e Sicurezza delle Informazioni è inoltre affidato il compito di promuovere la cultura della qualità e della sicurezza dei dati e delle informazioni all’interno dell’organizzazione, programmando specifici e periodici corsi di formazione sulla sicurezza per tutto il personale, collaborando con le competenti funzioni aziendali interne, in modo da rendere questi ultimi consapevoli dei rischi. Tale organismo ha inoltre il compito di adottare e osservare metodi e criteri di analisi e gestione dei rischi, nonché di suggerire misure organizzative, procedurali e tecniche di sicurezza a tutela della sicurezza e della continuità delle attività aziendali. Ha infine la responsabilità di verificare gli incidenti di sicurezza e di adottare contromisure adeguate.
Le competenze di tutti i suddetti organi sono state opportunamente valutate in relazione ai rispettivi ruoli. Il dipartimento HR tiene traccia delle competenze e della formazione delle risorse coinvolte nel sistema di gestione della qualità e della sicurezza delle informazioni.
6. Obiettivi strategici e di business
Gli obiettivi strategici e di business riguardanti l’azienda e il suo posizionamento sul mercato sono coerenti con gli obiettivi dell’ISQMS e con gli obiettivi per la qualità e la sicurezza delle informazioni. Questi vengono declinati sulla base di alcuni principi guida come segue:
Prima di tutto, l’ISQMS definisce un insieme di misure per consentire la declinazione strategica del principio “customer first” nel rispetto dei requisiti di sicurezza accettati a livello internazionale. Expert.ai, attraverso l’ISQMS, mira a proteggere nel miglior modo possibile il proprio patrimonio informativo e quello dei propri clienti.
In secondo luogo, expert.ai segue il principio “be process driven”, che consiste nella creazione di processi strutturati e misurabili per il raggiungimento dei risultati. Attraverso l’ISQMS, expert.ai mira quindi a preservare al meglio l’immagine dell’azienda come fornitore affidabile e competente, nel rispetto delle indicazioni delle normative vigenti e cogenti.
Inoltre, expert.ai si posiziona strategicamente nel mercato secondo il principio “focus on product”, che identifica l’obiettivo dell’azienda di offrire soluzioni innovative e competitive attraverso la fornitura dei propri prodotti, che devono essere sviluppati e adattati alle esigenze dei clienti nel rispetto delle politiche e delle procedure dell’ISMS in modo da garantire la sicurezza e l’efficienza dei processi nonché l’integrità, la disponibilità e la riservatezza delle informazioni.
Infine, il principio guida “empower your colleagues” viene attuato attraverso l’adozione di misure volte a garantire la lealtà e la professionalità del personale, aumentando anche il livello di consapevolezza e competenza sui temi della sicurezza.
Tutto ciò è coerente con gli obiettivi strategici e di mercato/business prefissati dall’organizzazione:
- espandere il proprio mercato, posizionandosi come azienda di riferimento a livello internazionale nello sviluppo dell’intelligenza artificiale;
- migliorare la gestione del ciclo di vita del prodotto;
- minori costi di servizio per essere più competitivi sul mercato;
- migliorare comunicazione e organizzazione interne in modo coerente per un’azienda innovativa e in crescita;
- promuovere progressivamente i propri prodotti sul mercato internazionale, aumentando gli investimenti in ricerca & sviluppo e in marketing per essere sempre più competitivi.
È responsabilità dello Staff Qualità e Sicurezza delle Informazioni monitorare la corretta attuazione degli obiettivi di qualità e sicurezza delle informazioni. Gli obiettivi di qualità e sicurezza delle informazioni vengono verificati periodicamente con cadenza quadrimestrale e rientrano nella documentazione da analizzare in sede di Riesame della Direzione.
Gli obiettivi per la sicurezza delle informazioni sono i seguenti:
- promuovere la diffusione della sicurezza e della protezione dei dati e delle informazioni – in particolare in termini di riservatezza, integrità e disponibilità dei dati e delle informazioni – tra i propri dipendenti, collaboratori, partner e terzi in relazione a ruoli e responsabilità in tale ambito;
- formare il personale allo svolgimento delle attività a tutela dei beni aziendali e delle informazioni trattate secondo il Sistema di Gestione della Sicurezza delle Informazioni;
- proteggere il patrimonio aziendale e il patrimonio informativo gestito;
- proteggere dati e informazioni da accessi non autorizzati;
- tutelare l’immagine della Società;
- rispettare l’etica sul posto di lavoro, tra colleghi e nei confronti di terzi;
- affrontare con rapidità, efficacia e scrupolosità le emergenze o gli incidenti che dovessero verificarsi nell’attività, anche collaborando con terzi o enti preposti;
- rispettare leggi e regolamenti applicabili, e aderire in ogni caso agli standard individuati con senso di responsabilità e consapevolezza basati sulla valutazione del rischio;
- verificare e monitorare la continuità della sicurezza informatica per i servizi critici anche a seguito di incidenti rilevanti che potrebbero potenzialmente compromettere la sopravvivenza dell’azienda stessa;
- monitorare, rivedere e migliorare il sistema di gestione della sicurezza delle informazioni.
Gli obiettivi per la qualità, invece, sono finalizzati al perseguimento della soddisfazione, fiducia e lealtà del cliente, poiché guidano l’organizzazione nello sviluppo, nell’attuazione e nel miglioramento del proprio sistema di gestione della qualità.
Gli obiettivi specifici per la qualità delle informazioni sono i seguenti:
- continuo miglioramento di tutti i processi aziendali, coinvolgendo tutti i dipendenti;
- fornire prodotti e servizi di qualità che soddisfino le esigenze e le aspettative iniziali e successive dei clienti e di altri terzi;
- rispettare gli adempimenti previsti sia dalle leggi applicabili sia dagli impegni contrattuali;
- rispettare norme e regolamenti interni per la sicurezza dei lavoratori sui luoghi di lavoro;
- disporre di tutte le risorse necessarie, sia in termini di personale qualificato sia di attrezzature adeguate;
- garantire lo sviluppo dell’azienda attraverso il miglioramento continuo della propria tecnologia semantica per entrare in nuovi segmenti di mercato;
- corsi di formazione e aggiornamento per ciascun dipendente, nell’ambito delle proprie mansioni;
- un sistema di controllo adeguato per misurare le attività, risolvere i problemi e fornire al Management elementi idonei a effettuare riesami e accertare che la Policy per la Qualità sia sempre adeguata e coerente con la missione aziendale.
7. Gestione delle risorse per la sicurezza delle informazioni
Il Top Management è consapevole dell’importanza della sicurezza delle informazioni in termini di disponibilità, integrità e riservatezza e del fatto che le sole componenti tecnologiche non possono garantire la sicurezza. Il fattore umano, infatti, risulta preponderante ai fini di una corretta e, soprattutto, sicura gestione delle risorse aziendali e delle informazioni trattate.
Il Top Management riconosce l’opportunità che Policy e Procedure in materia di sicurezza delle informazioni siano implementate e rese operative in modo tale da porre in essere gli obiettivi pianificati, che sono, in particolare:
- proteggere i beni e le informazioni aziendali;
- proteggere dati e informazioni da accessi non autorizzati;
- tutelare l’immagine della Società;
- rispettare l’etica sul lavoro tra colleghi e nei confronti di terzi;
- rispettare le normative vigenti.
Salvo eccezioni, che saranno valutate e approvate dallo Staff Qualità e Sicurezza delle Informazioni, è quindi di norma vietato:
- l’utilizzo di dispositivi personali in azienda;
- l’utilizzo dei dispositivi aziendali per scopi privati;
- la conservazione dei dati personali e di quant’altro non strettamente legato all’attività lavorativa;
- il trattamento dei dati al di fuori degli applicativi/database messi a disposizione dall’azienda (copia/gestione dei dati in locale su dispositivi personali, ecc.).
Per fini di sicurezza e manutenzione, il personale autorizzato di expert.ai può monitorare dispositivi, sistemi e traffico di rete in qualsiasi momento come descritto e disciplinato dalla legge applicabile.
In aggiunta a quanto sopra, il Top Management stabilisce che:
- tutti gli utenti devono mantenere sicure le proprie credenziali e non condividere i propri account. Gli utenti sono responsabili delle proprie password e dei propri account;
- tutti gli asset devono essere protetti con screensaver protetti da password, attivati automaticamente o disconnessi in caso di allontanamento dalla postazione;
- gli utenti devono prestare la massima attenzione quando aprono allegati a messaggi di posta elettronica ricevuti da mittenti sconosciuti, che potrebbero contenere virus, worm o malware in generale, e segnalare tempestivamente all’IT messaggi di spam o altre attività sospette.
In particolare, il Top Management considera assolutamente inaccettabile, senza eccezioni, porre in essere una o più delle seguenti attività:
- qualsiasi violazione dei diritti di persone o aziende protette da copyright, segreto commerciale, brevetto o altra proprietà intellettuale;
- esportare software, informazioni tecniche, software o tecnologia di crittografia in violazione delle leggi internazionali o nazionali;
- l’introduzione di programmi dannosi (malware) nella rete o nei server;
- rivelare la propria password ad altri o consentire ad altri di utilizzare il proprio account;
- utilizzare una risorsa expert.ai per ottenere o trasmettere materiale che viola leggi nazionali o internazionali (ad esempio materiale pornografico);
- compromettere la sicurezza della rete o interrompere le comunicazioni di rete;
- sono espressamente vietati port scanning e analisi di sicurezza;
- eseguire qualsiasi tipo di monitoraggio della rete volto a intercettare dati non indirizzati all’host dell’utente, a meno che tali attività non rientrino nella normale attività lavorativa dell’utente;
- eludere l’autenticazione dell’utente o la sicurezza di qualsiasi host, rete o account;
- utilizzare qualsiasi programma/script/comando o invio di messaggi di qualsiasi tipo con lo scopo di interferire o disabilitare le funzioni proprie o di un altro utente;
- fornire informazioni su dipendenti, collaboratori, stagisti, consulenti, aziende e, in generale, tutti i soggetti che hanno contatti diretti o indiretti con expert.ai;
- usare la casella di posta elettronica aziendale per motivi diversi da quelli strettamente legati alle attività lavorative;
- navigare in Internet per motivi diversi da quelli lavorativi e in nessun modo per scopi individuali.