CYBER SECURITY POLICY

La nostra politica aziendale sulla sicurezza informatica delinea le nostre linee guida e disposizioni per preservare la sicurezza dei nostri dati e della nostra infrastruttura tecnologica.

Errori umani, attacchi di hacker e malfunzionamenti del sistema potrebbero causare ingenti danni all’ azienda. Per questo motivo abbiamo implementato una policy aziendale che riducesse al mimino questi rischi. Questa operazione è stata svolta in occasione dell’adeguamento al regolamento GDPR, per poi essere ulteriormente migliorata nell’ adeguamento alla nuova direttiva europea NIS-2. Il tutto è stato documentato e condiviso con i dipendenti e con le aziende o gli enti esterni laddove richiesto. Inoltre è stata pubblicata sul nostro sito web sia la policy GDPR che la policy cybersecurity.

L’obbiettivo è quello di rendere l’infrastruttura digitale dell’aerostazione stabile e sicura, riducendo al minimo le superfici di attacco. Per fare ciò abbiamo implemento molti servizi di sicurezza forniti da un vendor riconosciuto a livello internazionale, che ci fornisce un’analisi approfondita di tutto il traffico di rete in tempo reale. Internamente abbiamo aggiornato quasi ogni asset hardware e software, oltre ad ottimizzare la configurazione della rete per ridurre al minimo gli effetti di un eventuale attacco. Anche in quest’ultimo caso è stato adottata una strategia di backup che permette di fatto il ripristino totale in qualsiasi situazione si possa verificare. Inoltre abbiamo definito delle istruzioni operative per i dipendenti per aiutare a mitigare i rischi e tutto il personale ha seguito dei corsi sulla cybersecurity.

Questa politica si applica a tutti i nostri dipendenti, fornitori e chiunque abbia accesso permanente o temporaneo ai nostri sistemi hardware e software.

Per tutti coloro che per lo svolgimento dell’attività, debbano accedere alla nostra infrastruttura, è stato definito e fatto accettare un atto di nomina a responsabile del trattamento dei dati personali.

Nella documentazione prima citata, vengono definiti i principali criteri per:

  • Il trattamento dei dati personali
  • Il trattamento dei dati aziendali
  • L’utilizzo dei dispositivi assegnati, quali pc desktop, laptop e smartphone
  • L’utilizzo della rete aziendale
  • La gestione delle credenziali di accesso ai vari ambienti
  • La gestione della posta elettronica
  • La gestione di situazioni legate a malware o a tentativi di truffa

Nella stessa vengono inoltre specificati gli strumenti e le configurazioni adottate per la sicurezza, sia a livello di network che di backup. In particolare nell’analisi dei rischi, è emerso un rischio medio basso che, in relazione alla nostra realtà, reputiamo accettabile. Ciò nonostante abbiamo programmato nei prossimi anni gli interventi necessari a mitigare le criticità emerse, con l’obbiettivo di raggiungere un rischio basso. Inoltre stiamo pianificando una formazione più specifica sulla nostra realtà per tutti i dipendenti.