EGEROBOT | Software Industriale e Soluzioni di Automazione

Scopo

EGEROBOT considera le informazioni aziendali come un asset estremamente prezioso. Le informazioni sono di importanza critica per la sostenibilità delle nostre attività commerciali e devono essere protette adeguatamente.

EGEROBOT mira a minimizzare i rischi che possono sorgere in termini di Riservatezza, Integrità e Disponibilità delle informazioni aziendali e gli effetti di questi rischi implementando lo standard ISO 27001:2022 nell'ambito del Sistema di Gestione della Sicurezza delle Informazioni (ISMS).

Il nostro obiettivo primario è garantire la fiducia delle organizzazioni e istituzioni che serviamo e assicurare la sicurezza degli asset informativi che utilizziamo. In questo contesto, le nostre relazioni con clienti, stakeholder, istituzioni ufficiali e fornitori con cui collaboriamo sono estremamente preziose.

Ambito

Il Sistema di Gestione della Sicurezza delle Informazioni EGEROBOT copre l'intera organizzazione, i partner commerciali, i fornitori e le relazioni con i clienti. Questa politica si applica a tutte le attività di elaborazione delle informazioni, inclusi ambienti fisici, sistemi digitali, infrastrutture cloud e ambienti di lavoro remoto.

Impegni

Come EGEROBOT e i nostri dipendenti, al fine di eliminare e gestire tutti i tipi di rischi per la nostra continuità aziendale, asset informativi e dati personali;

1Documentare, certificare e migliorare continuamente il nostro sistema di gestione della sicurezza delle informazioni per soddisfare i requisiti dello standard ISO 27001:2022
2Garantire la riservatezza, l'integrità e l'accessibilità delle informazioni appartenenti a clienti, partner commerciali, stakeholder, fornitori o altre terze parti
3Garantire la conformità a tutte le normative legali e ai contratti relativi alla sicurezza delle informazioni
4Condurre formazione per sviluppare competenze tecniche e comportamentali al fine di aumentare la consapevolezza sulla sicurezza delle informazioni
5Proteggere la riservatezza di dati critici come obiettivi strategici, fonti di approvvigionamento, informazioni su clienti, stakeholder, partner commerciali e dipendenti e dati personali relativi ai nostri servizi
6Creare ambienti fisici ed elettronici appropriati per la sicurezza degli asset informativi, garantire la continuità e il controllo della riservatezza, integrità e accessibilità degli asset informativi
7Fornire i piani necessari e l'infrastruttura tecnica per la garanzia di continuità dei nostri servizi di tecnologia dell'informazione
8Rilevare tempestivamente situazioni contrarie alla sicurezza delle informazioni e rispondere immediatamente
9Adottare le misure specificate nella Legge sulla Protezione dei Dati Personali n. 6698 e lavorare in piena conformità con la Politica di Protezione dei Dati Personali
10Proteggere tutti i dati personali e gli asset informativi di proprietà di EGEROBOT, garantire le condizioni di sicurezza delle informazioni nel quadro di standard nazionali-internazionali, leggi e regolamenti, migliorare, sviluppare e rivedere continuamente la sicurezza delle informazioni gestendo i rischi esistenti e potenziali

ci impegniamo.

Quadro Normativo e Standard

Questa politica è stata preparata in conformità con le seguenti normative nazionali e internazionali:

Standard Internazionali

ISO/IEC 27001:2022– Sistema di Gestione della Sicurezza delle Informazioni

ISO/IEC 27002:2022– Controlli di Sicurezza delle Informazioni

ISO/IEC 27701:2019– Gestione delle Informazioni sulla Privacy

ISO 22301:2019– Sistema di Gestione della Continuità Operativa

Regolamenti dell'Unione Europea

GDPR– Regolamento Generale sulla Protezione dei Dati – UE 2016/679

Direttiva NIS2– Sicurezza delle Reti e dei Sistemi Informativi

Legislazione Turca

Legge n. 6698 KVKK– Legge sulla Protezione dei Dati Personali

Legge n. 5651– Regolamentazione delle Pubblicazioni Internet

Legge n. 5237 CPT– Crimini Informatici (Articoli 243-246)

Legge n. 6102 CCT– Libri Commerciali e Obblighi di Conservazione dei Documenti

Principi Fondamentali

La politica di sicurezza delle informazioni di EGEROBOT si basa sui seguenti principi:

Riservatezza

Le informazioni sono protette contro l'accesso non autorizzato
Non possono essere divulgate a persone non autorizzate intenzionalmente o per negligenza
Vengono applicati la classificazione dei dati e il controllo degli accessi

Integrità

L'accuratezza e la coerenza delle informazioni sono garantite
Vengono applicati meccanismi di protezione contro modifiche non autorizzate
Vengono mantenuti registri e tracce di audit

Disponibilità

L'accesso tempestivo alle informazioni da parte degli utenti autorizzati è garantito
Vengono adottate precauzioni contro le interruzioni di sistema
Vengono implementati piani di continuità operativa

Security by Design

I sistemi vengono sviluppati con un focus sulla sicurezza fin dalla fase di progettazione
Viene adottato il principio Privacy by Design

Categorie di Minacce Moderne e Misure

Ransomware

Strategie di backup regolari e isolate
Crittografia dei dati contro attacchi di doppia estorsione
Sistemi di rilevamento e risposta degli endpoint (EDR)

Ingegneria Sociale e Phishing

Formazione sulla consapevolezza dei dipendenti
Protocolli di verifica contro minacce deepfake supportate dall'IA
Filtri di sicurezza email e configurazione SPF/DKIM/DMARC

Minacce Persistenti Avanzate (APT)

Rilevamento delle minacce basato sul comportamento
Segmentazione della rete
Architettura Zero Trust

Attacchi alla Catena di Approvvigionamento

Valutazione del rischio di terze parti
Analisi dei componenti software (SBOM)
Audit di sicurezza dei fornitori

Sicurezza IoT e OT

Isolamento dei sistemi di controllo industriale
Inventario dei dispositivi IoT e aggiornamenti di sicurezza
Monitoraggio del traffico di rete

Politica di Sicurezza Cloud

Principi Generali

Le certificazioni di sicurezza dei fornitori di servizi cloud vengono verificate
Viene applicata l'architettura Zero Trust
I dati vengono crittografati in transito e a riposo

Controllo degli Accessi

L'autenticazione a più fattori (MFA) è obbligatoria
Viene applicato il principio del privilegio minimo
Viene utilizzato il controllo degli accessi basato sui ruoli (RBAC)

Sicurezza della Configurazione

Vengono utilizzati strumenti di Cloud Security Posture Management (CSPM)
Vengono eseguiti audit di configurazione regolari
Viene garantita la sicurezza delle API

Politica di Sicurezza per il Lavoro Remoto

Sicurezza della Rete

L'uso della VPN è obbligatorio
Si raccomanda una configurazione sicura della rete domestica
I dati sensibili non vengono elaborati su reti Wi-Fi pubbliche

Sicurezza dei Dispositivi

I dispositivi che accedono ai dati aziendali sono crittografati
Antivirus aggiornato e patch di sicurezza sono obbligatori
Viene applicata la gestione dei dispositivi mobili (MDM)

Protezione dei Dati

I dati sensibili non vengono memorizzati sui dispositivi locali
Viene utilizzata la condivisione di file basata su cloud
Vengono applicate regole per la condivisione e la visualizzazione dello schermo

Sicurezza di Terze Parti e Fornitori

Valutazione

Vengono condotte valutazioni di sicurezza dei fornitori
È richiesta la certificazione ISO 27001 o equivalente
Vengono eseguiti audit di sicurezza regolari

Requisiti Contrattuali

Vengono firmati accordi di non divulgazione (NDA)
Vengono stipulati accordi di elaborazione dei dati (DPA)
Vengono definiti gli obblighi di notifica delle violazioni di sicurezza

Risposta agli Incidenti e Gestione delle Violazioni

Piano di Risposta agli Incidenti

Procedure di rilevamento, classificazione ed escalation degli incidenti
Monitoraggio della sicurezza 24/7
Team di risposta agli incidenti (CSIRT) definito

Notifica di Violazione dei Dati

• KVKK: Notifica all'Autorità per la Protezione dei Dati Personali 'il prima possibile'
• GDPR: Notifica all'autorità di controllo competente entro 72 ore
• Le persone interessate vengono informate

Post-Incidente

Viene eseguita l'analisi delle cause profonde
Vengono implementate misure di miglioramento
Le lezioni apprese vengono documentate

Continuità Operativa e Disaster Recovery

Piano di Continuità Operativa (BCP)

I processi aziendali critici vengono identificati
Vengono definiti gli obiettivi di tempo di ripristino (RTO) e punto di ripristino (RPO)
Vengono pianificati siti di lavoro alternativi

Disaster Recovery (DR)

Procedure regolari di backup e test
Backup geograficamente distribuito
Esercitazioni annuali di disaster recovery

Asset Protetti

Informazioni identificative e dati personali

Informazioni su clienti e partner commerciali

Pacchetti software e codici sorgente

Server e infrastruttura di rete

Risorse cloud e database

Diritti di proprietà intellettuale

Segreti commerciali e informazioni commerciali

Politiche di Supporto

Politica Scrivania Pulita e Schermo Pulito

Politica di Utilizzo della Posta Elettronica

Politica di Controllo degli Accessi

Politica dei Controlli Crittografici

Politica di Gestione delle Password

Politica di Utilizzo dei Dispositivi Mobili (BYOD)

Politica di Utilizzo dei Social Media

Politica di Classificazione dei Dati

Politica di Backup e Ripristino

Politica di Gestione delle Modifiche

Obiettivi

1Identificare il valore degli asset informativi attraverso un'appropriata valutazione dei rischi
2Comprendere le vulnerabilità e le potenziali minacce
3Ridurre i rischi a livelli accettabili
4Conformarsi alla legislazione nazionale (KVKK, 5651, CCT)
5Garantire la conformità alle normative internazionali (GDPR, ISO 27001:2022)
6Conformarsi ai termini contrattuali dei clienti
7Conformarsi alle procedure e istruzioni di controllo
8Aumentare continuamente il livello di maturità della sicurezza informatica

Formazione e Consapevolezza

La formazione annuale sulla sicurezza delle informazioni viene fornita a tutti i dipendenti
La formazione di orientamento è obbligatoria per i nuovi assunti
Vengono condotte simulazioni di phishing e test di consapevolezza
Viene organizzata formazione specializzata sulla sicurezza basata sui ruoli
I registri di formazione vengono documentati

Responsabilità

Alta Direzione

Approva e supporta questa politica
Fornisce le risorse necessarie
Partecipa alle riunioni di revisione annuali

Chief Information Security Officer (CISO)

Coordina l'implementazione della politica
Gestisce gli incidenti di sicurezza
Conduce valutazioni dei rischi
Riferisce alla direzione

Responsabili di Unità

Garantisce l'implementazione della politica nelle proprie unità
Segnala le vulnerabilità di sicurezza
Supporta la consapevolezza dei dipendenti

Tutto il Personale

Si conforma alla politica di sicurezza delle informazioni
Segnala gli incidenti di sicurezza
Partecipa alla formazione
Segnala situazioni sospette

Sanzioni

Qualsiasi atto intenzionale o negligente che metta a rischio la sicurezza delle informazioni appartenenti a EGEROBOT, ai suoi clienti o fornitori:

Azione disciplinare
Risoluzione del rapporto di lavoro
Procedimenti legali (Legge n. 5237 CPT - Crimini Informatici)
Richieste di risarcimento

è soggetto a.

Miglioramento Continuo (Ciclo PDCA)

EGEROBOT applica il ciclo Plan-Do-Check-Act (PDCA) per migliorare continuamente il sistema di gestione della sicurezza delle informazioni:

Plan (Pianificare)

Valutazione dei rischi e determinazione degli obiettivi di sicurezza
Creazione di politiche e procedure
Pianificazione delle risorse

Do (Fare)

Implementazione dei controlli
Erogazione della formazione
Documentazione

Check (Controllare)

Audit interni
Misurazione delle prestazioni
Analisi degli incidenti e valutazione delle tendenze

Act (Agire)

Azioni correttive
Misure preventive
Raccomandazioni per il miglioramento continuo

Revisione

Questa politica:

Viene rivista almeno una volta all'anno
Viene revisionata per cambiamenti significativi, incidenti di sicurezza o aggiornamenti normativi
Viene valutata nelle riunioni di Riesame della Direzione (RD)

Contatti

Contattaci per domande sulla sicurezza delle informazioni o per segnalare incidenti.

Pagina Contatti

Questo documento fa parte del Sistema di Gestione della Sicurezza delle Informazioni EGEROBOT.

Sicurezza delle Informazioni Politica