Politica di sicurezza informatica - Borsa&Finanza

Politica di sicurezza informatica

1. Panoramica

La maggior parte dei vettori di attacchi informatici al di fuori dei malware è rappresentata dalle vulnerabilità delle applicazioni web. Prima della pubblicazione di qualsiasi applicazione web, è fondamentale accedere alle vulnerabilità ed effettuare correzioni su di esse.

Scopo

Lo scopo principale di questa politica di sicurezza informatica (di seguito la “Politica”) è quello di definire la valutazione della sicurezza dei siti web di ELP Finance LTD e/o di ELP SA (di seguito la “Società”). Queste valutazioni sono fatte periodicamente per identificare qualsiasi violazione della sicurezza realizzata o potenziale a causa di una cattiva configurazione, gestione impropria o insufficiente degli errori, autenticazione debole, fuga di informazioni, ecc. La scoperta e la successiva mitigazione delle vulnerabilità sull’applicazione web della Società limiterà la superficie degli attaccanti su entrambi i servizi interni ed esterni disponibili insieme ad essere conformi alle politiche pertinenti esistenti.

2. Ambito di applicazione

Questa politica copre tutte le valutazioni di sicurezza del sito web fatte o richieste da individuo, contattore, gruppo o dipartimento allo scopo di mantenere la conformità della sicurezza, la postura, il cambiamento delle tecnologie di controllo e la gestione del rischio nel sito web della Società. I risultati di questo processo sono considerati confidenziali e devono essere distribuiti a tutti gli utenti e dipendenti su una base “need-to-know”. A meno che con l’approvazione del Chief Information Officer, investito nella persona del Sig. Enrico Lanati, la distribuzione di questi risultati al di fuori della Società è strettamente vietata e illegale. Salvo esplicita limitazione, qualsiasi relazione con applicazioni a più livelli notata durante la fase di scoping sarà inclusa nella valutazione. Tutte le limitazioni e le successive giustificazioni saranno documentate prima dell’inizio della valutazione. Sarà responsabilità di ogni dipendente dell’azienda leggere attentamente, comprendere e rispettare questa politica. Ogni dipendente con accesso a informazioni non pubbliche riceverà la formazione necessaria su questa politica.

3. Cosa sta proteggendo l’azienda

È obbligo di tutti gli utenti dei sistemi dell’azienda proteggere il patrimonio tecnologico e informativo dell’azienda. Queste informazioni devono essere protette da accesso non autorizzato, furto e distruzione. Il patrimonio tecnologico e informativo dell’azienda è costituito dai seguenti componenti:

  • Hardware del computer, CPU, disco, Email, web, server applicativi, sistemi PC, software applicativo, software di sistema, ecc.
  • Software di sistema che comprende: sistemi operativi, sistemi di gestione di database e software di backup e ripristino, protocolli di comunicazione e così via.
  • Software applicativo: utilizzato dai vari dipartimenti all’interno dell’azienda. Questo include applicazioni software scritte su misura e pacchetti software commerciali off the shelf.
  • Hardware e software della rete di comunicazione, inclusi: router, tabelle di routing, hub, modem, multiplexer, switch, firewall, linee private e software e strumenti associati per la gestione della rete.

Per una copia completa della politica e del manuale di sicurezza informatica, contattare info@borsaefinanza.it

 

Ultimo aggiornamento: Settembre 2022