84 Bilancio di Sostenibilità / 2024 / Sicurezza dei dati Tutti i processi produttivi – inclusi analisi, sviluppo, testing, manutenzione del software, collaudo – così come le attività di assistenza quali il monitoraggio e il tracciamento delle richieste e della loro evoluzione, sono eseguiti in conformità al Manuale del Sistema di Gestione Integrato, in linea con le certificazioni ISO 9001 e ISO/IEC 27001, e con estensione alle linee guida ISO/IEC 27018, ISO/IEC 27017, ISO/IEC 27035, ISO/IEC 27701. Nel corso del 2024, INAZ ha compiuto significativi investimenti per migliorare ulteriormente il livello di protezione dei dati. Come prima cosa, è stato avviato un programma di formazione sulla protezione dei dati con l’obiettivo di sviluppare maggiore consapevolezza rispetto ai rischi derivanti da phishing e smishing. Sono stati condotti due test di phishing su un campione selezionato di collaboratori con risultati che hanno evidenziato un rischio residuo basso. Per il 2025 sono già pianificate almeno altre due campagne formative. Per incrementare la sicurezza degli accessi alle soluzioni INAZ, sono state implementate politiche di Multifactor Authentication (MFA), avvalendosi di uno dei maggiori player nel settore Identity & Access Management (IAM) a livello nazionale ed europeo. L’applicazione prevede funzionalità di tipo amministrativo, tali da consentire una profilazione centralizzata e granulare degli utenti. Inoltre, è stato adottato un meccanismo di autenticazione a due fattori (2FA) tramite un Identity Provider esterno per rendere sicuro l’accesso agli ambienti di produzione relativi ai servizi Paghe e PagheINweb. Questa piattaforma consente una distribuzione capillare dell’autenticazione 2FA con un effort operativo minimo e sarà progressivamente estesa a tutte le piattaforme web aziendali. Nel 2025 è prevista anche la migrazione in cloud del servizio antispam, al fine di potenziare la sicurezza della posta elettronica e garantire una maggiore scalabilità e resilienza del servizio. . Violazione dei dati Nel corso del 2024 non si sono verificate violazioni significative dei dati personali o aziendali. Ciononostante, INAZ ha ulteriormente rafforzato il proprio presidio attraverso misure preventive avanzate e l’introduzione di strumenti di monitoraggio proattivo. L’adozione di un sistema centralizzato di audit trail ha permesso di estendere gli audit di sicurezza a tutti i domini aziendali e di rafforzare il presidio del monitoraggio. Tutte le operazioni di accesso ai sistemi sono oggi registrate e sono state potenziate le politiche di separation of duty. È stata inoltre definita una policy più stringente per la gestione dei log amministrativi raccolti dal sistema di audit trail, assicurandone una gestione sicura: gli amministratori di sistema non hanno più accesso diretto ai log, garantendo così l’immutabilità e l’integrità delle informazioni, prevenendo qualsiasi forma di manomissione. Sempre nel 2024, è stato introdotto un processo automatizzato di analisi delle vulnerabilità sulla rete e sulle appliance in house. A tal fine, è stata estesa una delle piattaforme già in uso con un modulo add-on che permette di eseguire Vulnerability Assessment sistemistici: una sonda attiva sulla rete è in grado di intercettare sistemi operativi obsoleti o non aggiornati e di verificare lo stato di firmware delle appliance in esercizio, identificandone potenziali vulnerabilità. Le segnalazioni di incidenti di sicurezza e di eventuale violazione dei dati personali, evidenziate da tutti i dipendenti INAZ, sono fondamentali per un miglioramento della sicurezza aziendale e della conformità al Regolamento in materia di Privacy (GDPR). Nel 2024 non sono stati registrati reclami fondanti relativi a violazioni della privacy o alla perdita di dati dei clienti.
RkJQdWJsaXNoZXIy NDIwMTg=