Per potenziare le nostre capacità e migliorare la qualità dei nostri servizi, ci siamo impegnati fermamente nella protezione della riservatezza, integrità e disponibilità delle informazioni che gestiamo. Per questo motivo abbiamo ottenuto la Certificazione ISO 27001, consapevoli dell’importanza di mantenere un sistema di gestione della sicurezza delle informazioni conforme agli standard internazionali.
NEW LEGAL COUNSEL S.L.U., (di seguito, NLC o lo Studio) stabilisce uno schema ampio per la protezione delle informazioni all’interno dell’organizzazione. La sicurezza delle informazioni è essenziale per mantenere la riservatezza, l’integrità e la disponibilità dei dati, garantendo la fiducia dei nostri clienti, la conformità alle leggi applicabili e la protezione delle risorse informative che gestiamo nella nostra pratica quotidiana.
NLC riconosce che le informazioni e i processi che le gestiscono sono essenziali per proteggere i dati con cui lavora. L’azione e la consapevolezza delle persone che fanno parte dell’organizzazione sono fondamentali in questo aspetto. Pertanto, queste politiche si concentrano sullo stabilire principi chiari, responsabilità definite e misure specifiche che devono essere adottate da tutti i collaboratori e terze parti.
Obiettivo e missione
Definire le norme e le pratiche accettabili per l’uso delle tecnologie dell’informazione e delle comunicazioni all’interno dello Studio.
Proteggere le informazioni riservate dei nostri clienti, evitando fughe di dati e accessi non autorizzati.
Garantire l’integrità dei dati, assicurando che l’informazione sia accurata e affidabile.
Mantenere la disponibilità delle informazioni, assicurando che i dati e i sistemi siano accessibili a chi ne ha bisogno nel momento opportuno.
Rispettare la normativa applicabile in materia di protezione dei dati e sicurezza delle informazioni.
Promuovere una cultura della sicurezza tra i membri dello Studio, attraverso la sensibilizzazione e la formazione continua sulle buone pratiche di sicurezza.
Stabilire misure di miglioramento continuo e aggiornare secondo necessità per riflettere i cambiamenti nel panorama delle minacce, l’evoluzione tecnologica e le esigenze dello Studio, allineandosi alle migliori pratiche e agli standard internazionali, come quelli stabiliti nella ISO 27001:2022.
Ambito di applicazione
Queste linee guida sono obbligatorie per tutti i dipendenti, collaboratori, fornitori e qualsiasi terza parte legata a NLC che abbia accesso ai sistemi informativi e ai dati dello Studio. Tali politiche si applicano a tutti i dispositivi, sistemi e reti di proprietà dello Studio o utilizzati per le sue attività, inclusi i dispositivi personali (BYOD). Inoltre, verrà fornita una Dichiarazione di Conformità (Allegato 1: Foglio di Dichiarazione), che dovrà essere firmata, riconoscendo le norme contenute nel presente documento.
Responsabilità e impegno
La sicurezza delle informazioni è una responsabilità condivisa da tutte le persone legate a NLC. L’attuazione della Politica di Sicurezza richiede che tutti i membri e i collaboratori dello Studio comprendano i propri obblighi e responsabilità in base alle proprie funzioni. Nello specifico:
L’Alta Direzione è responsabile di garantire le risorse e il supporto necessari per l’adempimento di questa politica.
Ogni utente è responsabile della protezione della riservatezza, integrità e disponibilità delle informazioni a cui ha accesso.
Il Comitato SGSI è responsabile di effettuare le revisioni annuali del Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Tali revisioni comprendono la pianificazione, l’attuazione, la manutenzione e il miglioramento del SGSI.
Riceveranno una formazione regolare sul corretto utilizzo di queste politiche e sulle conseguenze di attività illegali o inappropriate.
Saranno fornite risorse e guide per aiutare tutti i dipendenti e/o collaboratori a comprendere e rispettare queste politiche.
Dovranno segnalare immediatamente qualsiasi incidente di sicurezza, uso improprio o accesso non autorizzato alle risorse tecnologiche e informative.
Dovranno conoscere e rispettare tutte le politiche di sicurezza delle informazioni e di protezione dei dati del presente documento. Al fine di risolvere eventuali conflitti, è di fondamentale importanza sottolineare che l’inosservanza di queste politiche può comportare azioni disciplinari, quali avvertimenti, sospensioni o la cessazione dell’accordo professionale.
Comitato del Sistema di Gestione della Sicurezza delle Informazioni (SGSI)
Come parte della Politica di Sicurezza delle Informazioni, NLC ha istituito un Comitato per la Sicurezza delle Informazioni che si occuperà di guidare, pianificare, supervisionare e gestire tutti gli aspetti relativi alla protezione delle informazioni.
Valutazione dei Rischi
La valutazione dei rischi secondo la norma ISO 27001:2022 è un processo fondamentale all’interno del sistema di gestione della sicurezza delle informazioni (SGSI). Nel caso di NLC, questo processo implica l’identificazione, l’analisi e la valutazione dei rischi relativi alla sicurezza delle informazioni in tutte le aree e i processi dell’organizzazione.
Di seguito viene dettagliato il processo di Valutazione dei Rischi conforme alla norma ISO 27001:2022 nel contesto di NLC:
Identificazione degli asset critici.
Identificazione di minacce e vulnerabilità.
Analisi dell’impatto e della probabilità.
Assegnazione dei livelli di rischio.
Revisione continua.
Politiche e Procedure di Sicurezza delle Informazioni
NLC ha implementato tutte le misure necessarie per rispettare la normativa sulla sicurezza generale e informatica, includendo politiche di protezione dei dati, sicurezza degli edifici e degli impianti, e comportamento adeguato di dipendenti, collaboratori e terze parti nell’uso dei sistemi. Queste misure, essenziali per garantire la riservatezza, l’integrità e la disponibilità delle informazioni in NLC, includono:
Informazioni Riservate e Protezione dei Dati Personali
NLC si impegna a salvaguardare l’integrità e la riservatezza dei dati dei propri clienti e collaboratori. Ciò comporta l’attuazione di robuste misure di sicurezza per prevenire accessi non autorizzati, la divulgazione indebita e l’uso improprio di informazioni sensibili. Inoltre, si garantisce il rispetto della normativa sulla protezione dei dati, sia a livello nazionale che internazionale, per assicurare la privacy e la riservatezza dei dati personali gestiti dallo Studio.
Conformità normativa
NLC si impegna a rispettare la normativa vigente applicabile in materia di sicurezza delle informazioni, incluso lo schema nazionale di sicurezza e la norma ISO 27001, tenendo conto del proprio oggetto, ragione sociale e scopo aziendale.
Formazione e sensibilizzazione
NLC si impegna a fornire a tutto il personale e ai collaboratori un livello ottimale di formazione e sensibilizzazione sulla sicurezza delle informazioni. Tale formazione sarà progettata per soddisfare gli obiettivi del Sistema di Gestione della Sicurezza delle Informazioni (SGSI), specificando al contempo i ruoli e le responsabilità di ogni individuo nell’organizzazione. Allo stesso modo, si concentrerà sulle misure di sicurezza necessarie per mitigare i rischi e proteggere gli asset dello Studio.
Audit e miglioramento continuo
In NLC riteniamo fondamentale garantire un miglioramento continuo; pertanto, ci sottoponiamo periodicamente ad audit esterni per verificare l’efficacia dei nostri processi. Queste valutazioni ci aiutano a misurare il nostro livello di conformità e a ottenere suggerimenti per implementare correzioni che favoriscano il nostro sviluppo costante. Tutto ciò è orientato al miglioramento della disponibilità, integrità e affidabilità delle informazioni dello Studio.
In questo senso, NLC si riserva il diritto di monitorare e verificare in modo casuale, e senza preavviso, qualsiasi accesso alle proprie risorse tecnologiche e informative da parte degli utenti. Tutte le revisioni e le attività di monitoraggio saranno adeguatamente documentate ai fini di audit e conformità.
Inadempimento
NLC si riserva il diritto di stabilire i controlli tecnici che riterrà opportuni per rafforzare il rispetto delle linee guida di questa politica. NLC potrà richiedere ai propri dipendenti e collaboratori di giustificare l’uso delle risorse fornite nel caso in cui vengano rilevati modelli di utilizzo considerati fuori norma o contrari al presente documento.
L’inadempimento totale o parziale di queste politiche, in caso di ragionevole sospetto di attività criminose, mancanze, infrazioni amministrative o gravi violazioni delle nostre politiche di sicurezza, comporterà provvedimenti determinati dall’Alta Direzione.
Tutte queste azioni saranno eseguite nel rispetto della normativa applicabile in ogni momento e con il massimo rispetto per la dignità del lavoratore.
Validità
Questa Politica di Sicurezza delle Informazioni e ciascuno dei suoi complementi saranno efficaci dal momento della consegna al dipendente, collaboratore o terze parti. Inoltre, sarà richiesta una revisione della stessa almeno una volta all’anno.