INFORMATION SECURITY POLICY TNT GLOBAL EXPRESS Come nasce una politica di sicurezza dei dati e delle...
-
Upload
tiziano-cosentino -
Category
Documents
-
view
215 -
download
0
Transcript of INFORMATION SECURITY POLICY TNT GLOBAL EXPRESS Come nasce una politica di sicurezza dei dati e delle...
INFORMATION SECURITY POLICYINFORMATION SECURITY POLICYTNT GLOBAL EXPRESSTNT GLOBAL EXPRESS
Come nasce una politica di sicurezza dei dati e delle informazioni
Dott. Raffaele D’AmatoDott. Raffaele D’AmatoResp. Ufficio Legale TNT Global Express SpAResp. Ufficio Legale TNT Global Express SpA
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
C L
I E
T
I
C L
I E
T
I
Global Express, Logistics & MailGlobal Express, Logistics & Mail
TNT Global Express una società TNT Global Express una società del Gruppo TPG (TNT Post del Gruppo TPG (TNT Post Group)Group)
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
C L
I E N
T
I
… … e tre divisionie tre divisioni
150.365 dipendentiEURO 11.782 Mn di
Fatturato
DivisioniFatturato ‘02 EURO
Aree di Attività
Espresso
4 ,398Mn
Corriere Espresso
Nazionale & Internazionale
Logistica
3.389 Mn
Posta Nazionale Olandese
Posta Internazionale
Posta
4,005 Mn
Logistica
TPG
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
Napoli
Roma
Ancona
Bologna
Firenze
Piacenza
Torino
Verona
Milano
Bari
Padova
Catania
SedeFilialeCentro di Smistamento
Una presenza capillare su tutto il territorio nazionale con 135 filiali e 3.300 dipendenti
TNT Global TNT Global ExpressExpress in Italia in Italia
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
LA SITUAZIONE DI PARTENZA
A seguito della legislazione in materia di trattamento
dati personali (Legge 675/96) è sorto anche per lanostra azienda il problema della
GESTIONE DATI:
1) PERSONALI2) SENSIBILI3) “QUASI SENSIBILI”
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
I CAMPI D’AZIONEI CAMPI D’AZIONE
TRE COORDINATETRE COORDINATE
DIRETTIVEDIRETTIVE INFORMAZIONEINFORMAZIONE FORMAZIONEFORMAZIONE
DipendentiFornitoriClienti
Imporre direttive di sicurezza
Individuazioneresponsabili per settore tramite
lettere d’incarico
Dipendenticollaboratori
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
COINVOLGIMENTI AZIENDALICOINVOLGIMENTI AZIENDALI
Project SupervisorProject Supervisor Amministratore DelegatoAmministratore DelegatoDirettore GeneraleDirettore Generale
Project LeaderProject Leader Ufficio LegaleUfficio Legale
DIREZIONI:DIREZIONI:CommercialeCommerciale
Customer ServiceCustomer ServiceOperativaOperativa
QualitàQualitàRisorse UmaneRisorse Umane
Sicurezza e videosorveglianza Sicurezza e videosorveglianza TecnicaTecnica
TelecomunicazioniTelecomunicazioni
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
PROCESSI DA IMPLEMENTAREPROCESSI DA IMPLEMENTARE
•Analisi documenti e legislazioneAnalisi documenti e legislazione•Creazione gruppi di lavoroCreazione gruppi di lavoro•Analisi dei rischi Analisi dei rischi 3 MESI3 MESI
•Individuazione politica di sicurezza Individuazione politica di sicurezza per ogni direzioneper ogni direzione•Redazione Documento Information SecurityRedazione Documento Information Security•Formazione dipendenti e collaboratoriFormazione dipendenti e collaboratori
3 MESI3 MESI
•Confronto con Organizzazioni SindacaliConfronto con Organizzazioni Sindacali•Pubblicazione su Internet e diffusione Pubblicazione su Internet e diffusione politica adottatapolitica adottata
2 MESI2 MESI
TEMPO INVESTITO: 8 MESITEMPO INVESTITO: 8 MESI
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
Primo intervento operativo:Primo intervento operativo: INFORMAZIONEINFORMAZIONE
DOPPIO LIVELLO :
INTERNO DIPENDENTI E
COLLABORATORI
ESTERNO FORNITORI
CLIENTI
• DIRITTO DI ACCESSO ED INTERVENTO
• INFORMATIVA SUL TRATTAMENTO DEI PROPRI DATI
• SAPER TRATTARE I DATI
• UTILIZZARE CORRETTAMENTE I BENI AZIENDALI
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
UNICO LIVELLO :
INTERNO DIPENDENTI E COLLABORATORI Strumenti per l’applicazione: • diffusione ed applicazione direttive casa madre • diffusione ed applicazione direttive documenti interni • formazione
PUNTI DI RIFERIMENTO• STATUTO DEI LAVORATORI • GARANTE• ASSOCIAZIONI SINDACALI
Secondo intervento operativo:Secondo intervento operativo: DIRETTIVEDIRETTIVE
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
STRUMENTI PER L’APPLICAZIONE
attuati corsi di formazione strutturati a più livelli
con l’ausilio di personale specializzato di SISTEMI
Terzo intervento operativo:Terzo intervento operativo: FORMAZIONEFORMAZIONE
POLITICA ANALITICA PRO ATTIVA
INFORMAZIONE = PER TUTTI
FORMAZIONE = PER I RESPONSABILI E PERSONALE SELEZIONATO
capi filiali
responsabili dei servizi incaricati del trattamento/gestori dei dati
DIREZIONE DIREZIONE RISORSE RISORSE UMANEUMANE
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
STRUMENTI PER LA POLICY STRUMENTI PER LA POLICY
Dichiarazioni di politiche di sicurezza “Policy”: Classificazione delle INFORMAZIONI Dichiarazione di politiche di sicurezza sull’ E-MAIL Dichiarazione di politiche di sicurezza su INTERNET
Dichiarazione di politiche di sicurezza sulla VIDEOSORVEGLIANZA, Dichiarazione di politiche di sicurezza sulla TELEFONIADichiarazione di politiche di sicurezza sugli ARCHIVI CARTACEI
Interno : Analisi, studio e diffusione di un DOCUMENTO BASE sulla INFORMATION SECURITY POLICY
Gestione dei dati e tutela della
sicurezza dei dati informatico - non informatico
Esterno : • Documento programmatico • Creazione di un manifesto esterno sulla privacy aziendale e sulla sicurezza delle informazioni
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
DOCUMENTO BASE:DOCUMENTO BASE:
Information Security PolicyInformation Security Policy
COME E’ STATO DIFFUSO
• inserito nel circuito Internet aziendale; processo evolutivo: EXTRANET
• accesso cartaceo ai dipendenti senza postazione informatica mediante copia cartacea al capo filialeCOSA CONTIENE
Criteri di classificazione delle Informazioni
Le dichiarazioni di politica di sicurezza su:
– Internet ed E-mail – Videosorveglianza – Telefonia– Archivi cartacei ed informatici
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
CLASSIFICAZIONE DELLE INFORMAZIONICLASSIFICAZIONE DELLE INFORMAZIONI
• Possesso delle informazioni Possesso delle informazioni • Classificazione delle informazioni inClassificazione delle informazioni in
– pubblica, interna, confidenziale – preferenziale, significativa, critica – corretta (assunta, verificata, comprovata)
CRITERI
Confidenzialità Integrità Disponibilità
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
DICHIARAZIONI DI POLITICA DI SICUREZZADICHIARAZIONI DI POLITICA DI SICUREZZASULL’UTILIZZO DELLE E-MAIL ED INTERNETSULL’UTILIZZO DELLE E-MAIL ED INTERNET
Contiene:
• direttiva di utilizzo esclusivo per motivi di natura aziendale
• diritti-doveri dell’azienda al riguardo
• monito ad evitare l’uso improprio
• elenco degli utilizzi vietati e dei comportamenti contra legem
• indicazione delle principali conseguenze
• responsabilità dell’utente, passibilità di azioni disciplinari, grado delle sanzioni
• modalità pratiche di utilizzo e caratteristiche tecniche
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
VIDEOSORVEGLIANZAVIDEOSORVEGLIANZA (Legge 675/96) (Legge 675/96)
• determinazione delle finalità e controllo sulla loro liceità
• trattamento dei dati per scopi determinati e legittimi = art. 9 l. 675/96
• modalità di raccolta attraverso le apparecchiature
• descrizione tecnica delle stesse
• modalità delle riprese e relativa informativa (cartellonistica)
• divieto del controllo a distanza dei lavoratori - ex art. 4 Statuto
• rispetto della pertinenza e della non eccedenza
• determinazione del periodo di conservazione immagini
• designazione dei soggetti che possono usare gli impianti
• finalità per l’utilizzo dei dati (esigenze di legge o di giustizia)
FERMO IL LIMITE DI CUI ALLO STATUTO LAVORATORI (l. 300/70)
REGOLE BASE EX PROVV. GARANTE 11/2000
Accordo raggiunto con le organizzazioni sindacali in data 28/01/2003
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
TELEFONIATELEFONIA
STRUMENTI telefoni fissi, cellulari, CALL CENTER
REGOLE TECNICHE IN CONFORMITA’ ALLA LEGGE 675/96
Descrizione tecnica del funzionamento e della strumentazione
Protezione dei dati tramite password Limitazione del numero di coloro a cui la password viene
conferita
REGOLE DI UTILIZZO E COMPORTAMENTO policy di utilizzo del telefono indicazione di coloro che hanno accesso ai dati ex legge
675/96 definizione degli incaricati al trattamento dati sensibili (lettere di incarico)
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
DOPPIA ESIGENZA DI BASE PER DOPPIA ESIGENZA DI BASE PER TELEFONIA E VIDEOSORVEGLIANZATELEFONIA E VIDEOSORVEGLIANZA
Limitazioni all’utilizzoindebito del bene
aziendale
Limitazioni al
controllo
Rispetto del divieto di controllo a distanza ex statuto lavoratori
e del principio di riservatezza
Responsabilità del
dipendente
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
ARCHIVI CARTACEI ED INFORMATICIARCHIVI CARTACEI ED INFORMATICI
PREVEDE REGOLE COMPORTAMENTALI PER TUTTI I SETTORIINFORMATICI E NON:• corretto trattamento • tutela
dati personali, specie se dati sensibili o quasi sensibili
REGOLE COMPORTAMENTALI E PROCEDURALI CHE RIGUARDANO:
la tutela minima di sicurezza dei dati ex legge 675/96 richiamo al trattamento dei dati in via informatica le relative procedure (D.P.S. Dir. Tecnica I.T.) procedure di sicurezza per i dati pervenuti a livello cartaceo a più livelli distinguendo più aree ed individuando i documenti oggetto di tutela
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
I vantaggi di una corretta privacy aziendaleI vantaggi di una corretta privacy aziendale Maggiore sensibilizzazione del personale dipendente
Diffusione della cultura legale in azienda
Funzione di scoraggiamento ai comportamenti antilegali ma massimo rispetto delle libertà e delle garanzie che la legge attribuisce al lavoratore
Maggiore soddisfazione del singolo dipendente
Garanzia di massima correttezza e riservatezza nel trattamento dei dati e delle informazioni
Maggiore soddisfazione dell’interlocutore esterno
Garanzia del rispetto delle leggi e riduzione del pericolo di sanzioni
Aumento di efficienza aziendale
Crescita di prestigio verso l’osservatore esterno e più Crescita di prestigio verso l’osservatore esterno e più
alti livelli di certificazione previsti dalle Vision 2000alti livelli di certificazione previsti dalle Vision 2000
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
PROSSIME TAPPE PROSSIME TAPPE
Alla luce del T.U. Privacy, che Alla luce del T.U. Privacy, che entrerà in vigore il 1° gennaio 2004, entrerà in vigore il 1° gennaio 2004, TNT sta procedendo alla redazione TNT sta procedendo alla redazione
aggiornata di aggiornata di
• DPSDPS = documento programmatico = documento programmatico della Sicurezzadella Sicurezza
• job descriptionsjob descriptions dei dipendenti, dei dipendenti, consulenti e collaboratori consulenti e collaboratori
• informative e consensoinformative e consenso
Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003
ATTENZIONE!ATTENZIONE!
NON FINISCE QUI…NON FINISCE QUI…
E’ necessario un costante E’ necessario un costante monitoraggio ed aggiornamento monitoraggio ed aggiornamento
legislativo ed operativo!legislativo ed operativo!
……Buon lavoro!Buon lavoro!
Dott. Raffaele D’AmatoDott. Raffaele D’Amato