INFORMATION SECURITY POLICY TNT GLOBAL EXPRESS Come nasce una politica di sicurezza dei dati e delle...

INFORMATION SECURITY POLICYINFORMATION SECURITY POLICYTNT GLOBAL EXPRESSTNT GLOBAL EXPRESS

Come nasce una politica di sicurezza dei dati e delle informazioni

Dott. Raffaele D’AmatoDott. Raffaele D’AmatoResp. Ufficio Legale TNT Global Express SpAResp. Ufficio Legale TNT Global Express SpA

Il Testo Unico sulla PrivacyIl Testo Unico sulla Privacy Unione Industriale Torino – 6 novembre 2003Unione Industriale Torino – 6 novembre 2003

C L

I E

T

I

C L

I E

T

I

Global Express, Logistics & MailGlobal Express, Logistics & Mail

TNT Global Express una società TNT Global Express una società del Gruppo TPG (TNT Post del Gruppo TPG (TNT Post Group)Group)


C L

I E N

T

I

… … e tre divisionie tre divisioni

150.365 dipendentiEURO 11.782 Mn di

Fatturato

DivisioniFatturato ‘02 EURO

Aree di Attività

Espresso

4 ,398Mn

Corriere Espresso

Nazionale & Internazionale

Logistica

3.389 Mn

Posta Nazionale Olandese

Posta Internazionale

Posta

4,005 Mn

Logistica

TPG


Napoli

Roma

Ancona

Bologna

Firenze

Piacenza

Torino

Verona

Milano

Bari

Padova

Catania

SedeFilialeCentro di Smistamento

Una presenza capillare su tutto il territorio nazionale con 135 filiali e 3.300 dipendenti

TNT Global TNT Global ExpressExpress in Italia in Italia


LA SITUAZIONE DI PARTENZA

A seguito della legislazione in materia di trattamento

dati personali (Legge 675/96) è sorto anche per lanostra azienda il problema della

GESTIONE DATI:

1) PERSONALI2) SENSIBILI3) “QUASI SENSIBILI”


I CAMPI D’AZIONEI CAMPI D’AZIONE

TRE COORDINATETRE COORDINATE

DIRETTIVEDIRETTIVE INFORMAZIONEINFORMAZIONE FORMAZIONEFORMAZIONE

DipendentiFornitoriClienti

Imporre direttive di sicurezza

Individuazioneresponsabili per settore tramite

lettere d’incarico

Dipendenticollaboratori


COINVOLGIMENTI AZIENDALICOINVOLGIMENTI AZIENDALI

Project SupervisorProject Supervisor Amministratore DelegatoAmministratore DelegatoDirettore GeneraleDirettore Generale

Project LeaderProject Leader Ufficio LegaleUfficio Legale

DIREZIONI:DIREZIONI:CommercialeCommerciale

Customer ServiceCustomer ServiceOperativaOperativa

QualitàQualitàRisorse UmaneRisorse Umane

Sicurezza e videosorveglianza Sicurezza e videosorveglianza TecnicaTecnica

TelecomunicazioniTelecomunicazioni


PROCESSI DA IMPLEMENTAREPROCESSI DA IMPLEMENTARE

•Analisi documenti e legislazioneAnalisi documenti e legislazione•Creazione gruppi di lavoroCreazione gruppi di lavoro•Analisi dei rischi Analisi dei rischi 3 MESI3 MESI

•Individuazione politica di sicurezza Individuazione politica di sicurezza per ogni direzioneper ogni direzione•Redazione Documento Information SecurityRedazione Documento Information Security•Formazione dipendenti e collaboratoriFormazione dipendenti e collaboratori

3 MESI3 MESI

•Confronto con Organizzazioni SindacaliConfronto con Organizzazioni Sindacali•Pubblicazione su Internet e diffusione Pubblicazione su Internet e diffusione politica adottatapolitica adottata

2 MESI2 MESI

TEMPO INVESTITO: 8 MESITEMPO INVESTITO: 8 MESI


Primo intervento operativo:Primo intervento operativo: INFORMAZIONEINFORMAZIONE

DOPPIO LIVELLO :

INTERNO DIPENDENTI E

COLLABORATORI

ESTERNO FORNITORI

CLIENTI

• DIRITTO DI ACCESSO ED INTERVENTO

• INFORMATIVA SUL TRATTAMENTO DEI PROPRI DATI

• SAPER TRATTARE I DATI

• UTILIZZARE CORRETTAMENTE I BENI AZIENDALI


UNICO LIVELLO :

INTERNO DIPENDENTI E COLLABORATORI Strumenti per l’applicazione: • diffusione ed applicazione direttive casa madre • diffusione ed applicazione direttive documenti interni • formazione

PUNTI DI RIFERIMENTO• STATUTO DEI LAVORATORI • GARANTE• ASSOCIAZIONI SINDACALI

Secondo intervento operativo:Secondo intervento operativo: DIRETTIVEDIRETTIVE


STRUMENTI PER L’APPLICAZIONE

attuati corsi di formazione strutturati a più livelli

con l’ausilio di personale specializzato di SISTEMI

Terzo intervento operativo:Terzo intervento operativo: FORMAZIONEFORMAZIONE

POLITICA ANALITICA PRO ATTIVA

INFORMAZIONE = PER TUTTI

FORMAZIONE = PER I RESPONSABILI E PERSONALE SELEZIONATO

capi filiali

responsabili dei servizi incaricati del trattamento/gestori dei dati

DIREZIONE DIREZIONE RISORSE RISORSE UMANEUMANE


STRUMENTI PER LA POLICY STRUMENTI PER LA POLICY

Dichiarazioni di politiche di sicurezza “Policy”: Classificazione delle INFORMAZIONI Dichiarazione di politiche di sicurezza sull’ E-MAIL Dichiarazione di politiche di sicurezza su INTERNET

Dichiarazione di politiche di sicurezza sulla VIDEOSORVEGLIANZA, Dichiarazione di politiche di sicurezza sulla TELEFONIADichiarazione di politiche di sicurezza sugli ARCHIVI CARTACEI

Interno : Analisi, studio e diffusione di un DOCUMENTO BASE sulla INFORMATION SECURITY POLICY

Gestione dei dati e tutela della

sicurezza dei dati informatico - non informatico

Esterno : • Documento programmatico • Creazione di un manifesto esterno sulla privacy aziendale e sulla sicurezza delle informazioni


DOCUMENTO BASE:DOCUMENTO BASE:

Information Security PolicyInformation Security Policy

COME E’ STATO DIFFUSO

• inserito nel circuito Internet aziendale; processo evolutivo: EXTRANET

• accesso cartaceo ai dipendenti senza postazione informatica mediante copia cartacea al capo filialeCOSA CONTIENE

Criteri di classificazione delle Informazioni

Le dichiarazioni di politica di sicurezza su:

– Internet ed E-mail – Videosorveglianza – Telefonia– Archivi cartacei ed informatici


CLASSIFICAZIONE DELLE INFORMAZIONICLASSIFICAZIONE DELLE INFORMAZIONI

• Possesso delle informazioni Possesso delle informazioni • Classificazione delle informazioni inClassificazione delle informazioni in

– pubblica, interna, confidenziale – preferenziale, significativa, critica – corretta (assunta, verificata, comprovata)

CRITERI

Confidenzialità Integrità Disponibilità


DICHIARAZIONI DI POLITICA DI SICUREZZADICHIARAZIONI DI POLITICA DI SICUREZZASULL’UTILIZZO DELLE E-MAIL ED INTERNETSULL’UTILIZZO DELLE E-MAIL ED INTERNET

Contiene:

• direttiva di utilizzo esclusivo per motivi di natura aziendale

• diritti-doveri dell’azienda al riguardo

• monito ad evitare l’uso improprio

• elenco degli utilizzi vietati e dei comportamenti contra legem

• indicazione delle principali conseguenze

• responsabilità dell’utente, passibilità di azioni disciplinari, grado delle sanzioni

• modalità pratiche di utilizzo e caratteristiche tecniche


VIDEOSORVEGLIANZAVIDEOSORVEGLIANZA (Legge 675/96) (Legge 675/96)

• determinazione delle finalità e controllo sulla loro liceità

• trattamento dei dati per scopi determinati e legittimi = art. 9 l. 675/96

• modalità di raccolta attraverso le apparecchiature

• descrizione tecnica delle stesse

• modalità delle riprese e relativa informativa (cartellonistica)

• divieto del controllo a distanza dei lavoratori - ex art. 4 Statuto

• rispetto della pertinenza e della non eccedenza

• determinazione del periodo di conservazione immagini

• designazione dei soggetti che possono usare gli impianti

• finalità per l’utilizzo dei dati (esigenze di legge o di giustizia)

FERMO IL LIMITE DI CUI ALLO STATUTO LAVORATORI (l. 300/70)

REGOLE BASE EX PROVV. GARANTE 11/2000

Accordo raggiunto con le organizzazioni sindacali in data 28/01/2003


TELEFONIATELEFONIA

STRUMENTI telefoni fissi, cellulari, CALL CENTER

REGOLE TECNICHE IN CONFORMITA’ ALLA LEGGE 675/96

Descrizione tecnica del funzionamento e della strumentazione

Protezione dei dati tramite password Limitazione del numero di coloro a cui la password viene

conferita

REGOLE DI UTILIZZO E COMPORTAMENTO policy di utilizzo del telefono indicazione di coloro che hanno accesso ai dati ex legge

675/96 definizione degli incaricati al trattamento dati sensibili (lettere di incarico)


DOPPIA ESIGENZA DI BASE PER DOPPIA ESIGENZA DI BASE PER TELEFONIA E VIDEOSORVEGLIANZATELEFONIA E VIDEOSORVEGLIANZA

Limitazioni all’utilizzoindebito del bene

aziendale

Limitazioni al

controllo

Rispetto del divieto di controllo a distanza ex statuto lavoratori

e del principio di riservatezza

Responsabilità del

dipendente


ARCHIVI CARTACEI ED INFORMATICIARCHIVI CARTACEI ED INFORMATICI

PREVEDE REGOLE COMPORTAMENTALI PER TUTTI I SETTORIINFORMATICI E NON:• corretto trattamento • tutela

dati personali, specie se dati sensibili o quasi sensibili

REGOLE COMPORTAMENTALI E PROCEDURALI CHE RIGUARDANO:

la tutela minima di sicurezza dei dati ex legge 675/96 richiamo al trattamento dei dati in via informatica le relative procedure (D.P.S. Dir. Tecnica I.T.) procedure di sicurezza per i dati pervenuti a livello cartaceo a più livelli distinguendo più aree ed individuando i documenti oggetto di tutela


I vantaggi di una corretta privacy aziendaleI vantaggi di una corretta privacy aziendale Maggiore sensibilizzazione del personale dipendente

Diffusione della cultura legale in azienda

Funzione di scoraggiamento ai comportamenti antilegali ma massimo rispetto delle libertà e delle garanzie che la legge attribuisce al lavoratore

Maggiore soddisfazione del singolo dipendente

Garanzia di massima correttezza e riservatezza nel trattamento dei dati e delle informazioni

Maggiore soddisfazione dell’interlocutore esterno

Garanzia del rispetto delle leggi e riduzione del pericolo di sanzioni

Aumento di efficienza aziendale

Crescita di prestigio verso l’osservatore esterno e più Crescita di prestigio verso l’osservatore esterno e più

alti livelli di certificazione previsti dalle Vision 2000alti livelli di certificazione previsti dalle Vision 2000


PROSSIME TAPPE PROSSIME TAPPE

Alla luce del T.U. Privacy, che Alla luce del T.U. Privacy, che entrerà in vigore il 1° gennaio 2004, entrerà in vigore il 1° gennaio 2004, TNT sta procedendo alla redazione TNT sta procedendo alla redazione

aggiornata di aggiornata di

• DPSDPS = documento programmatico = documento programmatico della Sicurezzadella Sicurezza

• job descriptionsjob descriptions dei dipendenti, dei dipendenti, consulenti e collaboratori consulenti e collaboratori

• informative e consensoinformative e consenso


ATTENZIONE!ATTENZIONE!

NON FINISCE QUI…NON FINISCE QUI…

E’ necessario un costante E’ necessario un costante monitoraggio ed aggiornamento monitoraggio ed aggiornamento

legislativo ed operativo!legislativo ed operativo!

……Buon lavoro!Buon lavoro!

Dott. Raffaele D’AmatoDott. Raffaele D’Amato

INFORMATION SECURITY POLICY TNT GLOBAL EXPRESS Come nasce una politica di sicurezza dei dati e delle...

Documents

Transcript of INFORMATION SECURITY POLICY TNT GLOBAL EXPRESS Come nasce una politica di sicurezza dei dati e delle...