La sicurezza in RWS

In RWS siamo consapevoli dell'importanza che la sicurezza delle informazioni riveste per i nostri clienti. In qualità di organizzazione globale, abbiamo adottato il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) al fine di fornire una struttura al nostro sistema di gestione della sicurezza delle informazioni (ISMS). 

L'utilizzo di questo framework, ampiamente accettato e riconosciuto nel settore, fornisce a RWS una base solida con cui soddisfare i requisiti specifici dei clienti, come la conformità HITRUST. Questo approccio ci ha permesso di ottenere la certificazione ISO27001:2013 per molti dei nostri prodotti e servizi e per il supporto a persone, processi e tecnologie. Potete trovare ulteriori dettagli nel nostro attuale certificato ISO27001. 

In questa pagina, mettiamo a vostra disposizione alcune delle nostre politiche di sicurezza delle informazioni di alto livello e la documentazione relativa alla sicurezza specifica dei prodotti. Contattateci qualora abbiate ulteriori domande relative alla sicurezza delle informazioni.

Domande frequenti

Potete descrivere la selezione iniziale e il processo di valutazione dei rischi per i fornitori?

Il processo di approvvigionamento di RWS richiede che i nuovi fornitori siano sottoposti a una valutazione dei rischi di sicurezza prima dell'onboarding. Ai fornitori viene assegnata una categoria di rischio in base a una serie di criteri, tra cui: criticità dei beni/servizi da fornire e sensibilità delle informazioni o delle strutture a cui accedono.

RWS dispone di un programma di gestione dei fornitori relativo alla sicurezza?

Sì, la politica globale di gestione della sicurezza dei fornitori di RWS specifica i requisiti di sicurezza per i fornitori di terze parti.

Potete descrivere come vengono identificate e gestite le vulnerabilità alla sicurezza delle informazioni nei sistemi IT, inclusi i processi di gestione delle modifiche?

RWS esegue la scansione mensile delle vulnerabilità della propria infrastruttura rivolta al pubblico. I punti deboli vengono valutati in termini di rischio e viene applicata un'adeguata mitigazione in conformità alla politica globale sui test di sicurezza. Un membro del team di sicurezza delle informazioni è anche membro del consiglio globale di consulenza sulle modifiche IT per valutare l'impatto sulla sicurezza delle modifiche proposte.

Potete descrivere come vengono protette le applicazioni durante il ciclo di vita dello sviluppo dei sistemi, incluso il modo in cui vengono sviluppate e testate le modifiche alle applicazioni?

La politica globale sul ciclo di vita dello sviluppo software sicuro di RWS specifica il modo in cui i prodotti devono essere sviluppati in modo sicuro. La sicurezza è parte integrante di ogni fase di sviluppo, dalla raccolta dei requisiti fino alla progettazione, implementazione, verifica e rilascio. Le modifiche vengono testate prima del rilascio.

È utilizzato uno strumento per tenere traccia di incidenti, modifiche e problemi?

Sì, RWS utilizza Service Center e ServiceNow per tenere traccia dei flussi di lavoro, dall'apertura dei ticket all'assegnazione e alla risoluzione. Sono in vigore degli SLA a seconda della criticità dell'incidente/cambiamento o del problema.

RWS ha una politica di utilizzo accettabile?

Sì. RWS ha una politica IT di sicurezza e di utilizzo accettabile.

Qual è la politica di conservazione dei dati dei clienti?

RWS conserverà i dati dei clienti solo per il tempo necessario all'esecuzione dei servizi e in ogni caso nel rispetto di quanto stipulato nel contratto.

Esiste un processo di gestione delle risorse?

Sì, RWS dispone di un team dedicato per la gestione di software e risorse (SAM) e utilizza uno strumento per le risorse denominato Lansweeper e Flexera sulla rete RWS. Lansweeper rileva e registra automaticamente gli elementi sulla rete aziendale RWS, inclusi dettagli quali proprietario, tipo di risorsa, software installato, garanzia e configurazione; tutte le risorse hanno un proprietario assegnato.

Esiste un processo di gestione delle patch?

Sì, le patch vengono applicate automaticamente agli endpoint mediante l'applicazione centralizzata delle patch. L'applicazione di patch con aggiornamenti ai server viene eseguita almeno una volta all'anno. In genere, l'applicazione di patch viene eseguita durante la finestra di manutenzione mensile di routine. Le patch di altri tipi (ad esempio SQL, Antivirus) vengono eseguite ad-hoc quando desiderato, ma devono essere testate su un sistema di sviluppo o di staging prima della produzione, laddove tali sistemi esistono.

Esiste un processo di gestione dei cambiamenti?

Sì, i ruoli e le responsabilità di gestione delle modifiche sono governati dal processo CAB in cui sono inclusi i responsabili e le parti interessate, tra cui i responsabili IT e gli eventuali tester di sistema RWS; eventuali modifiche di sistema vengono testate prima dell'implementazione e/o della distribuzione. Le modifiche di emergenza vengono eseguite allo stesso modo del processo di gestione delle modifiche standard, garantendo che le modifiche vengano catalogate, registrate, testate, concordate e implementate. L'implementazione delle modifiche è responsabilità della gestione dei rilasci, tuttavia il processo nel suo insieme è responsabilità di CAB.

RWS ha implementato un processo di approvazione formalizzato per le richieste di accesso logico in base ai principi del privilegio minimo?

Sì, RWS dispone di una politica di accesso logico che specifica i processi da utilizzare per gestire l'accesso logico.

Esiste un programma di valutazione dei rischi approvato dalla gestione e comunicato ai dipendenti interessati, con un titolare incaricato della rispettiva gestione?

Sì, il programma di valutazione dei rischi di RWS è di responsabilità del dirigente RWS e viene comunicato ai dipendenti interessati.

Potete descrivere gli elementi chiave del programma di gestione dei rischi per la sicurezza RWS?

Il programma di gestione dei rischi per la sicurezza RWS è descritto nella politica globale di gestione dei rischi per la sicurezza. Il documento contiene la metodologia da utilizzare per l'identificazione e la gestione dei rischi per la sicurezza, tra cui: identificazione delle risorse; analisi dell'impatto; valutazione dei rischi; identificazione e applicazione dei controlli; monitoraggio dell'efficacia dei controlli. I rischi vengono valutati periodicamente o quando si verifica una modifica significativa che potrebbe avere un impatto sulla riservatezza, sull'integrità o sulla disponibilità delle informazioni o dei beni di RWS. La supervisione e la governance dei processi di gestione dei rischi sono esercitate dal Global Information Security Lead e dall'Information Security Steering Committee, secondo i casi.

RWS tiene conto della riservatezza dei dati?

Sì, RWS prende molto sul serio la riservatezza dei dati. Per informazioni sulla privacy, la nostra Informativa sulla privacy è disponibile qui: www.rws.com/it/legal/privacy/

RWS dispone della certificazione ISO 27001?

Sì, i clienti possono visualizzare la nostra certificazione ISO 27001 all'indirizzo www.rws.com/it/legal/security

RWS ha l'attestazione SOC 2 Tipo II?

Sì, il software RWS ospitato da RWS Cloud Operations rientra nell'ambito del nostro report SOC 2 Tipo II. Una sintesi esecutiva del report è disponibile su richiesta.

Esiste un programma di sicurezza consolidato, pubblicato e approvato annualmente?

Sì. Il programma di sicurezza delle informazioni di RWS è di proprietà del Chief Transformation Officer ed è gestito nel corso dell'anno dall'Information Security Steering Committee di livello esecutivo per garantire che continui a sostenere gli obiettivi aziendali.

RWS dispone di un titolare e/o di un team dedicato alla sicurezza delle informazioni?

Sì. Il Chief Transformation Officer di RWS è lo sponsor esecutivo della sicurezza delle informazioni. La responsabilità della gestione quotidiana del sistema di gestione della sicurezza delle informazioni di RWS e la conformità continua ai requisiti di sicurezza sono affidate a un piccolo team guidato dal Global Information Security Lead di RWS.

Esiste una politica di sicurezza delle informazioni approvata dalla gestione e comunicata a tutto il personale?

Sì, la politica di sicurezza delle informazioni di RWS è approvata e firmata dallo sponsor esecutivo per la sicurezza delle informazioni e stabilisce i requisiti di sicurezza di alto livello che consentono a RWS di mantenere e sviluppare continuamente il proprio sistema di gestione della sicurezza delle informazioni.

Potete elencare le vostre politiche di sicurezza delle informazioni? Tali politiche vengono riviste e aggiornate regolarmente e sono accessibili a tutto il personale di RWS?

Le nostre politiche vengono riviste almeno una volta l'anno. I documenti interni possono essere visualizzati dai clienti presso la sede o da remoto durante un controllo sulla base di NDA/MNDA. 

ISP100 Politica globale di sicurezza delle informazioni
ISP101 Politica globale di gestione dei rischi (interna)
ISP102 Politica globale sui test di sicurezza (interna)
ISP103 Politica globale di accesso logico (interna)
ISP104 Politica sulla continuità aziendale (interna)
ISP105 Politica globale sulla classificazione e la gestione (interna)
ISP106 Politica globale sulla gestione degli incidenti alla sicurezza delle informazioni (interna)
ISP107 Politica globale sulla sicurezza fisica (interna)
ISP108 Informativa sulla privacy (interna)
ISP109 Politica globale sui sistemi IT: ultima revisione e approvazione (interna)
ISP110 Politica globale sui controlli crittografici (interna)
ISP111 Politica globale sulla gestione della sicurezza dei fornitori (interna)
ISP112 Politica globale sul ciclo di vita dello sviluppo software sicuro (interna) 

Le nostre politiche sono pubblicate sull'Intranet aziendale e sono disponibili per tutti i dipendenti RWS; le politiche vengono regolarmente comunicate ai dipendenti RWS tramite formazione e consapevolezza obbligatoria sulla sicurezza e sulla privacy. 

La vostra organizzazione dispone di un'assicurazione per la sicurezza informatica?

Sì.

RWS dispone di un processo e di una politica di eccezioni ai criteri di sicurezza?

RWS sta attualmente sviluppando una politica globale di eccezioni alla sicurezza. Parte di questa bozza di politica è un processo di eccezione che prevede una richiesta formale di eccezione e una valutazione dei rischi prima dell'approvazione.

Esiste una procedura disciplinare formale per il personale che viola le politiche e le procedure di sicurezza delle informazioni?

Sì, l'eventuale mancata conformità alle nostre politiche sulla sicurezza delle informazioni sarà esaminata dal team globale per la sicurezza delle informazioni e successivamente inoltrata al management e al team HR competente per ulteriori indagini e azioni, se necessario. Le sanzioni dipendono dalla gravità dell'incidente e possono comportare azioni disciplinari che includono il licenziamento.

RWS dispone di un processo per monitorare le modifiche ai requisiti normativi delle giurisdizioni rilevanti e adeguare il programma di sicurezza per garantire la conformità?

L'ufficio legale di RWS monitora i requisiti legali e normativi pertinenti che si applicano a RWS. I requisiti normativi relativi alla sicurezza delle informazioni saranno discussi tra il responsabile dell'ufficio legale e il responsabile globale alla sicurezza delle informazioni e le modifiche al programma di sicurezza verranno apportate a seconda dei casi.

RWS dispone di una procedura documentata per rispondere alle richieste di dati tenant da parte di governi o terze parti?

Qualsiasi richiesta legittima sarebbe gestita dal nostro team legale e prenderebbe in considerazione eventuali obblighi contrattuali e requisiti legali.

RWS dispone di una politica e una procedura di risposta agli incidenti relativi alla sicurezza informatica pubblicate e comunicate?

Sì, la politica globale sulla gestione degli incidenti alla sicurezza delle informazioni di RWS è pubblicata e accessibile a tutti i dipendenti sulla intranet di RWS e include, a titolo esemplificativo ma non esaustivo: monitoraggio e preparazione; identificazione; contenimento; mitigazione; recupero; e follow-up.

RWS dispone di un processo per la risposta a incidenti/violazioni dei dati?

Sì, la politica globale sulla gestione degli incidenti alla sicurezza delle informazioni di RWS specifica le azioni richieste in caso di incidente relativo alla sicurezza e l'informativa sulla privacy contiene informazioni specifiche relative agli incidenti che coinvolgono informazioni personali.

RWS dispone di un processo per l'identificazione degli incidenti e dei relativi vettori di attacco comuni, nonché di meccanismi di rilevamento degli incidenti quando si verificano?

Sì, il fornitore di rete di RWS monitora il traffico e fornisce avvisi in caso di attività anomale e RWS utilizza IDS/IPS nelle aree chiave della rete per rilevare e prevenire le intrusioni. Gli endpoint dispongono di software di prevenzione/rilevamento appropriato.

Viene condotta della formazione sulla consapevolezza della sicurezza delle informazioni su base periodica per tutti i dipendenti e i consulenti?

Sì. La formazione sulla consapevolezza della sicurezza delle informazioni è una parte fondamentale del processo di onboarding per personale, appaltatori e freelance RWS. Successivamente, la formazione sulla sicurezza delle informazioni basata su computer viene effettuata annualmente a tutti i dipendenti in un modulo di apprendimento dedicato. Inoltre, la formazione sulla consapevolezza della sicurezza delle informazioni viene fornita nell'ambito della formazione annuale sul Codice di condotta e attraverso la nostra campagna "Think Security" almeno ogni due mesi, oppure più spesso, se le circostanze lo richiedono.

RWS effettua verifiche di background per i dipendenti?

Sì. Tutti i neoassunti vengono sottoposti a controlli dell'identità e del diritto al lavoro. Ove richiesto dal loro ruolo nell'organizzazione o dagli obblighi nazionali, possono essere effettuati ulteriori controlli di background in conformità alle normative vigenti.

RWS effettua verifiche di background per i freelance?

I freelance di RWS non sono soggetti a controlli di background come standard. Tuttavia, abbiamo stipulato un accordo con i nostri freelance che include misure minime di sicurezza, e i clienti possono richiedere la riservatezza e il controllo di background per i freelance come concordato contrattualmente, nel rispetto delle normative locali.

RWS considera la sicurezza delle informazioni nel processo di onboarding e cessazione del rapporto di lavoro dei dipendenti?

Sì, tutti i neoassunti devono completare la formazione obbligatoria sulla consapevolezza della sicurezza delle informazioni e la formazione sul Codice di condotta, che include anche elementi di sicurezza. Al momento del licenziamento, si ricordano ai dipendenti le loro responsabilità in merito alla sicurezza post-impiego. Tutte le risorse vengono recuperate e gli account vengono sospesi in attesa di revisione e cancellazione.

RWS dispone di un processo per la distruzione dei dati e la sanificazione dei supporti?

Sì, la politica globale sulla classificazione e la gestione di RWS copre le aree relative alla distruzione dei dati e alla sanificazione dei supporti. I processi specifici per implementare la politica sono di proprietà e gestiti dai rispettivi proprietari di tecnologie.