Collaborazione con i fornitori di servizi informatici

Mentre le grandi imprese dispongono spesso di una divisione informatica interna, molte piccole aziende affidano questi compiti ad altri. Assicuratevi che le competenze tra voi e l’impresa di servizi informatici per quanto concerne la sicurezza informatica sia regolamentata in maniera chiara. Questo riguarda principalmente le misure tecniche e organizzative. Definite contrattualmente le responsabilità in caso di attacco, qualora le misure di sicurezza concordate non vengano rispettate.

Basatevi sui requisiti minimi

  • I controlli di sicurezza devono essere eseguiti già durante i test dei sistemi informatici;
  • informatevi su particolari condizioni contrattuali e sui requisiti per fruire delle prestazioni informatiche. Questi requisiti devono essere parte integrante del contratto concluso con il fornitore di servizi esterno;
  • gli obblighi di tutela del segreto a cui deve sottostare il fornitore esterno che si occupa della manutenzione e del supporto per i sistemi TIC devono essere disciplinati. Inoltre, l’accesso a dati personali degni di particolare protezione deve essere autorizzato solo se strettamente necessario;
  • è necessario chiedere chiarimenti e stipulare accordi anche con le imprese che si occupano dello stoccaggio dei dati (aziende cloud).

Ulteriori informazioni

Sul sito dell’Ufficio federale per l’approvvigionamento economico del Paese (UFAE) sono pubblicati gli standard minimi per le TIC.
https://www.bwl.admin.ch

Il marchio «cyber-safe.ch» è stato fondato dall’associazione svizzera per il marchio di cibersicurezza («Association Suisse pour le Label de Cybersécurité»). Definisce i requisiti minimi specifici per le amministrazioni pubbliche e le PMI. Un questionario online permette di rilevare i ciber-rischi: www.cyber-safe.ch (in francese e tedesco)
https://www.cyber-safe.ch 

Le condizioni generali di contratto (CG) della Conferenza svizzera sull’informatica (CSI) si applicano agli affari TIC dell’amministrazione pubblica. La CSI ha elaborato anche dei modelli di contratto armonizzati con le CG.
https://sik.swiss

Sul sito web della Conferenza degli incaricati svizzeri per la protezione dei dati (privatim) sono disponibili strumenti ausiliari per la protezione dei dati e un elenco delle autorità di sorveglianza della protezione dei dati: www.privatim.ch (in francese e tedesco)
https://www.privatim.ch 

L’incaricato federale della protezione dei dati e della trasparenza (IFPDT) è responsabile dell’elaborazione di dati da parte di privati e autorità federali.
https://www.edoeb.admin.ch 

Scelta del fornitore di servizi TIC

Le certificazioni secondo standard riconosciuti di protezione dei dati o di sicurezza delle informazioni o i rapporti di controllo di terzi indipendenti possono essere utili nella valutazione dell’impresa. Non è necessario scegliere imperativamente partner certificati, ma è importante che possano dimostrare di soddisfare le vostre esigenze e garantire la disponibilità e la sicurezza richieste. Incaricate un organismo indipendente di effettuare una verifica. 

Controlli di sicurezza

La realizzazione delle prestazioni definite nel contratto deve essere controllata regolarmente sulla base di standard, ad esempio COBIT («control objectives for information and related technology», https://www.isaca.org/resources/cobit [in inglese]) dell’Associazione di audit e controllo dei sistemi di informazione (ISACA, https://www.isaca.org/ [in inglese]). Affidatevi a organismi di verifica indipendenti. Il fornitore di servizi TIC può richiedere un ISAE 3402 tipo 2 (standard internazionale sugli incarichi di assurance) – anche conosciuto come rapporto SOC-2 («Service Organization Control»). L’organismo di verifica valuta la sicurezza, la disponibilità, l’integrità e l’affidabilità.

Ultima modifica 10.02.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-unternehmen/aktuelle-themen/zusammenarbeit-it-provider.html