Regolamento ICT Disposizione organizzativa per l'utilizzo delle risorse di information and communication tecnology di Fondazione Milano

Transcript

1 Regolamento ICT Disposizione organizzativa per l'utilizzo delle risorse di information and communication tecnology di Fondazione Milano Indice Premessa 1. Ambito di applicazione 2. Regole generali 3. Utilizzo del Personal Computer 4. Utilizzo di PC portatili e/o risorse temporaneamente assegnate 5. Gestione ed assegnazioni delle credenziali di autenticazione 6. Uso della rete telematica interna aziendale 7. Uso della rete Internet e relativi servizi 8. Uso della Posta Elettronica aziendale 9. Utilizzo di telefonia fissa e mobile, fax, stampanti e fotocopiatrici aziendali 10. Protezione Antivirus 11. Osservanza delle disposizioni in materia di Privacy 12. Non osservanza della normativa aziendale 13. Aggiornamento e revisione 14. Entrata in vigore e diffusione 1

2 Premessa Le esigenze dello svolgimento proficuo e moderno dell attività istituzionale di Fondazione Milano ha reso necessario di mettere a disposizione degli utenti (permanenti o temporanei) della comunità scolastica (dipendenti, collaboratori, docenti, studenti, stagisti, ospiti, etc.) secondo il tipo di funzioni svolte apparecchiature ICT (information e communication tecnology) quali computer fissi e portatili, telefoni fissi e cellulari e smart-phone, tablet, scanner, fax, software applicativo generico e specialistico, database aziendali o di fornitori-provider, e altri mezzi di elaborazione digitale, comunicazione e documentazione efficienti e moderni, etc., nonché l accesso con apparecchiature proprie alla propria rete informatica e per suo tramite alla rete esterna (facilities ICT). Le tecnologie ICT, in particolare ma non solo l accesso alla rete Internet e l utilizzo dei servizi su di essa disponibili, sono oggetto di una disciplina legale nazionale e internazionale normativa e/o convenzionale molto complessa e in continua evoluzione, anche sotto il profilo dei controlli delle Autorità e delle applicazioni giudiziarie, la cui inosservanza può esporre Fondazione Milano ai molteplici rischi di natura legale (inibitorie, sequestri, ingiunzioni, risarcimenti, sanzioni, responsabilità civili e penali, etc.), causando problemi - anche molto gravi al patrimonio aziendale e/o alla gestione delle risorse e/o all attività istituzionale, alla sicurezza delle informazioni, all immagine pubblica aziendale o ancora problemi ulteriori di svariati altri ordini. Pertanto anche l utilizzo delle risorse informatiche e telematiche aziendali deve sempre ispirarsi ai principi di diligenza e correttezza, comportamenti obbligatori nell ambito di un rapporto di lavoro ( 1 ). Fondazione Milano ha istituito una Disposizione organizzativa (in seguito Regolamento ICT) allo scopo di rendere espliciti i molteplici doveri di comportamento nei quali si declinano i principi di diligenza e correttezza per l utilizzo delle risorse informatiche e di prevenire eventuali comportamenti in qualsiasi modo censurabili. Il presente Regolamento ICT non esaurisce tutte le casistiche dei comportamenti di diligenza e correttezza dovuti dai collaboratori in occasione dell uso delle apparecchiature ICT a loro affidate e ciascuno dovrà con ragionevole prudenza valutare la adeguatezza del proprio comportamento in relazione ai casi non contemplati che si dovessero presentare; nel dubbio, dovrà chiedere istruzioni tramite i responsabili dell Ufficio di appartenenza. Fondazione Milano si riserva di emettere eventuali ulteriori Disposizioni per regolamentare argomenti specifici che non sono trattati nel presente Regolamento ICT. 1. Ambito di applicazione 1.1 Lo scopo del presente Regolamento ICT è quello di fornire un quadro d insieme sulle condizioni minime richieste da Fondazione Milano per il corretto utilizzo delle risorse ICT. ( 1 ) cod. civ. art Diligenza del prestatore di lavoro. Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della prestazione dovuta, dall'interesse dell'impresa e da quello superiore della produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai quali gerarchicamente dipende. 2

3 1.2 Le regole qui enunciate si applicano a tutti i soggetti che utilizzano apparecchiature e/o facilities ICT messe a disposizione da Fondazione Milano (utente, collaboratori, docenti, studenti, stagisti, ospiti, etc.). 2. Regole generali 2.1 Le risorse ICT della Fondazione devono essere utilizzate per l assolvimento delle finalità proprie della Fondazione. 2.2 È vietata qualsiasi attività che possa produrre danni alle risorse informatiche e tecnologiche della Fondazione o che risulti in contrasto con le regole contenute nel presente testo o con la normativa vigente. 2.3 Ogni soggetto è tenuto ad adottare, nell ambito delle proprie attività, tutte le misure di sicurezza atte a prevenire la possibilità di accessi non autorizzati, furti, frodi, danneggiamenti, distruzioni o altri abusi nei confronti delle risorse ICT; debbono pertanto essere prontamente segnalati furti, danneggiamenti o smarrimenti di tali strumenti. 2.4 Ciascun soggetto che operi nell ambito di Fondazione Milano è tenuto ad uniformarsi alle sopraddette prescrizioni. 3. Utilizzo del Personal Computer: 3.1. Il personal computer fisso (PC) ricevuto in assegnazione da FM è uno strumento di lavoro che deve essere utilizzato dall assegnatario per questo scopo Ciascuno è responsabile dell'utilizzo delle dotazioni informatiche ricevute in assegnazione Non è consentito all'utente modificare caratteristiche hardware e software impostate sul proprio PC e/o installare autonomamente programmi di qualunque tipo. Previa richiesta scritta del Responsabile di Area dell assegnatario, il Responsabile IT, verificata la compatibilità dello stesso con gli altri programmi software in uso all ente, provvederà ad effettuare le nuove installazioni E' vietato utilizzare strumenti hardware e/o software in grado di: Rivelare password o codici di accesso nascosti appartenenti ad altri; intercettare comunicazioni o documenti elettronici; falsificare, alterare o sopprimere il contenuto di comunicazioni o documenti elettronici provenienti da altri E' vietato aggirare o tentare di aggirare i sistemi di sicurezza interni e/o esterni ed effettuare operazioni non previste per il livello di utenza attribuita Fondazione Milano si riserva il diritto di controllare, attraverso idonei sistemi, la coerenza dei programmi installati sul profilo utente del personal computer in dotazione all utente. Il Responsabile IT o un suo collaboratore può, in qualunque momento e anche senza preavviso, procedere alla rimozione delle applicazioni che, in qualsiasi modo, alterino la configurazione consentita della postazione di lavoro dell utente E consentito archiviare digitalmente sul proprio PC in locale o per suo tramite sul server aziendale esclusivamente le informazioni e documenti conformi alla normativa e necessari o utili all'attività lavorativa. Pertanto è vietata la memorizzazione di documenti elettronici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica se non per le finalità 3

4 riconducibili alle mansioni assegnate e previa esplicita autorizzazione in conformità alla legge sulla protezione dei dati personali ordinari e sensibili Il PC deve essere spento ogni sera prima di lasciare gli uffici salvo specifiche esigenze lavorative. In ogni caso è vietato lasciare incustodito e accessibile, ovvero cedere a soggetti non autorizzati l uso del PC assegnato, soprattutto successivamente al superamento della fase di autenticazione. Pertanto in caso di allontanamento, anche momentaneo, l'utente deve attivare lo stato di blocco del PC Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il Personale IT nel caso in cui siano rilevati virus ed adottando quanto previsto dal successivo punto 10 (Protezione antivirus) del presente Regolamento ICT relativo alle procedure di protezione antivirus Tutti i supporti magnetici rimovibili (CD e DVD riscrivibili, HD esterni, supporti USB, ecc.), contenenti dati personali e/o comunque attinenti all attività aziendale e/o informazioni costituenti know-how aziendale, sono di proprietà aziendale e devono essere custoditi e trattati con particolare cautela onde evitare che possano essere sottratti o smarriti o danneggiati o che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato indebitamente E' vietata la divulgazione sia in ambito interno che esterno di informazioni relative ai Sistemi Informativi Aziendali. Particolarmente grave è la divulgazione di informazioni che compromettono la sicurezza dei sistemi o la posizione di legalità di Fondazione Milano (programmi, numeri di serie, codici di attivazione etc.) Sui dati salvati in locale (salvati sul proprio profilo e/o sul hard disk del PC) non viene effettuato un backup. Per evitare il rischio di perdite irreversibili dei dati in caso di guasti hardware e/o software si raccomanda vivamente di salvare i file attinenti l'attività lavorativa nelle cartelle condivise sul server Ogni episodio, anche involontario, che possa implicare Fondazione Milano nella eventuale violazione del diritto d'autore e della proprietà intellettuale, incluse le norme di tutela dei programmi (es. software) nonché nella eventuale violazione delle norme per la tutela e sicurezza dei dati personali va riferito tempestivamente al Responsabile dell'area di appartenenza Devono essere prontamente segnalati all'area IT, al Responsabile dell'area IT e all Area Gestionale il furto, lo smarrimento, la manomissione, il danneggiamento o il malfunzionamento dei sistemi assegnati o la violazione dei sistemi di sicurezza. 4. Utilizzo di PC portatili e/o risorse temporaneamente assegnate utilizzabili all esterno della Fondazione 4.1. L'utente è responsabile del PC portatile (Notebook o NB) e/o altri dispositivi assegnatigli e deve custodirli con diligenza sia durante gli spostamenti all interno e all esterno sia durante l'utilizzo sul luogo di lavoro Ai PC portatili e/o altri dispositivi si applicano in quanto compatibili le regole di utilizzo previste per i PC dal paragrafo 3. del presente Regolamento ICT In caso di furto deve essere dato tempestivo avviso a FM. 4

5 5. Gestione ed assegnazioni delle credenziali di autenticazione 5.1. Le credenziali di autenticazione per l accesso alla rete vengono assegnate dal Personale IT, previa formale richiesta del Responsabile dell area nell ambito della quale verrà inserito ed andrà ad operare il nuovo utente Le credenziali di autenticazione consistono in un codice per l identificazione dell utente (user id), assegnato dal Personale IT, associato ad una parola chiave (password) riservata, che dovrà venir custodita dall'incaricato con la massima diligenza e non divulgata in quanto personale, non cedibile o trasmissibile a terzi La parola chiave, formata da lettere (maiuscole o minuscole) e/o numeri e/o caratteri speciali, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all utente L utente è tenuto a conservare nella massima segretezza la parola di accesso e/o qualsiasi altra informazione legata al processo di autenticazione/autorizzazione al PC e/o rete e a modificare immediatamente la password, dandone comunicazione e richiedendo la sostituzione all'area IT, nel caso in cui sospetti che la stessa abbia perso il suo carattere di segretezza. 6. Uso della rete telematica interna aziendale 6.1. Le risorse della rete informatica di Fondazione Milano devono essere utilizzate per le attività istituzionali. E' vietato utilizzare la rete interna aziendale per fini non espressamente previsti e/o autorizzati E' altresì vietato: utilizzare la rete in modo difforme da quanto previsto dalle leggi penali, civili e amministrative in materia di disciplina delle attività e dei servizi svolti sulla rete; utilizzare la rete per attività che influenzino negativamente la regolare operatività della rete o ne restringano l utilizzabilità e le prestazioni; connettere in rete locale apparecchiature elettroniche (PC, stampanti, ecc.) o qualsiasi altro genere di apparato (router, swicth, ecc.) non autorizzato, o comunque se possa alterare la configurazione della rete interna, danneggiare le applicazioni e/o compromettere la sicurezza; connettere in rete PC portatili o supporti magnetici rimovibili (CD e DVD riscrivibili, HD esterni, supporti USB, ecc.) o altre apparecchiature o dotazioni portatili, sui quali siano stati salvati programmi o file di provenienza esterna sospetta o comunque non controllati dai sistemi di sicurezza della rete aziendale e quindi potenzialmente suscettibili di infettarla con virus o comunque malware o di importare nella rete sw illegale o di implicare FM in ogni altro tipo di violazioni Le cartelle di rete sono aree di condivisione di documenti strettamente istituzionali e non possono essere utilizzate per scopi diversi. Pertanto, qualunque file che non sia correlato all'attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. Su queste unità vengono svolte regolari attività di controllo, amministrazione e backup da parte del personale dell'area IT o altro personale incaricato da Fondazione Milano Fondazione Milano si riserva il diritto di rimuovere, qualsiasi tipologia di apparecchiatura elettronica, software installato o file dalla rete interna aziendale che non sia stato in precedenza autorizzato e/o risulti pericoloso per la sicurezza della rete stessa. 5

6 6.5. Nella propria attività quotidiana ciascun utente deve costantemente curare l ordinata tenuta e pulizia degli archivi osservando il metodo più adeguato per il salvataggio dei file. Con regolare periodicità (in ogni caso almeno ogni sei mesi), ciascun utente deve provvedere alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili o duplicati, etc. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo infatti necessario evitare un'archiviazione ridondante. 7. Uso della rete Internet e relativi servizi 7.1. La rete aziendale (intranet e per suo tramite internet) è uno strumento operativo di comunicazione imprescindibile e costituisce a tutti gli effetti uno strumento aziendale necessario allo svolgimento dell attività lavorativa L accesso e l utilizzo della rete aziendale da parte di ciascun utente abilitato (dipendenti, collaboratori, docenti, studenti, stagisti, ospiti, etc.) deve rispettare le prescrizioni del presente Regolamento ICT in quanto applicabili L utente è direttamente responsabile dell uso del servizio di accesso ad Intranet/Internet, dei contenuti che vi ricerca, dei siti che contatta, delle informazioni che vi immette e, più in generale, delle modalità con cui opera E' vietato: usare la rete in modo difforme da quanto previsto dal presente Regolamento ICT e dalle leggi penali, civili e amministrative in materia di disciplina dell attività e dei servizi svolti sulla rete Internet. utilizzare sistemi Peer to Peer (P2P), di file sharing, torrent, cyberlocker, o similari senza autorizzazione il download di file non attinenti all attività lavorativa; Il download di software non autorizzato; accedere a siti web non autorizzati e accettare cookies da siti non autorizzati E' vietato navigare in siti a carattere ludico, erotico, sessuale ed è inoltre vietata la ricerca di documenti informatici e la navigazione nei siti con contenuti di natura oltraggiosa e/o discriminatoria per sesso/etnia/religione/opinione e/o appartenenza sindacale e/o politica La navigazione in internet può formare oggetto di controllo, anche in modo casuale e/o graduale, rispettando i principi di pertinenza e non eccedenza e tenendo conto delle linee guida del Garante in materia di posta elettronica e Internet. 8. Uso della Posta Elettronica aziendale 8.1. La casella di posta elettronica assegnata all'utente è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse Non è consentito di utilizzare le caselle di posta elettronica aziendale per motivi diversi da quelli strettamente legati all'attività lavorativa E vietato aderire e/o rispondere e/o replicare e/o diffondere eventuali messaggi delle cosiddette "Catene di Sant'Antonio" (messaggi a diffusione capillare e moltiplicata) e/o SPAM, che devono essere immediatamente eliminati dalla posta aziendale Nel caso di messaggi ancorché provenienti da mittenti conosciuti - che abbiano un contenuto sospetto o insolito (ad es. una cattiva traduzione in italiano da una qualsiasi 6

7 lingua straniera) o allegati sospetti (file con estensione.exe /.scr /.pif /.bat /.cmd), o allegati insoliti o link a siti web, per non correre il rischio di incorrere in possibili azioni di phishing o di essere infettati da virus o malware, è fatto obbligo di eliminare i messaggi senza aprirli Qualora invece si sia già informati o si ritenga che tali messaggi o allegati rivestono carattere di utilità aziendale, si deve comunque richiedere la preventiva autorizzazione dell Area IT Nel caso di messaggi provenienti da mittenti sconosciuti - - che abbiano un contenuto sospetto o insolito (ad es. una cattiva traduzione in italiano da una qualsiasi lingua straniera) o allegati sospetti (file con estensione.exe /.scr /.pif /.bat /.cmd.) o allegati insoliti o link a siti web, per non correre il rischio di incorrere in possibili azioni di phishing o di essere infettati da virus, è fatto obbligo di eliminare i messaggi senza aprirli. In caso di dubbio rivolgersi al personale dell Area IT La password collegata al proprio indirizzo di posta elettronica è strettamente riservata e dovrà venir custodita dall'incaricato con la massima diligenza e non divulgata in quanto personale, non cedibile o trasmissibile a terzi L utente è tenuto a conservare nella massima segretezza la password di posta elettronica e a modificarla immediatamente, dandone comunicazione e/o richiedendo la sostituzione all'area IT, nel caso in cui sospetti che la stessa abbia perso il suo carattere di segretezza 9. Utilizzo di telefonia fissa e mobile, tablet, fax, stampanti e fotocopiatrici aziendali 9.1. Il telefono fisso aziendale affidato all utente è uno strumento di lavoro. Ne viene concesso l uso esclusivamente per lo svolgimento dell attività lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti l attività lavorativa stessa. La ricezione o l effettuazione di telefonate personali è consentito solo nel caso di comprovata necessità ed urgenza Qualora venisse assegnato un telefono cellulare o uno smart-phone, o un tablet aziendale all utente, quest ultimo sarà responsabile del suo utilizzo e della sua custodia. Si applicano le regole comunicate al momento della consegna e/o successive comunicazioni inviate da Fondazione Milano. In ogni caso l uso dell apparecchiatura assegnata è soggetta alle prescrizioni del presente Regolamento ICT in quanto applicabili È vietato l utilizzo dei fax aziendali per fini personali, tanto per spedire quanto per ricevere documentazione, salva esplicita autorizzazione È vietato l utilizzo delle fotocopiatrici e stampanti aziendali per fini personali, salvo preventiva ed esplicita autorizzazione. 10. Protezione Antivirus Il sistema informatico di Fondazione Milano è protetto da software antivirus aggiornato quotidianamente. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico aziendale mediante virus o mediante ogni altro software aggressivo Nel caso che il software antivirus rilevi la presenza di un virus, l'utente dovrà immediatamente sospendere ogni elaborazione in corso senza spegnere il computer e segnalare l'accaduto al Personale IT. 7

8 10.3. Si raccomanda massima attenzione nell'utilizzo di supporti rimovibili quali: cd/dvd, dvd riscrivibili, supporti usb, hard disk esterni etc. In ogni caso è vietato l'utilizzo dei suddetti supporti nel caso di dubbia provenienza senza autorizzazione dell area IT In caso di anomalie e/o problematiche legate a virus e antivirus informare immediatamente il Personale IT. 11. Osservanza delle disposizioni in materia di Privacy È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza ai sensi del D.Lgs. n.196/2003 e successive modifiche. 12. Non osservanza della normativa aziendale È fatto obbligo a tutti gli utenti di osservare le disposizioni portate a conoscenza con il presente Regolamento ICT. Il mancato rispetto o la violazione delle regole contenute nel presente Regolamento ICT è perseguibile con provvedimenti disciplinari nonché con le azioni civili e penali consentite. 13. Aggiornamento e revisione Gli utenti possono proporre, quando ritenuto necessario, integrazioni motivate al presente Regolamento ICT tramite comunicazione a helpdesk@fondazionemilano.eu. Le proposte verranno esaminate dalla Direzione Generale congiuntamente con altre funzioni ritenute appropriate Il presente Regolamento ICT è soggetto ad aggiornamento e revisione a seconda delle necessità e comunque con frequenza almeno annuale Eventuali modifiche verranno comunicate da Fondazione Milano attraverso i canali istituzionali (sito web, mail, bacheche aziendali). 14. Entrata in vigore e diffusione Il nuovo Regolamento ICT entrerà in vigore il 02/11/ verranno utilizzate le misure idonee alla più ampia diffusione del presente regolamento Data 13/10/2015 Dott.ssa Monica Gattini Bernabò Direttore Generale 8