La sicurezza in RWS

Il processo di approvvigionamento di RWS richiede che i nuovi fornitori siano sottoposti a una valutazione dei rischi di sicurezza prima dell'onboarding. Ai fornitori viene assegnata una categoria di rischio in base a una serie di criteri, tra cui: criticità dei beni/servizi da fornire e sensibilità delle informazioni o delle strutture a cui accedono.

Sì, la politica di gestione della sicurezza dei fornitori del Gruppo RWS specifica i requisiti di sicurezza per i fornitori di terze parti.

RWS esegue la scansione mensile delle vulnerabilità della propria infrastruttura rivolta al pubblico. I punti deboli vengono valutati in termini di rischio e viene applicata un'adeguata mitigazione in conformità alla politica globale sui test di sicurezza. Un membro del team di sicurezza delle informazioni è anche membro del consiglio globale di consulenza sulle modifiche IT per valutare l'impatto sulla sicurezza delle modifiche proposte.

La politica sul ciclo di vita dello sviluppo software sicuro del Gruppo RWS specifica il modo in cui i prodotti devono essere sviluppati in modo sicuro. La sicurezza è parte integrante di ogni fase di sviluppo, dalla raccolta dei requisiti fino a progettazione, implementazione, verifica e rilascio. Le modifiche vengono testate prima del rilascio.

Sì, RWS utilizza Service Center e ServiceNow per tenere traccia dei flussi di lavoro, dall'apertura dei ticket all'assegnazione e alla risoluzione. Sono in vigore degli SLA a seconda della criticità dell'incidente/cambiamento o del problema.

Sì. RWS ha una politica IT di sicurezza e di utilizzo accettabile.

RWS conserverà i dati dei clienti solo per il tempo necessario all'esecuzione dei servizi e in ogni caso nel rispetto di quanto stipulato nel contratto.

Sì, RWS dispone di un team dedicato per la gestione di software e risorse (SAM) e utilizza uno strumento per le risorse denominato Lansweeper e Flexera sulla rete RWS. Lansweeper rileva e registra automaticamente gli elementi sulla rete aziendale RWS, inclusi dettagli quali proprietario, tipo di risorsa, software installato, garanzia e configurazione; tutte le risorse hanno un proprietario assegnato.

Sì, le patch vengono applicate automaticamente agli endpoint mediante l'applicazione centralizzata delle patch. L'applicazione di patch con aggiornamenti ai server viene eseguita almeno una volta all'anno. In genere, l'applicazione di patch viene eseguita durante la finestra di manutenzione mensile di routine. Le patch di altri tipi (ad esempio SQL, Antivirus) vengono eseguite ad-hoc quando desiderato, ma devono essere testate su un sistema di sviluppo o di staging prima della produzione, laddove tali sistemi esistono.

Sì, i ruoli e le responsabilità di gestione delle modifiche sono governati dal processo CAB in cui sono inclusi i responsabili e le parti interessate, tra cui i responsabili IT e gli eventuali tester di sistema RWS; eventuali modifiche di sistema vengono testate prima dell'implementazione e/o della distribuzione. Le modifiche di emergenza vengono eseguite allo stesso modo del processo di gestione delle modifiche standard, garantendo che le modifiche vengano catalogate, registrate, testate, concordate e implementate. L'implementazione delle modifiche è responsabilità della gestione dei rilasci, tuttavia il processo nel suo insieme è responsabilità di CAB.

Sì, RWS dispone di una politica di accesso logico che specifica i processi da utilizzare per gestire l'accesso logico.

Sì, il programma di valutazione dei rischi di RWS è di responsabilità del dirigente RWS e viene comunicato ai dipendenti interessati.

Il programma di gestione dei rischi per la sicurezza RWS è descritto nella politica di gestione dei rischi per la sicurezza del Gruppo. Il documento contiene la metodologia da utilizzare per l'identificazione e la gestione dei rischi per la sicurezza, tra cui: identificazione delle risorse; analisi dell'impatto; valutazione dei rischi; identificazione e applicazione dei controlli; monitoraggio dell'efficacia dei controlli. I rischi vengono valutati periodicamente o quando si verifica una modifica significativa che potrebbe avere un impatto sulla riservatezza, sull'integrità o sulla disponibilità delle informazioni o dei beni di RWS. La supervisione e la governance dei processi di gestione dei rischi sono esercitate dal Security Governance, Risk and Compliance Manager e dall'Information Security Steering Committee, secondo i casi.

Sì, RWS prende molto sul serio la riservatezza dei dati. Per informazioni sulla privacy, la nostra Informativa sulla privacy è disponibile qui: www.rws.com/it/legal/privacy/

Sì, i clienti possono visualizzare la nostra certificazione ISO 27001 all'indirizzo www.rws.com/it/legal/security

Sì, il software RWS ospitato da RWS Cloud Operations rientra nell'ambito del nostro report SOC 2 Tipo II. Una sintesi esecutiva del report è disponibile su richiesta.

Sì. Il programma di sicurezza delle informazioni di RWS è di proprietà del Chief Information Officer ed è gestito nel corso dell'anno dall'Information Security Steering Committee di livello esecutivo per garantire che continui a sostenere gli obiettivi aziendali.

Sì. Il Chief Information Officer di RWS è lo sponsor esecutivo della sicurezza delle informazioni. La responsabilità della gestione quotidiana del sistema di gestione della sicurezza delle informazioni di RWS e la conformità continua ai requisiti di sicurezza sono affidate a un piccolo team guidato dal Security Governance, Risk and Compliance Manager di RWS.

Sì, la politica di sicurezza delle informazioni di RWS è approvata e firmata dallo sponsor esecutivo per la sicurezza delle informazioni e stabilisce i requisiti di sicurezza di alto livello che consentono a RWS di mantenere e sviluppare continuamente il proprio sistema di gestione della sicurezza delle informazioni.

Le nostre politiche vengono riviste almeno una volta l'anno. I documenti interni possono essere visualizzati dai clienti presso la sede o da remoto durante un controllo sulla base di NDA/MNDA. 

Politica di sicurezza delle informazioni ISMS del Gruppo RWS
Politica di sicurezza delle informazioni del Gruppo RWS
Politica di gestione dei rischi per la sicurezza del Gruppo RWS (interna)
Politica sui test di sicurezza del Gruppo RWS (interna)
Politica di accesso logico del Gruppo RWS (interna)
Politica sulla continuità aziendale del Gruppo RWS (interna)
Politica sulla classificazione e la gestione del Gruppo RWS (interna)
Politica sulla gestione degli incidenti alla sicurezza delle informazioni del Gruppo RWS (interna)
Politica sulla sicurezza fisica del Gruppo RWS (interna)
Informativa sulla privacy del Gruppo RWS (interna)
Politica sui sistemi IT del Gruppo RWS (interna)
Politica sui controlli crittografici del Gruppo RWS (interna)
Politica sulla gestione della sicurezza dei fornitori del Gruppo RWS (interna)
Politica sullo sviluppo software sicuro del Gruppo RWS (interna)
Politica di utilizzo accettabile ISMS del Gruppo RWS (interna)
Politica di eccezioni alla sicurezza ISMS del Gruppo RWS (interna) 

Le nostre politiche sono pubblicate sull'Intranet aziendale e sono disponibili per tutti i dipendenti RWS; le politiche vengono regolarmente comunicate ai dipendenti RWS tramite formazione e consapevolezza obbligatoria sulla sicurezza e sulla privacy.

Sì.

Sì. RWS dispone di un processo e di una politica di eccezioni ai criteri di sicurezza.

Sì, l'eventuale mancata conformità alle nostre politiche sulla sicurezza delle informazioni sarà esaminata dal team globale per la sicurezza delle informazioni e successivamente inoltrata al management e al team HR competente per ulteriori indagini e azioni, se necessario. Le sanzioni dipendono dalla gravità dell'incidente e possono comportare azioni disciplinari che includono il licenziamento.

L'ufficio legale di RWS monitora i requisiti legali e normativi pertinenti che si applicano a RWS. I requisiti normativi relativi alla sicurezza delle informazioni saranno discussi tra il responsabile dell'ufficio legale e il responsabile globale alla sicurezza delle informazioni e le modifiche al programma di sicurezza verranno apportate a seconda dei casi.

Qualsiasi richiesta legittima sarebbe gestita dal nostro team legale e prenderebbe in considerazione eventuali obblighi contrattuali e requisiti legali.

Sì, la politica sulla gestione degli incidenti alla sicurezza delle informazioni del Gruppo RWS è pubblicata e accessibile a tutti i dipendenti sulla intranet di RWS e include, a titolo esemplificativo ma non esaustivo: monitoraggio e preparazione; identificazione; contenimento; mitigazione; recupero; e follow-up.

Sì, la politica sulla gestione degli incidenti alla sicurezza delle informazioni del Gruppo RWS è pubblicata e accessibile a tutti i dipendenti sulla intranet di RWS e include, a titolo esemplificativo ma non esaustivo: monitoraggio e preparazione; identificazione; contenimento; mitigazione; recupero; e follow-up.

Sì, il fornitore di rete di RWS monitora il traffico e fornisce avvisi in caso di attività anomale e RWS utilizza IDS/IPS nelle aree chiave della rete per rilevare e prevenire le intrusioni. Gli endpoint dispongono di software di prevenzione/rilevamento appropriato.

Sì. La formazione sulla consapevolezza della sicurezza delle informazioni è una parte fondamentale del processo di onboarding per personale, appaltatori e freelance RWS. Successivamente, la formazione sulla sicurezza delle informazioni basata su computer viene effettuata annualmente a tutti i dipendenti in un modulo di apprendimento dedicato. Inoltre, la formazione sulla consapevolezza della sicurezza delle informazioni viene fornita nell'ambito della formazione annuale sul Codice di condotta e attraverso la nostra frequente campagna "Think Security".

Sì. Tutti i neoassunti vengono sottoposti a controlli dell'identità e del diritto al lavoro. Ove richiesto dal loro ruolo nell'organizzazione o dagli obblighi nazionali, possono essere effettuati ulteriori controlli di background in conformità alle normative vigenti.

I freelance di RWS non sono soggetti a controlli di background come standard. Tuttavia, abbiamo stipulato un accordo con i nostri freelance che include misure minime di sicurezza, e i clienti possono richiedere la riservatezza e il controllo di background per i freelance come concordato contrattualmente, nel rispetto delle normative locali.

Sì, tutti i neoassunti devono completare la formazione obbligatoria sulla consapevolezza della sicurezza delle informazioni e la formazione sul Codice di condotta, che include anche elementi di sicurezza. Al momento del licenziamento, si ricordano ai dipendenti le loro responsabilità in merito alla sicurezza post-impiego. Tutte le risorse vengono recuperate e gli account vengono sospesi in attesa di revisione e cancellazione.

Sì, la politica sulla classificazione e la gestione del Gruppo RWS copre le aree relative alla distruzione dei dati e alla sanificazione dei supporti. I processi specifici per implementare la politica sono di proprietà e gestiti dai rispettivi proprietari di tecnologie.