Sicurezza informatica e riservatezza dei dati

  • Sicurezza informatica

  • Riservatezza dei dati

La sicurezza informatica è la pratica di difendere computer, servizi, dispositivi mobili, sistemi elettronici, reti e dati da attacchi dannosi. Il crimine informatico non è una novità. Maggiore connettività, lavoro remoto, dipendenza dalla tecnologia e automazione aumentano il rischio di attacchi. Inoltre, i cambiamenti nelle modalità di lavoro guidati dalla pandemia hanno creato maggiori opportunità per i cybercriminali. 

RWS comprende che la nostra preparazione in tema di sicurezza informatica deve continuare a evolversi per affrontare rischi sempre nuovi. 

La strategia di sicurezza di RWS è stabilita dall'Information Security Steering Committee (ISSC) presieduto dal CTO, che è lo sponsor esecutivo per la sicurezza. Questo gruppo comprende le parti interessate di tutte le Divisioni e alcune business unit al fine di collaborare al miglioramento continuo del sistema di gestione della sicurezza delle informazioni (ISMS), che contribuisce anche a promuovere il nostro programma di integrazione, aumenta la consapevolezza e supporta un approccio alla sicurezza delle informazioni coerente basato sul rischio. Inoltre, l'ISSC fornisce supervisione e governance dei rischi per la sicurezza delle informazioni. 

RWS sta adottando il quadro di sicurezza informatica NIST per fornire una struttura comune al nostro Information Security Management System (ISMS) e focalizzare i nostri sforzi. Questo ci ha aiutato a ottenere la certificazione ISO27001:2013 riconosciuta a livello globale per le nostre soluzioni di prodotti in hosting, le nostre divisioni Regulated Industries e IP Services con i relativi servizi di supporto, persone, processi e tecnologie. RWS detiene inoltre certificati SOC2 per le sue funzioni Cloud Operations e Language Services. L'ISMS fornisce una base solida che offre a RWS l'agilità necessaria per sviluppare ulteriormente i controlli necessari per soddisfare una serie di requisiti di conformità della sicurezza delle informazioni specifici per settore, se considerati nell'interesse dell'azienda. Il nostro continuo impegno per migliorare ed espandere l'ambito del nostro sistema ISMS certificato garantisce l'implementazione e la convalida esterna di controlli di sicurezza delle informazioni riconosciuti a livello internazionale a vantaggio sia di RWS che dei nostri clienti.

Poiché sappiamo che i rischi per la sicurezza esisteranno sempre, una parte importante delle nostre iniziative di integrazione continua è l'implementazione di una serie di policy per la sicurezza delle informazioni che fornirà una guida di sicurezza di alto livello a tutte le funzioni RWS in diverse aree, tra cui, a titolo esemplificativo ma non esaustivo: gestione del rischio, sicurezza fisica, privacy e gestione degli incidenti. Queste aree definiscono l'approccio di RWS al raggiungimento degli obiettivi e dei traguardi aziendali, garantendo al contempo un approccio coerente alla gestione del rischio. 

L'analisi dei rischi per la sicurezza, in conformità alle politiche e ai processi approvati, identifica le minacce, considera la probabilità che la minaccia si materializzi e valuta l'eventuale impatto potenziale sugli obiettivi aziendali. Questo approccio strutturato informa i responsabili decisionali e consente loro di identificare se la mitigazione è appropriata e, in tal caso, quale forma deve adottare, ad esempio l'interruzione di un'attività, l'implementazione di controlli tecnici o l'aggiornamento di processi che riducono il rischio a un livello accettabile. La selezione di misure o controlli di attenuazione appropriati è basata su consulenze e indicazioni del team di sicurezza, ma è responsabilità del proprietario dell'attività/del rischio. Se il proprietario di un'attività non è in grado di affrontare il rischio in modo soddisfacente, è possibile l'inoltro al livello successivo nella catena di gestione. I rischi per la sicurezza sono acquisiti e gestiti attraverso il nostro processo di gestione del rischio, che è responsabilità del nostro CFO e condiviso con il Consiglio con cadenza annuale. 

RWS si avvale di una "difesa approfondita" nel suo approccio alla sicurezza ed è consapevole dell'importanza di test regolari dei controlli di sicurezza. Di conseguenza, effettuiamo regolarmente un'analisi delle vulnerabilità della nostra infrastruttura interna ed esterna e, su richiesta di alcuni dei nostri clienti, gli elementi della nostra infrastruttura rivolta al pubblico sono sottoposti a test periodici di penetrazione. Ciò consente di identificare e analizzare i punti deboli per determinare la mitigazione più appropriata da applicare. 

Nel Regno Unito, il sondaggio Cyber Security Breaches ha rilevato che l'83% delle aziende ha segnalato attacchi di phishing negli ultimi 12 mesi, rendendolo il tipo di attacco più diffuso. Anche RWS è stata periodicamente oggetto di tali attacchi e, sebbene i nostri controlli tecnici blocchino la maggior parte degli spam e dei messaggi dannosi, è inevitabile che alcune e-mail di phishing arrivino a destinazione. Poiché sappiamo che è probabile che questo sia l'anello più debole, manteniamo e miglioriamo continuamente il nostro regime di consapevolezza della sicurezza per fornire ai dipendenti le informazioni necessarie per identificare tali minacce, riducendo così i rischi. Oltre a diffondere regolari comunicazioni e iniziative in materia di sicurezza attraverso il nostro sistema di gestione dell'apprendimento, MyLX, RWS si avvale di fornitori esterni per offrire formazione sulla sicurezza, valutazioni delle conoscenze e test che ci consentono di identificare l'eventuale necessità di ulteriori corsi di formazione, monitorarne l'erogazione e la partecipazione e verificarne l'efficacia.

Sappiamo che l'implementazione delle difese informatiche può essere costosa, ma sappiamo che dobbiamo continuare a sviluppare la nostra resilienza per supportare l'azienda. La nostra roadmap per la sicurezza adotta un approccio equilibrato e conveniente al miglioramento continuo per fornire una protezione adeguata, in modo che le nostre difese siano sufficienti a contrastare le minacce note, ma non eccessive. Ad esempio, RWS ha quasi completato l'implementazione dell'autenticazione multifattore (MFA) per accedere alla nostra rete privata virtuale. Inoltre, sappiamo che non tutti gli attacchi informatici possono essere prevenuti e abbiamo ingaggiato un partner esterno per avere una capacità di rilevamento e risposta 24 ore su 24, 7 giorni su 7, e consentire la risoluzione degli incidenti il prima possibile per ridurre al minimo l'impatto aziendale.

RWS garantisce la conformità alla legislazione sulla protezione dei dati giurisdizionale pertinente. Con sede nel Regno Unito, RWS ha adottato il GDPR dell'UE e il Data Protection Act del 2018 del Regno Unito come benchmark per la protezione dei dati. Abbiamo una serie completa di politiche che riflettono la legislazione sulla privacy applicabile e identificano processi, procedure e pratiche incentrate sulla protezione delle informazioni aziendali riservate (CBI) e delle informazioni di identificazione personale (PII). 

Essendo consapevoli del requisito di "privacy by design", forniamo funzionalità all'interno del software RWS per consentire ai clienti di rispettare i propri obblighi ai sensi della legge sulla protezione dei dati. RWS elabora i dati personali per conto dei clienti quando fornisce servizi di localizzazione o quando concede in licenza il nostro software tramite SaaS. I nostri clienti raccolgono i dati e li trasferiscono a RWS per elaborarli. I dati del cliente vengono tradotti, trasmessi e memorizzati nell'ambiente RWS e al termine vengono eliminati in conformità ai criteri di eliminazione interni o come specificato dal cliente. 

Analogamente, quando RWS concede in licenza il software di gestione dei contenuti Web, il cliente determina i parametri di raccolta e conservazione dei dati. RWS elabora i dati dei clienti in conformità con le istruzioni concordate con i clienti stessi in accordi di non divulgazione, contratti e accordi di trattamento dei dati. 

RWS non esegue la profilazione dettagliata dei clienti consumer per conto dei clienti. I dati forniti dai clienti non vengono mai venduti o noleggiati. Come richiesto per eseguire i servizi, RWS divulgherà i dati a società affiliate e subappaltatori di terze parti approvati; tali trasferimenti sono governati in base ad accordi sul trattamento dei dati appropriati. Nell'esercizio 2020/21 non sono state divulgate o trasmesse informazioni sensibili, tra cui PII e CBI. Di conseguenza, nessun cliente è stato interessato da tali incidenti.