I servizi di telecomunicazione stanno diventando sempre più complessi e, di conseguenza, dipendono fortemente da infrastrutture tecniche altamente sviluppate. Difetti di software e di hardware, errori umani, virus e attacchi di hacker possono compromettere la qualità del servizio o, nel peggiore dei casi, generare guasti del sistema. La certificazione ISO 27001 sul sistema di gestione per la sicurezza delle informazioni (ISMS) di Sunrise, insieme al sistema di gestione della continuità operativa (Business Continuity Management System, BCMS) dell’azienda, garantisce che i servizi Sunrise soddisfino i più elevati standard e, con questi, le esigenze dei clienti.
La certificazione ISO 27001 è stata verificata da un’agenzia di revisione esterna e garantisce i più alti standard di qualità all’interno dell’azienda. Ciò vale per i processi relativi al personale e all’operatività in tutte le sedi, per il trattamento dei dati e dei messaggi dei clienti, nonché per l’infrastruttura tecnica e i servizi per l’elaborazione, la memorizzazione e la trasmissione dei dati e dei messaggi dei clienti. La certificazione si estende sia ai dati dei clienti privati che a quelli dei clienti commerciali.
Un sistema di gestione della sicurezza delle informazioni (ISMS) mantenuto in modo attivo è uno dei requisiti essenziali per una gestione efficace ed efficiente della sicurezza delle informazioni. Il nostro ISMS definisce regole e metodi per garantire la sicurezza delle informazioni. L’ISMS è orientato al concetto di processo e segue un approccio top-down: questo parte dalla direzione aziendale, ovvero l’Audit Committee in qualità di organo del Consiglio di amministrazione, passa per il Comitato direttivo e l’ISMS-Steering Board, guidato dall’Information Security Officer, e giunge fino ai collaboratori. In particolare, la maturità viene definita attraverso una valutazione del rischio regolarmente aggiornata. Lo stato dell’ISMS viene illustrato trimestralmente al comitato del Consiglio di amministrazione (Audit-Committee). L’Internal Audit verifica regolarmente i settori al fine di monitorarne la conformità ai requisiti. L’ISMS-Steering Board riunisce le rappresentanze di tutti i settori aziendali e si tiene regolarmente più volte durante l’anno.
Sunrise ha elaborato delle specifiche di sicurezza per l’attuazione di misure adeguate, denominate «Policies», «Procedures» e «Guidelines». Le nostre Policies in materia di sicurezza delle informazioni tengono conto anche delle disposizioni sulla protezione dei dati. La sicurezza delle informazioni e la protezione dei dati sono caratterizzate da una notevole intersezione e, laddove non si tiene conto dei requisiti per la protezione dei dati, gli altri aspetti specifici sono regolati da una politica sulla protezione dei dati chiara sulla base di principi quali la trasparenza, il vincolo di scopo, la minimizzazione dei dati, la correttezza, l’integrità, la riservatezza e la responsabilità. Sunrise fornisce informazioni trasparenti sul trattamento dei dati personali ricevuti (informativa sulla protezione dei dati). Il rispetto della sicurezza delle informazioni e della protezione dei dati, in particolare anche il trattamento dei dati sensibili, che in termini di protezione dei dati comprendono anche i dati personali, è una questione puramente dinamica. In tal senso, prevediamo un miglioramento continuo con l’aiuto di un processo in quattro fasi (Deming Circle: Plan, Do, Check, Act).
Per garantire che tutti i collaboratori restino aggiornati in materia, Sunrise conduce un Awareness e-Learning annuale e obbligatorio. Questo include sia il tema della sicurezza delle informazioni che quello della protezione dei dati. In base alle esigenze e al livello vengono condotte regolarmente altre iniziative di Awareness. I collaboratori sono inoltre incoraggiati a contribuire attivamente segnalando episodi lesivi della sicurezza e della protezione dei dati. A tal fine, sono resi disponibili mezzi adeguati. Qualora si intenda effettuare una segnalazione in forma anonima, questa può essere inoltrata anche tramite il Whistleblowing Portal. Per quanto riguarda gli incidenti relativi alla protezione, Sunrise ha predisposto una procedura specifica come parte delle ISMS Policies. La violazione della sicurezza in termini di protezione dei dati è integrata di conseguenza. Nel ciclo di vita aziendale dei dati, le questioni chiave sono l’accesso ai dati (in particolare identificazione e autenticazione), la durata di vita dei dati (in particolare la pseudonimizzazione, il salvataggio dei dati, la distruzione dei dati), la trasmissione dei dati (in particolare la trasmissione sicura, la codificazione) e il diritto di accesso ai dati (in particolare il diritto di informazione, la correzione dei dati). Questi argomenti sono parte delle Sunrise Policies esistenti per assicurare che i dati sensibili vengano monitorati fino alla loro definitiva cancellazione.
In considerazione delle crescenti sfide nel settore della sicurezza informatica, Sunrise ha centralizzato le sue operazioni di sicurezza in un Security Operation Center (SOC) per proteggere i dati aziendali e dei clienti in modo più efficace, efficiente e con la necessaria priorità strategica.
In un mondo collegato in rete come quello odierno, la sicurezza informatica è una questione centrale. Non è possibile evitare rischi di natura informatica in modo totale, né escludere la violazione delle disposizioni sulla sicurezza e sulla protezione dei dati. Tali eventualità possono provocare danni e perdita di reputazione, motivo per cui Sunrise ha stipulato anche una cosiddetta assicurazione Cyber Risk adeguata.