⚠️ Warning: Extraordinary electrical maintenance – Scheduled shutdown of the Cloud garr-ct1 region (Catania) from 22 to 29 July 2025. For more details, please read the maintenance notice.

Estratto della Politica per la Sicurezza delle Informazioni

Il Consortium GARR (GARR) considera un bene prezioso le informazioni che gli utenti affidano o trattano attraverso le tecnologie informatiche che mette a loro disposizione. Pertanto il GARR intende assumersi la responsabilità di proteggere e valorizzare tale patrimonio impegnandosi a garantire che tali informazioni possano essere utilizzate con la debita garanzia di accuratezza e completezza, che siano adeguatamente protette da uso improprio, da divulgazione non autorizzata e da danni o perdite.

La presente Politica per la Sicurezza delle Informazioni esprime tale impegno del GARR, nei confronti sia delle istituzioni aderenti al GARR che della sua comunità di riferimento, a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività di erogazione di servizi cloud.

Il Consortium GARR si impegna a preservare la riservatezza, l'integrità e disponibilità delle informazioni di cui viene in possesso per l'espletamento delle proprie attività di fornitura di servizi cloud, ed a provvedere alla sicurezza degli strumenti utilizzati per il loro trattamento. A questo scopo il Consortium GARR definisce ed implementa di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme allo standard ISO 27001.

Il GARR si impegna a motivare i dipendenti a partecipare proattivamente all'applicazione del SGSI ed al suo miglioramento continuo. Si impegna inoltre ad allocare le risorse per la sua corretta ed efficace applicazione. Si impegna inoltre a rispettare i requisiti della sicurezza delle informazioni, con i seguenti obiettivi:

  • I dati devono essere sottoposti a backup su base regolare, protetti da accessi non autorizzati o modifiche durante l'archiviazione e disponibili per essere recuperati tempestivamente nell'evento di incidente o disastro;
  • tecniche di crittografia devono essere utilizzate per proteggere i dati sensibili durante la trasmissione e stoccaggio;
  • meccanismi di rilevamento degli incidenti devono essere implementati per tutti i sistemi IT;
  • devono essere applicate le patch di sicurezza e devono essere implementati i processi di gestione delle vulnerabilità sulle risorse IT;
  • è necessario registrare eventi chiave relativi alla sicurezza, come le modifiche ai privilegi degli utenti, al fine di identificare potenziali attività non autorizzate e facilitare azioni di follow-up appropriate;
  • qualsiasi modifica ai sistemi in uso presso il GARR deve essere registrata e valutata per la sicurezza e l'impatto sul rischio;
  • le applicazioni Web relative ai servizi GARR devono essere progettate, costruite e verificate per garantire che la sicurezza sia applicata a tutti i livelli dell'applicazione e dello stack tecnologico;
  • le strutture in cui sono conservate o elaborate informazioni critiche, devono essere costruite e disposte in modo tale che i dati siano adeguatamente protetti da minacce fisiche ed ambientali;
  • l'architettura di rete deve essere commisurata ai requisiti delle attività attuali e future, nonché alle minacce alla sicurezza; 
  • i rischi relativi alla sicurezza delle informazioni devono essere identificati, mitigati e monitorati attraverso un processo formalizzato di gestione del rischio;
  • tutti gli utenti che hanno accesso alle reti, ai sistemi e ai servizi IT di GARR devono aderire regole specifiche riguardanti l'uso delle risorse.

Il Consortium GARR si impegna a diffondere il presente documento presso tutte le parti interessate, che includono i dipendenti, gli utenti, la comunità scientifica nazionale ed europea, i soci, i cittadini italiani ed europei ed i fornitori del Consortium GARR.