Policy sicurezza informatica: 15 regole fondamentali da conoscere

Una policy di sicurezza informatica è uno strumento indispensabile per stabilire in che modo l’azienda gestisce i processi di cyber sicurezza.

Per costruire una policy adeguata, ci sono alcuni aspetti che bisogna conoscere.

In questo articolo, gli esperti del team ISEC di Ecoh Media spiegano le regole che dovresti sempre includere nella tua policy.

Policy di sicurezza informatica: che cos’è e a cosa serve

Quando parliamo di policy di sicurezza informatica ci riferiamo a un documento interno all’azienda, che dà disposizioni organizzative e tecniche in fatto di cyber sicurezza. Queste indicazioni devono valere per i dipendenti e per i collaboratori esperti.

Di norma, il documento viene redatto con l’aiuto del reparto IT o di un tecnico IT con l’approvazione del management.

Prima di redigere la policy è buona norma eseguire un risk assessment per valutare a quante e quali minacce l’azienda è vulnerabile.

I punti cardine su cui ogni azienda deve lavorare per sviluppare i processi di sicurezza informatica infatti sono tre:

1. analisi del rischio e delle vulnerabilità;
2. mitigazione del rischio attraverso l’adozione di strumenti tecnologici e organizzativi;
3. monitoraggio del livello di sicurezza.

Attenzione: questo strumento non sostituisce le regole del GDPR e delle altre normative in vigore. Si tratta di una serie di linee guide interne, che devono essere in linea con le leggi esistenti e che possono essere personalizzate da ciascuna azienda.

L’obiettivo è sempre questo: ridurre i rischi, velocizzare le risposte in caso di attacco, chiarire le responsabilità.

Policy sicurezza informatica aziendale: i vantaggi

Avere una policy di sicurezza informatica aziendale è vantaggioso tanto per l’organizzazione quanto per i dipendenti e i collaboratori. Infatti questo documento regolamenta anche gli usi e le risorse assegnate, definendo chiaramente le responsabilità di ciascun lavoratore. Rappresenta quindi uno strumento di tutela legale per tutti gli attori. 

Tra i vantaggi di una policy, possiamo elencare:

1. Riduzione dell’esposizione al rischio informatico;
2. Riduzione dei tempi di reazione a eventuali attacchi informatici;
3. Riduzione dell’errore umano;
4. Migliore protezione dei dati.

Per ottenere ulteriori benefici è anche utile far firmare a dipendenti e collaboratori un patto di riservatezza. Si tratta di un accordo scritto, in cui il personale si impegna a non divulgare dati o informazioni sensibili appartenenti all’azienda.

Non solo: i dati sensibili non dovrebbero essere trasmessi neppure all’interno dell’azienda. Un dipendente che sia a conoscenza di un dato sensibile o rilevante non dovrebbe comunicarlo ai colleghi. Purtroppo, le statistiche mostrano che il numero di frodi informatiche operate dagli impiegati stessi non è trascurabile. L’accordo di riservatezza dovrebbe quindi riguardare il flusso di informazioni in uscita e anche internamente all’organizzazione.

Le 15 regole fondamentali da conoscere

Abbiamo già accennato al fatto che la Policy deve essere scritta da personale esperto di informatica. Può essere una risorsa interna o un consulente esterno. Occorre poi che queste linee guida siano condivise con il CdA o con il management.

La sicurezza informatica infatti va intesa come un approccio organizzativo in primis, che permea ogni funzione e ogni processo aziendale.

Abbiamo definito lo scopo della policy: ridurre i rischi, velocizzare le risposte in caso di attacco, chiarire le responsabilità.

Ed abbiamo anche spiegato che la policy deve comprendere tutte le fasi di una strategia di sicurezza informatica: analisi del rischio, mitigazione delle vulnerabilità, monitoraggio

Resta un ultimo aspetto da chiarire: quali disposizioni deve contenere una buona policy di sicurezza informatica?

Eseguita una pianificazione strategica della cyber security aziendale, è ora di trasformare la teoria in disposizioni pratiche che ciascuna risorsa deve mettere in atto secondo le proprie competenze e responsabilità.

Ecco le 15 regole che dovresti inserire sempre nella policy di sicurezza della tua azienda

1. Individuare quali sono i dati da proteggere, il livello di rischio e la priorità nella protezione;
2. Eseguire un risk assessment e una vulnerability assessment e un monitoraggio periodico per rivalutare il rischio nel tempo;
3. Adottare e implementare le misure tecnologiche e organizzative più adeguate a ridurre il rischio informatico (software, formazione del personale, conservazione dei dati ecc);
4. Eseguire backup dati su server o cloud sicuri;
5. Crittografare – ove possibile – i dati più sensibili per l’azienda;
6. Stabilire quali dispositivi aziendali e personali possono essere utilizzati. In questo ambito è anche buona norma impedire l’uso di sistemi di archiviazione portatili come penne USB e simili;
7. Progettare una strategia di risposta in caso di data breach o attacco informatico, facendo in modo che ogni dipendente e collaboratore sappia cosa fare;
8. Diffondere in azienda la cultura della sicurezza e dei rischi informatici attraverso training e corsi di formazione ad hoc;
9. Installare anti-malware o antivirus moderni su ogni terminale in uso in azienda;
10. Aggiornare i sistemi operativi e i software;
11. Adottare un software di monitoraggio e scansione delle minacce, anche di quelle che arrivano da memorie di archiviazione esterne;
12. Limitare i permessi di ciascun utente su ogni dispositivo per salvaguardare i dati sensibili;
13. Monitorare le azioni svolte da ciascun utente sulla rete aziendale, filtrando contestualmente l’accesso a siti pericolosi;
14. Curare le impostazioni della mail aziendale per ottimizzare i filtri spam;
15. Utilizzare sistemi di autenticazione a due fattori per accedere a account e piattaforme che contengono o trasmettono dati sensibili e ricordare al personale l’importanza di cambiare periodicamente le password.

A chi rivolgersi per costruire la policy di sicurezza informatica

Se non disponi di risorse interne che possono costruire la policy per la tua azienda, allora devi guardare altrove e cercare un consulente esterno.

Il team ISEC di Ecoh Media è specializzato in sicurezza informatica, con un approccio in tre step che comprende proprio:

• analisi del rischio;
• mitigazione delle vulnerabilità;
• monitoraggio e miglioramento continui.

Queste tre fasi sono svolte con il supporto dei partner tecnologici: le migliori aziende produttrici di software di sicurezza informatica di alto livello, capaci di bloccare anche le minacce più avanzate. Tra i nostri partner, per esempio, Palo Alto Networks, Crowdstrike, Alienvault, Nakivo, Fortinet. Di tutti questi siamo anche reseller.