Che cos'è una politica di sicurezza informatica?

 

Una Information Technology (IT) Politica di sicurezza identifica le regole e le procedure per tutti gli individui che accedono e utilizzano i beni e le risorse IT di un'organizzazione. Una Politica di sicurezza informatica efficace è un modello della cultura dell'organizzazione, in cui le regole e le procedure sono guidate dall'approccio dei dipendenti alle informazioni e al lavoro. Pertanto, una politica di sicurezza informatica efficace è un documento unico per ogni organizzazione, che nasce dalle prospettive dei suoi dipendenti sulla tolleranza al rischio, sul modo in cui vedono e valutano le loro informazioni e sulla conseguente disponibilità che mantengono di tali informazioni. Per questo motivo, molte aziende riterranno inadeguata una politica di sicurezza informatica di tipo "boilerplate", a causa della sua mancanza di considerazione per il modo in cui le persone dell'organizzazione utilizzano e condividono effettivamente le informazioni tra di loro e con il pubblico.

Gli obiettivi di una politica di sicurezza informatica sono la conservazione della riservatezza, dell'integrità e della disponibilità dei sistemi e delle informazioni utilizzate dai membri di un'organizzazione. Questi tre principi compongono la triade della CIA:

  • La riservatezza riguarda la protezione delle risorse da entità non autorizzate.
  • Integrità Assicura che la modifica delle attività sia gestita in modo specifico e autorizzato.
  • Disponibilità è uno stato del sistema in cui gli utenti autorizzati hanno accesso continuo a tali asset.

La Politica di sicurezza informatica è un documento vivo che viene continuamente aggiornato per adattarsi all'evoluzione dei requisiti aziendali e informatici. Istituzioni come l'Organizzazione Internazionale di Standardizzazione (ISO) e il National Institute of Standards and Technology (NIST) degli Stati Uniti hanno pubblicato standard e best practice per la formazione di politiche di sicurezza. Come stabilito dal Consiglio Nazionale delle Ricerche (CNR), le specifiche di qualsiasi politica aziendale dovrebbero riguardare:

  1. Obiettivi
  2. Ambito di applicazione
  3. Obiettivi specifici
  4. Responsabilità per la conformità e azioni da intraprendere in caso di non conformità.

Inoltre, per ogni politica di sicurezza informatica sono obbligatorie le sezioni dedicate all'adesione alle normative che regolano il settore dell'organizzazione. Esempi comuni sono lo Standard di sicurezza dei dati PCI e gli Accordi di Basilea a livello mondiale, o la Riforma di Dodd-Frank Wall Street, il Consumer Protection Act, l'Health Insurance Portability and Accountability Act e la Financial Industry Regulatory Authority negli Stati Uniti. Molti di questi enti normativi richiedono essi stessi una politica di sicurezza informatica scritta.

La politica di sicurezza di un'organizzazione avrà un ruolo importante nelle sue decisioni e nella sua direzione, ma non dovrebbe alterare la sua strategia o la sua missione. Pertanto, è importante scrivere una politica che sia ricavata dal quadro culturale e strutturale esistente dell'organizzazione per sostenere la continuità di una buona produttività e innovazione, e non come una politica generica che impedisce all'organizzazione e al suo personale di raggiungere la sua missione e i suoi obiettivi.

 

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce