Una politica di sicurezza informatica (IT) identifica le regole e le procedure per tutti gli individui che accedono e utilizzano le risorse e i beni informatici di un’organizzazione. Una politica di sicurezza informatica efficace è un modello della cultura dell’organizzazione, in cui le regole e le procedure sono guidate dall’approccio dei dipendenti alle loro informazioni e al loro lavoro. Quindi, un’efficace politica di sicurezza IT è un documento unico per ogni organizzazione, coltivato dalle prospettive dei suoi dipendenti sulla tolleranza del rischio, su come vedono e valutano le loro informazioni, e la conseguente disponibilità che mantengono di tali informazioni. Per questo motivo, molte aziende troveranno inappropriata una politica di sicurezza IT standard a causa della sua mancanza di considerazione per il modo in cui le persone dell’organizzazione utilizzano e condividono effettivamente le informazioni tra di loro e con il pubblico.
Gli obiettivi di una politica di sicurezza IT sono la conservazione della riservatezza, dell’integrità e della disponibilità dei sistemi e delle informazioni utilizzate dai membri di un’organizzazione. Questi tre principi compongono la triade CIA:
- La riservatezza implica la protezione delle risorse da entità non autorizzate
- L’integrità assicura che la modifica delle risorse sia gestita in un modo specificato e autorizzato
- La disponibilità è uno stato del sistema in cui gli utenti autorizzati hanno accesso continuo a tali risorse
La politica di sicurezza IT è un documento vivo che viene continuamente aggiornato per adattarsi all’evoluzione delle esigenze aziendali e IT. Istituzioni come l’International Organization of Standardization (ISO) e l’U.S. National Institute of Standards and Technology (NIST) hanno pubblicato standard e migliori pratiche per la formazione della politica di sicurezza. Come stabilito dal National Research Council (NRC), le specifiche di qualsiasi politica aziendale dovrebbero affrontare:
- 1. Obiettivi
- 2. Portata
- 3. Obiettivi specifici
- 4. Responsabilità per la conformità e azioni da intraprendere in caso di non conformità.
Obbligatorie per ogni politica di sicurezza IT sono anche le sezioni dedicate al rispetto delle normative che governano il settore dell’organizzazione. Esempi comuni di questo includono lo standard di sicurezza dei dati PCI e gli accordi di Basilea in tutto il mondo, o la riforma di Dodd-Frank Wall Street, la legge sulla protezione dei consumatori, la legge sulla portabilità dell’assicurazione sanitaria e l’autorità di regolamentazione dell’industria finanziaria negli Stati Uniti. Molti di questi enti normativi richiedono essi stessi una politica di sicurezza IT scritta.
La politica di sicurezza di un’organizzazione giocherà un ruolo importante nelle sue decisioni e nella sua direzione, ma non dovrebbe alterare la sua strategia o missione. Pertanto, è importante scrivere una politica che sia tratta dal quadro culturale e strutturale esistente dell’organizzazione per sostenere la continuità di una buona produttività e innovazione, e non come una politica generica che impedisce all’organizzazione e alle sue persone di soddisfare la sua missione e i suoi obiettivi.
.