Logo Trellix
Perché Trellix?
Piattaforma
Services
Partner
Risorse
Informazioni su
Inizia
Sei stato vittima di una violazione?
Assistenza
Contattaci
Menu principale
PERCHÉ TRELLIX?
Perché Trellix? Trellix rispetto alla concorrenza Il vantaggio di Trellix Platform Certificazioni e conformità
INTELLIGENCE SULLE MINACCE
Advanced Research Center Trellix Insights Rapporti sulle minacce Blog di ricerca più recenti
Menu principale
FUNZIONALITÀ DELLA PIATTAFORMA
Informazioni sulla nostra piattaforma Trellix Wise Motore
CATEGORIE DI PRODOTTO
Endpoint Security Data Security Network Security Threat Intelligence Email Security Security Operations View All Products
SOLUZIONI
Rilevamento e risposta del ransomware Strategia Zero Trust IA e operazioni di sicurezza CISO Pubblica Amministrazione Sicurezza delle elezioni
Menu principale
SERVIZI PROFESSIONALI
Trellix Thrive Servizi MDR (Managed Detection and Response) Servizi per le soluzioni Servizi di consulenza informatica
ISTRUZIONE E FORMAZIONE
Servizi per l’istruzione Corsi di formazione
Menu principale
LA NOSTRA RETE
Panoramica sui partner Security Innovation Alliance OEM & Embedded Alliance Servizi forniti dai partner
PORTALE DEI PARTNER
Accesso al portale dei partner di Trellix Diventa un partner
PARTNER STRATEGICI
Amazon Web Services (AWS) Google Cloud Telefónica Tech
Menu principale
CENTRO RISORSE
Libreria delle risorse Storie dei clienti Argomenti di sensibilizzazione alla sicurezza
IMPARA
Webinar Conferenze tecniche settimanali Presentazioni dei prodotti
ACCESSO
Accesso a Trellix Trellix Hive Developer Portal Marketplace
Menu principale
AZIENDA
Chi siamo Team dirigente Riconoscimenti del settore Storie dei clienti Lavora con noi
MEDIA
Comunicati stampa Ultime notizie Blog Accedi all’area stampa
CONNETTITI
Eventi Contattaci

Policy e procedure

Definizione Policy Proprietà della policy Policy per la verifica Richiedi una demo

La sicurezza informatica è un problema importante sia per i dipartimenti IT che per i dirigenti di alto livello. Tuttavia, la sicurezza deve essere un problema per ogni dipendente di un'organizzazione, non solo per i professionisti IT e i top manager. Un modo efficace per istruire i dipendenti sull'importanza della sicurezza è una policy di sicurezza informatica che spieghi le responsabilità di tutti per la protezione dei dati e dei sistemi informatici. Una policy di sicurezza informatica stabilisce gli standard di comportamento per attività come la crittografia degli allegati email e le restrizioni sull’utilizzo dei social media.

Le policy di sicurezza informatica sono importanti perché gli attacchi informatici e le violazioni dei dati possono essere molto costosi. Allo stesso tempo, i dipendenti rappresentano spesso l'anello più debole della sicurezza di un'organizzazione. I dipendenti condividono le password, fanno clic su URL e allegati dannosi, utilizzano applicazioni cloud non approvate e non criptano i file sensibili.

Questi tipi di policy sono particolarmente critici nelle aziende pubbliche o nelle organizzazioni che operano in settori regolamentati come quello sanitario, finanziario o assicurativo. Queste organizzazioni corrono il rischio di subire pesanti sanzioni se le loro procedure di sicurezza vengono ritenute insufficienti.

Anche le piccole imprese che non sono soggette ai requisiti federali sono tenute a soddisfare gli standard minimi di sicurezza IT e potrebbero essere citate in giudizio per un attacco informatico che comporta la perdita dei dati dei consumatori se l’organizzazione viene giudicata negligente. Alcuni stati, come la California e New York, hanno stabilito requisiti di sicurezza delle informazioni per le organizzazioni che operano nei loro stati.

Le policy di sicurezza informatica sono fondamentali anche per l’immagine pubblica e la credibilità di un’organizzazione. Clienti, partner, azionisti e futuri dipendenti cercano prove che dimostrino che l'organizzazione è in grado di proteggere i propri dati sensibili. Senza una policy di sicurezza informatica, un’organizzazione potrebbe non essere in grado di fornire tali prove.

Definizione di una policy di sicurezza informatica

Le procedure di sicurezza informatica spiegano le regole in base alle quali i dipendenti, i consulenti, i partner, i membri del consiglio di amministrazione e altri utenti finali accedono alle applicazioni online e alle risorse Internet, inviano dati sulle reti ed esercitano in altro modo la sicurezza responsabile. In genere, la prima parte di una policy di sicurezza informatica descrive le aspettative generali di sicurezza, i ruoli e le responsabilità all’interno dell’organizzazione. Le parti interessate includono consulenti esterni, personale IT, personale finanziario, e così via. Ciò costituisce la sezione "ruoli e responsabilità" o "affidabilità e responsabilità delle informazioni" della policy.

La policy può quindi includere sezioni relative a varie aree della sicurezza informatica, come i requisiti per il software antivirus o l’utilizzo di applicazioni cloud. Il SANS Institute fornisce esempi di molti tipi di policy di sicurezza informatica. Questi modelli SANS includono una policy di accesso remoto, una policy di comunicazione wireless, una policy di protezione tramite password, una policy email e una policy di firma digitale.

Le organizzazioni che operano in settori regolamentati possono consultare le risorse online che affrontano requisiti legali specifici, come la lista di controllo della conformità HIPAA dell'HIPAA Journal o l'articolo di IT Governance relativo alla stesura di una policy conforme al GDPR.

Per le grandi organizzazioni o quelle che operano in settori regolamentati, una policy di sicurezza informatica può spesso essere lunga decine di pagine. Per le organizzazioni più piccole, tuttavia, una policy di sicurezza può essere lunga solo poche pagine e coprire le policy di sicurezza di base. Queste pratiche potrebbero includere:

  • Le regole per l'utilizzo della crittografia dell'email
  • Le fasi per accedere da remoto alle applicazioni di lavoro
  • Le linee guida per la creazione e la protezione delle password
  • Le regole sull'utilizzo dei social media

Indipendentemente dalla durata della policy, essa dovrebbe dare priorità alle aree di primaria importanza per l’organizzazione. Ciò potrebbe includere la sicurezza dei dati più sensibili o regolamentati oppure la sicurezza per affrontare le cause di precedenti violazioni dei dati. Un’analisi del rischio può evidenziare le aree a cui dare priorità nella policy.

La policy dovrebbe anche essere semplice e facile da leggere. Includere le informazioni tecniche nei documenti di riferimento, soprattutto se tali informazioni richiedono aggiornamenti frequenti. Ad esempio, la policy potrebbe specificare che i dipendenti debbano crittografare tutte le informazioni di identificazione personale (PII). Tuttavia, non è necessario che la policy specifichi quale software di crittografia utilizzare o le fasi per crittografare i dati.

Chi dovrebbe scrivere le policy di sicurezza informatica?

Il dipartimento IT, spesso il CIO o il CISO, è il principale responsabile di tutte le policy di sicurezza delle informazioni. Tuttavia, altre parti interessate di solito contribuiscono alla policy, in base alle loro competenze e ai loro ruoli all’interno dell’organizzazione. Ecco le principali parti interessate che potrebbero essere coinvolte nella creazione della policy e i loro ruoli:

  • i dirigenti aziendali di alto livello definiscono le principali esigenze aziendali in termini di sicurezza, nonché le risorse disponibili per supportare una policy di sicurezza informatica. Scrivere una policy che non può essere attuata a causa di risorse insufficienti è una perdita di tempo per il personale.
  • L'ufficio legale garantisce che la policy soddisfi i requisiti legali e sia conforme alle normative governative.
  • Il dipartimento delle risorse umane (HR) è responsabile della spiegazione e dell'applicazione delle policy dei dipendenti. Il personale delle risorse umane garantisce che i dipendenti abbiano letto la policy e sanziona coloro che la violano.
  • I dipartimenti dell'approvvigionamento sono responsabili della valutazione dei fornitori dei servizi cloud, della gestione dei contratti di servizi cloud e della valutazione di altri fornitori di servizi pertinenti. Il personale addetto all'approvvigionamento può verificare che la sicurezza di un fornitore di servizi cloud soddisfi le policy di sicurezza informatica dell'organizzazione e verificare l'efficacia di altri servizi in outsourcing pertinenti.
  • I membri del CdA di aziende pubbliche e associazioni rivedono e approvano le policy nell'ambito delle loro responsabilità. Possono essere più o meno coinvolti nella creazione della policy a seconda delle esigenze dell'organizzazione.

Quando si invita il personale a partecipare allo sviluppo della policy, bisogna considerare chi è più determinante per il successo della policy. Ad esempio, il responsabile del dipartimento o il dirigente aziendale che imporrà la policy o fornirà risorse per aiutare ad implementarla sarebbe un partecipante ideale.

Aggiornamento e verifica delle procedure di sicurezza informatica

La tecnologia è in continua evoluzione. Aggiorna regolarmente le procedure di sicurezza informatica, idealmente una volta all’anno. Stabilisci un processo annuale di revisione e aggiornamento e coinvolgi le principali parti interessate.

Durante la revisione di una policy di sicurezza delle informazioni, confronta le linee guida della policy con le pratiche effettive dell'organizzazione. Una revisione o una verifica della policy può identificare le regole che non si adattano più ai processi di lavoro attuali. Una verifica può anche aiutare a identificare dove è necessaria una migliore applicazione della policy di sicurezza informatica.

L'InfoSec Institute, una società di consulenza e formazione sulla sicurezza IT, suggerisce i seguenti tre obiettivi per la verifica della policy:

  • Confrontare la policy di sicurezza informatica dell'organizzazione con le pratiche attuali
  • Determinare l'esposizione dell'organizzazione alle minacce interne
  • Valutare il rischio di minacce esterne alla sicurezza

Una policy di sicurezza informatica aggiornata è una risorsa di sicurezza fondamentale per tutte le organizzazioni. Senza di essa, gli utenti finali possono commettere errori e causare violazioni dei dati. Un approccio negligente può costare caro a un’organizzazione in multe, spese legali, risarcimenti, perdita di fiducia del pubblico e danni al marchio. La creazione e il mantenimento di una policy possono aiutare a prevenire queste conseguenze negative.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness