Politica di Sicurezza dei Sistemi Informativi

L’articolo 21 di NIS 2 richiede alle organizzazioni essenziali e importanti di avere politiche sulla sicurezza dei sistemi informativi. Questo video adotta un approccio basato sul ciclo di vita, spiegando gli obiettivi di una tale politica, il suo ambito e la sua progettazione strutturale, nonché il suo sviluppo, implementazione e gestione.

Anche se la maggior parte delle organizzazioni ha già politiche in questo ambito, NIS 2 rappresenta un’importante occasione per rivedere la situazione, specialmente se l’approccio esistente è frammentato, incoerente e obsoleto.

Obiettivi della Politica di Sicurezza dei Sistemi Informativi

Secondo ISO 27001, la principale norma internazionale sulla cybersecurity, la direzione dovrebbe stabilire una politica di sicurezza delle informazioni di alto livello che sia appropriata allo scopo dell’organizzazione. Questa politica dovrebbe riflettere il contesto aziendale, poiché l’importanza di proteggere le informazioni varia notevolmente tra organizzazioni di diverso tipo e dimensione.

ISO 27001 raccomanda di dichiarare gli obiettivi della sicurezza delle informazioni nella politica o almeno di definire la struttura di governance per definirli. Questo rafforza l’importanza di allineare la politica all’organizzazione. Ogni organizzazione dovrebbe accettare la necessità di proteggere la riservatezza, l’integrità e la disponibilità delle informazioni, ma l’equilibrio tra questi obiettivi dipende dalle circostanze.

Attuazione della Politica di Sicurezza

La politica di sicurezza delle informazioni dovrebbe definire i ruoli e le responsabilità principali per la cybersecurity, ad esempio chi è responsabile della gestione complessiva della sicurezza, chi deve eseguire la formazione sulla sicurezza e la consapevolezza, e chi della direzione senior deve supervisionare la sicurezza. Promuovere il miglioramento continuo della sicurezza è un altro requisito aziendale legato a ISO 27001.

Struttura della Politica di Sicurezza

Le politiche di sicurezza delle informazioni aziendali sono spesso strutturate gerarchicamente in un quadro rappresentato graficamente come una piramide. I requisiti più specifici sono documentati in politiche dettagliate, a supporto della politica sulla sicurezza dei sistemi informativi al vertice della piramide. Le organizzazioni mature sviluppano tipicamente una suite completa di politiche, ciascuna delle quali copre pezzi separati del puzzle, a supporto della politica o strategia di sicurezza aziendale complessiva.

La base della piramide delle politiche, con il maggior numero di documenti, comprende informazioni supplementari e consigli per i lavoratori. Qui, linee guida, istruzioni di lavoro, manuali di formazione, liste di controllo e così via, offrono indicazioni riguardanti le procedure e, in alcuni casi, obblighi legali.

Gestione delle Politiche di Sicurezza

Le politiche di sicurezza delle informazioni devono essere gestite lungo tutto il ciclo di vita di ciascun documento, le relazioni tra i documenti e, soprattutto, il modo in cui tutti supportano gli obiettivi generali dichiarati nella politica di alto livello. La fase di concezione, quando i documenti sono delimitati e gli scopi definiti, è un’opportunità per collegare quegli obiettivi generali.

Infine, le politiche di sicurezza delle informazioni sono efficaci solo se messe in pratica. Buone pratiche per diventare conformi includono l’uso di una combinazione di valutazioni di conformità e azioni di enforcement, come audit e penalità, con approcci di rinforzo come premiare i lavoratori per fare la cosa giusta e nel modo giusto.