Politika prihvatljive uporabe

Politika prihvatljivog korištenja (AUP) uspostavlja standarde za odgovornu, sigurnu i zakonitu uporabu informacijskih sustava organizacije, tehnoloških resursa i informacijske imovine. Opća je svrha definirati prihvatljive i zabranjene aktivnosti pri korištenju računalnih resursa tvrtke, uključujući radne stanice, mobilne uređaje, poslužitelje, usluge u oblaku i mreže. Ova politika osigurava da su svi korisnici, od zaposlenika i izvođača do dobavljača trećih strana, svjesni svojih odgovornosti u zaštiti povjerljivosti, cjelovitosti i dostupnosti organizacijske informacijske imovine. Prema politici, opseg je sveobuhvatan te obuhvaća svaku osobu i subjekt kojem je odobren pristup, kao i sve oblike tehnologije i korporativnih podataka. Primjenjuje se jednako u korporativnim uredima, okruženjima rada na daljinu i terenskim lokacijama. Ne samo da se tradicionalni IT korisnici moraju pridržavati, već i svi koji rade u okviru korištenja vlastitih uređaja (BYOD) ili u hibridnim okruženjima. Svaki korisnik mora dati potvrdu upoznatosti s politikom kao preduvjet za pristup sustavima i podacima, a takva se potvrda čuva za potrebe revizije i usklađenosti. Ciljevi politike naglašavaju važnost jasnih granica dopuštenih i zabranjenih radnji. Propisuje sprječavanje neovlaštenog pristupa ili povreda podataka kroz prijetnje temeljene na ponašanju, kao što su nemarna uporaba, instalacija neovlaštenog softvera ili zaobilaženje sigurnosnih kontrola. Radi zaštite usklađenosti definiraju se ovlasti i odgovornosti za vrhovno vodstvo (odobravanje politike i nadzor), IT i sigurnosne timove (tehnička provedba, praćenje, istraga), rukovoditelje (lokalni nadzor, postupanje s manjim kršenjima), ljudske resurse i pravne poslove (disciplinske mjere, zakonitost politike) te sve korisnike (etična uporaba, prijavljivanje incidenata, zaštita autentifikacijskih vjerodajnica). Mjere upravljanja i provedbe osmišljene su strukturirano. Korisnici moraju provesti formalno prihvaćanje politike i periodičnu obnovnu obuku, čime se jača svijest i etično ponašanje. IT i sigurnosni timovi provode web-filtriranje te sustave za filtriranje weba i e-pošte, zaštitu krajnjih točaka i praćenje radi tehničke provedbe pravila, dok periodični pregledi osiguravaju da kontrole ostanu djelotvorne. Zabranjene aktivnosti izričito su navedene, uključujući neovlašteni pristup, uvođenje zlonamjernog softvera, korištenje za osobnu dobit, prekomjerno korištenje resursa i pokušaje zaobilaženja mehanizama autentifikacije. Također se strogo uređuje uporaba BYOD-a, šifriranje i prakse rada na daljinu, uz tehničke i proceduralne zahtjeve za sigurnost uređaja i podataka. Mehanizmi odgovora na incidente zahtijevaju da korisnici promptno prijave sigurnosne događaje, neovlašteni pristup ili gubitak uređaja putem službenih kanala za prijavljivanje sigurnosnih incidenata. Kršenja se sankcioniraju razmjernim disciplinskim mjerama, od ciljanog ponovnog osposobljavanja i suspenzije pristupa do prestanka radnog odnosa ili pravne/regulatorne eskalacije, uz dokumentiranje za pravne i revizijske potrebe. Važno je da politika štiti anonimnost mehanizma prijave nepravilnosti i zabranjuje odmazdu, čime se potiče kultura odgovornosti. Usklađena s priznatim međunarodnim standardima kao što su ISO/IEC 27001:2022 (Odredba 5.10 i odabrane kontrole iz Priloga A), NIST SP 800-53, EU GDPR, NIS2, EU DORA i COBIT 2019, AUP je izrađena tako da izdrži provjeru iz perspektive usklađenosti, pravnih poslova i revizije. Njome se upravlja kroz propisane cikluse pregleda, verzioniranje i zahtjeve za upravljanje dokumentacijom kako bi ostala relevantna kako se rizici i regulatorno okruženje mijenjaju. Nadalje, politika se izričito povezuje s povezanim ključnim politikama kao što su Politika kontrole pristupa, okvir za upravljanje rizicima i Politika rada na daljinu, čime se osigurava cjelovit, slojevit pristup upravljanju kibernetičkim rizicima organizacije.