Politica di utilizzo accettabile

La Politica di utilizzo accettabile (AUP) stabilisce gli standard per un uso responsabile, sicuro e lecito dei sistemi informativi, delle risorse informatiche e dei patrimoni informativi di un’organizzazione. Lo scopo generale è definire sia le attività consentite sia quelle vietate quando si interagisce con l’infrastruttura informatica aziendale, inclusi workstation, dispositivi mobili, server, servizi cloud e reti. Questa politica garantisce che tutti gli utenti, dai dipendenti e contraenti ai fornitori terzi, siano consapevoli delle proprie responsabilità nel difendere riservatezza, integrità e disponibilità dei patrimoni informativi dell’organizzazione. In base alla politica, il campo di applicazione è completo e riguarda ogni individuo ed entità a cui è concesso l’accesso, nonché tutte le forme di tecnologia e dati aziendali. Si applica in egual misura a uffici aziendali, configurazioni di lavoro da remoto e sedi sul campo. Non solo gli utenti IT tradizionali devono rispettarla, ma anche chi opera in modalità Bring Your Own Device (BYOD) o in ambienti ibridi. Ogni utente è tenuto a fornire la presa d’atto della politica come prerequisito per l’accesso a sistemi e dati; tale presa d’atto è mantenuta per audit e conformità. Gli obiettivi della politica sottolineano l’importanza di stabilire confini chiari per le azioni consentite e vietate. Impone la prevenzione di accesso non autorizzato o perdita di dati tramite minacce guidate dal comportamento, come uso negligente, installazione di software non autorizzato o elusione dei controlli di sicurezza. Per salvaguardare la conformità, ruoli e responsabilità sono definiti per la direzione esecutiva (approvazione e vigilanza della politica), i team IT e di sicurezza (applicazione tecnica, monitoraggio, indagine), i responsabili (vigilanza locale, gestione delle violazioni minori), Risorse Umane e Legale (provvedimenti disciplinari, legittimità della politica) e tutti gli utenti (uso etico, segnalazione degli incidenti, protezione delle credenziali di autenticazione). Le misure di governance e applicazione sono progettate in modo strutturato. Gli utenti devono completare una presa d’atto formale e una formazione ricorrente, rafforzando sensibilizzazione e comportamento etico. I team IT e di sicurezza implementano sistemi di filtraggio web e posta elettronica, protezione degli endpoint e sistemi di monitoraggio per applicare tecnicamente le regole, mentre riesami periodici assicurano che i controlli rimangano efficaci. Le attività vietate sono elencate esplicitamente e includono accesso non autorizzato, distribuzione di malware, utilizzo a fini di profitto personale, utilizzo eccessivo delle risorse e tentativi di aggirare i meccanismi di sicurezza. È inoltre previsto un trattamento rigoroso dell’uso BYOD, della cifratura e delle pratiche di lavoro da remoto, con requisiti tecnici e procedurali per la sicurezza di dispositivi e dati. I meccanismi di risposta agli incidenti richiedono che gli utenti segnalino tempestivamente eventi di sicurezza, accesso non autorizzato o perdita del dispositivo tramite canali ufficiali. Le violazioni sono gestite con misure disciplinari proporzionate, dal riaddestramento e sospensione degli accessi fino alla cessazione o all’escalation legale/regolatoria, il tutto documentato per finalità legali e di audit. È importante notare che la politica tutela l’anonimato del sistema di whistleblowing e vieta ritorsioni, promuovendo una cultura di responsabilità. Allineata a standard internazionali riconosciuti quali ISO/IEC 27001:2022 (Clausola 5.10 e controlli selezionati dell’Allegato A), NIST SP 800-53, GDPR, NIS2, DORA e COBIT 2019, l’AUP è progettata per resistere a verifiche da prospettive di conformità, legale e audit. È governata da cicli di riesame prescritti, versioning e requisiti di archiviazione documentale per garantirne la pertinenza al variare dei rischi e del contesto normativo. Inoltre, la politica collega esplicitamente politiche chiave correlate come Politica di controllo degli accessi, Quadro per la gestione del rischio e Politica per il lavoro da remoto, assicurando un approccio olistico e stratificato alla governance del rischio informatico dell’organizzazione.