Politica di controllo degli accessi - PMI

Questa Politica di controllo degli accessi (P04S) fornisce un quadro completo per le piccole e medie imprese (PMI) per gestire e proteggere l’accesso ai sistemi informativi dell’organizzazione, ai dati e alle strutture fisiche. In quanto politica pensata per le PMI, assegna responsabilità a ruoli semplificati come l’amministratore delegato e il Responsabile del cambiamento/Fornitore terzo di servizi, riflettendo la realtà per cui molte PMI non dispongono di team dedicati alla sicurezza delle informazioni come Responsabile della sicurezza delle informazioni (CISO) o Centro operativo di sicurezza (SOC). È importante notare che questa politica rimane pienamente allineata e conforme a standard riconosciuti a livello internazionale, in particolare ISO/IEC 27001:2022, consentendo al contempo un’implementazione pratica per organizzazioni senza risorse interne complesse. La politica descrive in modo dettagliato le procedure per concedere, modificare e revocare gli accessi, coprendo ogni fase del ciclo di vita dell’utente. Si applica a tutti gli utenti, dipendenti e collaboratori esterni, personale temporaneo e fornitori terzi di servizi, e riguarda dispositivi aziendali o Bring Your Own Device (BYOD), sistemi ospitati nel cloud e in locale, nonché sedi fisiche come uffici e sale server sicure. Integrando il principio del minimo privilegio in tutta la politica, l’accesso viene concesso solo in base alle esigenze aziendali, riducendo in modo sostanziale il rischio di accesso non autorizzato o utilizzo eccessivo di asset sensibili. Al centro della politica vi sono ruoli e responsabilità chiari e attuabili: l’amministratore delegato supervisiona l’approvazione della politica, l’allocazione delle risorse e la gestione delle eccezioni; il Responsabile del cambiamento (o un fornitore esterno di fiducia) esegue il provisioning degli accessi e la revoca degli accessi, mantiene un Registro degli asset di controllo degli accessi verificabile, configura il controllo degli accessi basato sui ruoli (RBAC) e l’autenticazione a più fattori (MFA), ed esegue la revisione dei log di accesso. I responsabili di dipartimento autorizzano l’accesso per i propri team e attivano aggiornamenti tempestivi in caso di modifiche dei ruoli, mentre i dipendenti devono attenersi a protocolli di accesso e utilizzo sicuri. La politica attiva riesami degli accessi regolari, con una cadenza minima annuale, e impone documentazione sia automatizzata sia manuale delle modifiche di accesso e degli audit. Sono integrate procedure solide di trattamento del rischio, gestione delle violazioni e monitoraggio continuo della conformità. Le deviazioni dal processo standard, come l’accesso temporaneo dopo le cessazioni volontarie, sono consentite solo con approvazione di alto livello e documentazione completa. Sono previste conseguenze disciplinari chiare per la non conformità, che vanno dal riaddestramento mirato alla risoluzione del contratto o escalation legale/regolatoria. La politica risponde inoltre prontamente a trigger quali cambiamenti tecnologici, variazioni organizzative o incidenti di sicurezza, richiedendo riesami aggiornati e controlli rivisti. Infine, questa politica è progettata per un’integrazione coerente con politiche PMI correlate e critiche, come Politica di utilizzo accettabile, Gestione delle modifiche, Politica di onboarding e cessazione del personale, Politiche di protezione dei dati e Politica di risposta agli incidenti (P30). Il ciclo di riesame annuale e la formazione obbligatoria del personale garantiscono che rimanga efficace e applicabile alle esigenze in evoluzione di business e conformità, consentendo alle PMI di mantenere ambienti di controllo degli accessi solidi, pratici e pronti per l’audit.