Politica di controllo degli accessi

La Politica di controllo degli accessi costituisce un pilastro critico della sicurezza dell’organizzazione, stabilendo principi e controlli dettagliati per la gestione dell’accesso a sistemi informativi, applicazioni, strutture fisiche e asset di dati. Questa politica garantisce che ogni forma di accesso, sia accesso logico sia accesso fisico, sia governata da necessità aziendali, funzione lavorativa e postura di rischio complessiva dell’organizzazione, in allineamento con standard riconosciuti a livello globale quali ISO/IEC 27001:2022, NIST SP 800-53, GDPR, NIS2, DORA e COBIT 2019. Il suo scopo è applicare principi rigorosi quali il principio del privilegio minimo, il principio del need-to-know e la separazione dei compiti, essenziali per mitigare i rischi legati ad accesso non autorizzato e minacce interne. La politica supporta e rende operativi i requisiti per accesso logico e accesso fisico, autenticazione dell'utente e gestione del ciclo di vita degli accessi, dall’onboarding dell’utente fino al deprovisioning. I controlli sono definiti sia per risorse digitali sia per risorse del mondo reale, al fine di prevenire uso non autorizzato, abuso o compromissione. Questa politica si applica universalmente in tutta l’organizzazione; il suo ambito comprende tutti gli utenti, inclusi dipendenti e collaboratori esterni, fornitori esterni e personale temporaneo, nonché tutti i sistemi e le strutture coperti dal Sistema di gestione della sicurezza delle informazioni (SGSI). Affronta scenari di accesso complessi, estendendo i controlli ad ambienti in locale, cloud e ambienti ibridi, hardware e software aziendali e asset sia logici (sistemi, reti, API) sia fisici (edifici, data center). In modo importante, la politica impone che l’accesso sia governato per l’intero ciclo di vita, integrandosi strettamente con eventi guidati dalle Risorse Umane (HR) quali onboarding, trasferimenti interni e processo di cessazione, per garantire aggiornamenti e revoca degli accessi tempestivi. Requisiti di governance robusti includono la definizione dei diritti di accesso tramite una matrice dei ruoli formalizzata; l’integrazione del provisioning degli accessi e della revoca degli accessi con processi HR e tecnici; l’applicazione di workflow di approvazione strutturati; e l’obbligo di gestione degli accessi privilegiati (PAM) tramite account separati, monitoraggio e registrazione delle sessioni e autenticazione a più fattori (MFA). Queste pratiche sono rafforzate da requisiti di riesame periodico degli accessi trimestrale, registrazione di audit completa e dall’allineamento delle pratiche di gestione degli accessi con imperativi normativi e aziendali. La politica descrive inoltre meccanismi espliciti per gestione delle eccezioni e gestione del rischio, applicazione e conformità e riesame periodico, assicurando che il programma rimanga adattivo rispetto a minacce emergenti, modifiche alle politiche, cambiamenti normativi e nuove tecnologie. Inoltre, la politica prevede disposizioni specifiche per il comportamento degli utenti, accesso di terze parti, separazione dei compiti e sistema di whistleblowing. Applica un quadro chiaro per la gestione delle violazioni della politica, definisce aspettative per requisiti di riesame e aggiornamento periodici e impone l’archiviazione delle versioni storiche ai fini della conformità. Tutti questi elementi si combinano per creare un ambiente di governance degli accessi responsabile, verificabile e in grado di supportare certificazioni o scrutinio legale, senza formulare assunzioni o affermazioni oltre quanto strettamente documentato.