Politica della scrivania pulita e dello schermo pulito

La Politica della scrivania pulita e dello schermo pulito (P10) stabilisce controlli rigorosi per garantire che le informazioni sensibili siano protette da accessi non autorizzati, divulgazione, perdita o furto in qualsiasi ambiente di lavoro fisico o ibrido. Supporta obblighi normativi riconosciuti a livello globale come ISO/IEC 27001:2022 (in particolare le clausole che riguardano la sicurezza fisica e comportamentale), gli articoli del GDPR sulla protezione dei dati e la riservatezza, e altri framework tra cui NIST SP 800-53, EU NIS2, EU DORA e COBIT 2019. Questa politica ha un ampio campo di applicazione e si applica universalmente a dipendenti permanenti e temporanei, contraenti, fornitori terzi di servizi e anche visitatori che possono avere accesso a spazi di lavoro riservati. Regola in modo rigoroso la condotta in uffici individuali, spazi aperti, sale riunioni e ambienti di lavoro da remoto o ibridi come l’hot-desking. L’obiettivo è standardizzare un comportamento sicuro affinché tutto il personale, indipendentemente dal ruolo o dalla sede di lavoro, aderisca alle stesse regole per la salvaguardia delle informazioni. Sono stabiliti requisiti chiari sia per i mezzi di controllo fisici sia per quelli tecnici. Gli utenti devono mantenere le scrivanie libere da documenti sensibili esposti, bloccare gli schermi prima di allontanarsi, archiviare o smaltire in modo sicuro i materiali riservati e non lasciare credenziali o dispositivi incustoditi. Le operazioni IT devono configurare i sistemi con timer di blocco schermo impostati a un massimo di 5 minuti, distribuire filtri privacy nelle aree ad alto traffico e implementare l'applicazione tecnica su tutti gli endpoint. I team di gestione delle strutture e degli asset e di sicurezza fisica forniscono archiviazione con serratura, trituratori e segnaletica chiara, oltre a condurre walkthrough regolari di conformità e gestire le violazioni. Le responsabilità di applicazione e vigilanza sono distribuite tra la dirigenza, il Responsabile della sicurezza delle informazioni (CISO)/Responsabile del SGSI, le strutture, l’IT e i responsabili di linea, garantendo un approccio stratificato all’accountability. La politica rende obbligatorio un programma di formazione, l’onboarding e aggiornamenti periodici per educare tutto il personale sui rischi associati alle informazioni sensibili lasciate incustodite. Audit regolari, tracciamento delle metriche di conformità (come violazioni osservate e registrazioni di completamento della formazione) e percorsi di escalation rigorosi per la non conformità, incluse misure disciplinari HR, dimostrano un impegno sia verso la disciplina operativa sia verso la preparazione legale. Sono inoltre in vigore processi di gestione delle eccezioni e di rischio residuo, che richiedono approvazione avanzata, documentazione e controlli aggiuntivi per qualsiasi deviazione. Nel complesso, questa politica unifica comportamento degli utenti, progettazione dello spazio di lavoro, applicazione tecnica e processi di audit in un framework ripetibile, vitale per la resilienza organizzativa e la conformità normativa. Tutti gli aggiornamenti sono soggetti a riesame controllato, comunicati tramite canali ufficiali e richiedono una nuova presa d’atto della politica. Politiche allineate su sicurezza delle informazioni, gestione del rischio, trattamento degli asset, classificazione dei dati, conservazione, smaltimento e monitoraggio rafforzano ulteriormente il sistema complessivo di governance.