Politica di utilizzo del cloud - PMI

La Politica di utilizzo del cloud P27S stabilisce requisiti completi ma pratici per la gestione dei servizi cloud in contesti di piccole e medie imprese (PMI). Riconoscendo che le PMI spesso non dispongono di dipartimenti IT completi, questa politica è progettata con responsabilità chiare e semplificate, ad esempio assegnando le decisioni chiave al Direttore Generale e al fornitore IT o al supporto tecnico, anziché a ruoli specializzati come CISO o Centro operativo di sicurezza (SOC), garantendo comunque un forte allineamento con i framework ISO/IEC 27001:2022, GDPR, NIS2 e DORA. La politica si applica a tutti i servizi basati su cloud, gratuiti o a pagamento, includendo applicazioni aziendali comuni come piattaforme di condivisione documenti, strumenti SaaS, videoconferenza, e-mail, sistemi di backup e piattaforme clienti. Chiunque acceda ai dati aziendali, anche tramite mobile o tablet, deve seguire queste regole, che impongono l’approvazione preventiva per tutti i servizi cloud e vietano in modo assoluto l’uso di account cloud personali per i dati aziendali, prevenendo i rischi di shadow IT. Deve essere mantenuto un registro dei servizi cloud chiaramente definito per tracciare ogni piattaforma autorizzata, il responsabile, la posizione dei dati, i privilegi di accesso e le informazioni di supporto. I controlli di sicurezza sono obbligatori: tutte le piattaforme cloud devono imporre l'autenticazione a più fattori (MFA) per utenti e amministratori; utilizzare password robuste e complesse; fornire registrazione di audit delle attività e restrizioni di accesso (come lista di autorizzazione IP ove disponibile); e prevedere riesami regolari dei contenuti condivisi. Qualsiasi violazione, come la mancata disabilitazione di un utente o la condivisione pubblica di dati sensibili, è classificata come incidente di sicurezza delle informazioni ed è soggetta ad azioni correttive, inclusa la revoca degli accessi, il riaddestramento degli utenti o, se necessario, escalation legale/regolatoria. La politica stabilisce requisiti rigorosi per la conservazione dei dati e i sistemi di backup, indicando che i dati mission-critical o dati regolamentati devono essere sottoposti a backup regolari, conservati per soddisfare obblighi legali o obblighi del cliente e che la capacità di esportazione dalle piattaforme cloud deve essere confermata per evitare il vendor lock-in. I contratti per i servizi cloud a pagamento devono specificare protezione dei dati, notifiche di violazione dei dati, titolarità dei dati ed escalation definita. La conformità è monitorata con verifiche almeno due volte l’anno su accessi, password e stato amministrativo, e tutte le eccezioni alle politiche devono essere formalmente giustificate e approvate dal Direttore Generale, con controlli compensativi e date di scadenza per la risoluzione. Riesame e miglioramento continuo sono integrati: la politica richiede un riesame annuale, oltre ad aggiornamenti dopo incidenti, introduzione di nuove piattaforme o modifiche normative. Le registrazioni archiviate sono conservate in modo sicuro secondo la Politica di conservazione dei dati, garantendo che tutta l’attività cloud sia auditabile per requisiti interni ed esterni (inclusi quelli ISO). Con il suo ambito mirato, questa politica fornisce alle PMI una struttura solida ma gestibile per la governance dell’utilizzo del cloud, abilitando conformità normativa, gestione del rischio e continuità operativa.