Politica sui controlli crittografici - PMI

La Politica sui controlli crittografici P18S è una politica specializzata costruita per le piccole e medie imprese (PMI), chiaramente adattata a ruoli e processi semplificati, in particolare al ruolo di “Direttore Generale”, invece di titoli tipici delle grandi imprese come CISO o Centro operativo di sicurezza (SOC). Garantisce che tali organizzazioni implementino controlli crittografici robusti che proteggono la riservatezza, l’integrità e l’autenticità dei dati aziendali e personali. Lo scopo principale di questa politica è definire requisiti obbligatori per la cifratura e altre misure crittografiche, allineandosi direttamente alle esigenze di certificazione ISO/IEC 27001:2022 e a quadri normativi quali il GDPR, la Direttiva NIS2 e il DORA dell’UE. L’ambito della politica copre tutto il personale, inclusi dipendenti, contraenti e terze parti, che tratta dati aziendali, e riguarda ogni sistema aziendale, endpoint o piattaforma cloud che archivia, trasmette o accede a informazioni riservate. Si applica a tutti i dati classificati secondo la Politica di classificazione dei dati dell’azienda e copre controlli crittografici quali metodi di cifratura, certificati, chiavi, password e moduli di sicurezza. I requisiti di protezione si estendono ai dati a riposo, in transito e in uso, includendo la cifratura per sistemi di backup, posta elettronica, trasferimenti esterni e siti web dell’organizzazione. Gli obiettivi della politica sono diretti: proteggere i dati sensibili e i dati regolamentati con misure crittografiche appropriate; stabilire autorità e responsabilità per la selezione degli strumenti, la configurazione e la gestione delle chiavi; e garantire controlli preventivi solidi contro l’accesso non autorizzato, la manomissione o la perdita di dati. La politica sottolinea la rigorosa aderenza a obblighi legali e obblighi normativi che richiedono la cifratura e mantiene l’importanza di una gestione efficace di certificati e chiavi per la sicurezza operativa. Ruoli e responsabilità sono snelliti per il contesto PMI: il Direttore Generale (DG) assume la titolarità della politica e supervisiona l’applicazione e l’approvazione delle eccezioni. Il Fornitore di supporto IT o un amministratore IT interno gestisce l’operatività quotidiana e la manutenzione delle tecnologie di cifratura, dei certificati e della protezione dei sistemi di backup. Un Coordinatore Privacy o Sicurezza assicura la conformità continua agli obblighi di protezione dei dati, alla gestione del rischio e alla difendibilità legale. Tutto il personale e i contraenti sono tenuti a rispettare l’uso della cifratura approvata e non devono aggirare alcun meccanismo di sicurezza. Le principali caratteristiche di governance includono il riesame annuale della politica (o in caso di violazione o cambiamento rilevante), la documentazione completa di tutte le attività di cifratura/gestione delle chiavi e requisiti stringenti per l’uso di algoritmi crittografici standard di settore (come AES-256, RSA 2048 e TLS 1.2 o versioni successive). I protocolli non sicuri o deprecati devono essere bloccati e tutte le chiavi devono essere archiviate in modo sicuro con accesso controllato e regolarmente riesaminato, mai in chiaro. La cifratura dei sistemi di backup, la gestione dei certificati, la pianificazione degli scenari di rischio e un processo di gestione delle eccezioni ben documentato sono requisiti centrali. Le violazioni comportano conseguenze definite e tutti i fallimenti crittografici sono registrati nei log, oggetto di indagine e gestiti nell’ambito delle procedure di gestione delle violazioni. Questa politica corrisponde al modello PMI, rendendola particolarmente adatta a organizzazioni con risorse limitate o personale non specializzato in sicurezza, pur garantendo pieno allineamento a ISO/IEC 27001:2022 e ai requisiti normativi pertinenti.