Politica di risposta agli incidenti - PMI

La Politica di risposta agli incidenti (P30S) è progettata specificamente per le piccole e medie imprese (PMI) che cercano protocolli solidi e conformi a ISO/IEC 27001:2022 senza richiedere un Centro operativo di sicurezza (SOC) interno o un Responsabile della sicurezza delle informazioni (CISO) a tempo pieno. Questa politica per PMI attribuisce esplicitamente la responsabilità della supervisione degli incidenti e delle notifiche regolatorie all’amministratore delegato (GM), fornendo una struttura chiara adatta a organizzazioni con risorse IT dedicate limitate. Il documento dettaglia requisiti che consentono alle PMI di minimizzare i danni, proteggere le informazioni sensibili e adempiere a obblighi normativi critici, come la regola di notifica delle violazioni entro 72 ore del GDPR. L’ambito è ampio e copre tutto il personale (dipendenti, contraenti, fornitori di servizi IT esterni), tutti gli asset tecnici (siti web, piattaforme cloud, account e-mail e dispositivi mobili) e ogni forma significativa di incidente (dall’accesso non autorizzato all’infezione da malware, phishing, interruzioni di sistema e perdita/furto di dispositivi). La politica stabilisce obiettivi dettagliati: riconoscimento rapido, registrazione, escalation, notifica legale, contenimento efficace, ripristino dei dati e prevenzione basata sulla causa radice. Supporta inoltre le PMI nel superare gli audit ISO/IEC 27001 e nel dimostrare un’adeguata autorità e responsabilità verso clienti e autorità di regolamentazione. Ruoli e responsabilità specifici sono semplificati per adattarsi al contesto PMI: il GM mantiene la responsabilità complessiva, supportato dall’amministrazione IT interna o da un SOC esternalizzato. Il personale e i contraenti sono istruiti a segnalare qualsiasi incidente immediatamente senza tentare correzioni non autorizzate. I fornitori esterni sono obbligati a notificare il GM e a supportare le azioni di contenimento secondo gli obblighi contrattuali, soggetti alle stesse tempistiche di notifica degli incidenti interni. La politica definisce procedure strutturate di segnalazione, inclusi canali di comunicazione chiari (e-mail dedicata agli incidenti o segnalazione verbale), dettagli richiesti (ora di scoperta, natura, sistemi interessati e impatto osservabile) e categorizzazione entro un’ora. I registri degli incidenti, mantenuti dal GM, sono al centro della tenuta dei registri per gli audit. Riesami trimestrali, analisi della causa radice e aggiornamenti post-incidente garantiscono sia l’efficacia continua sia la reattività alle minacce emergenti. Il documento dettaglia inoltre requisiti di formazione e sensibilizzazione per tutto il personale, onboarding, sessioni di formazione di aggiornamento e aspettative di segnalazione obbligatorie. Le disposizioni di applicazione impongono che tutte le entità, incluse le terze parti, rispettino pienamente: i fallimenti o le violazioni del protocollo possono comportare avvertimenti, revoca degli accessi, penali contrattuali o rimozione dalle liste dei fornitori. Tutte le evidenze e i log devono essere conservati per almeno un anno e forniti per gli audit come richiesto. Meccanismi di riesame completi garantiscono che la politica rimanga allineata a norme in evoluzione, cambiamenti normativi e cambiamenti operativi, restando reattiva e pertinente per le PMI.