Politica di registrazione e monitoraggio - PMI

La Politica di registrazione e monitoraggio (P22S) stabilisce un quadro solido per mettere in sicurezza, conservare e sottoporre ad audit l’attività dei sistemi nelle piccole e medie imprese (PMI). Questa politica è specificamente adattata alle organizzazioni che non dispongono di team IT o di sicurezza dedicati, supportando ruoli operativi semplificati quali Direttore Generale, Fornitore di supporto IT e Coordinatore Privacy. Nonostante questo approccio snello, la politica garantisce una rigorosa conformità a standard internazionali tra cui ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA e COBIT 2019. Lo scopo della politica è rendere obbligatori i controlli di registrazione e monitoraggio che tutelano sia la sicurezza sia l’integrità operativa dei sistemi informativi dell’organizzazione. Definisce quali eventi devono essere registrati (coprendo autenticazione, gestione della configurazione, accesso a dati sensibili e allerte automatizzate), come i log sono archiviati in modo sicuro e protetti, e le responsabilità per la revisione e l’escalation degli incidenti. La gestione dei log ai sensi di questa politica supporta direttamente la conformità normativa, le indagini forensi e la preparazione all'audit continua, affrontando la fiducia dei clienti e la risposta obbligatoria alle violazioni. È definito un ambito chiaro: ogni sistema (da server e dispositivi di rete fino a servizi cloud e ambienti Bring Your Own Device (BYOD)) e ogni utente (dipendenti, contraenti, MSP) rientra nella copertura. I log generati da servizi gestiti o piattaforme di terze parti devono essere inclusi laddove i diritti amministrativi o l’accesso di audit siano previsti contrattualmente. La politica richiede revisioni settimanali e mensili dei log critici, attenzione immediata agli avvisi ad alta gravità e impone periodi di conservazione dei log di almeno 12 mesi, estesi a 3 anni per i log degli incidenti. Le misure di protezione dei log includono protezione in scrittura, accesso ristretto, backup cifrati e tracce di audit per qualsiasi modifica critica ai sistemi. Ruoli e responsabilità sono definiti esplicitamente per le PMI: il Direttore Generale supervisiona l’approvazione della politica, risponde agli avvisi critici e autorizza le eccezioni laddove esistano vincoli tecnici o operativi. I Fornitori di supporto IT sono responsabili della configurazione dei log, della revisione regolare e del mantenimento dei sistemi di backup e di allerta, mentre il Coordinatore Privacy assicura che i log contenenti dati personali siano conformi al GDPR e supporta l’analisi delle violazioni e le notifiche regolatorie. Il personale e i contraenti non devono mai manomettere o disabilitare i sistemi di registrazione e sono tenuti a segnalare anomalie. I meccanismi di governance e conformità includono pianificazioni di governance dei log, requisiti di conservazione e controlli di protezione. Sono incluse politiche per servizi cloud, sincronizzazione dell’ora (NTP), configurazione degli avvisi, copertura BYOD, backup e procedure di conservazione legale e sospensione della cancellazione per garantire la preparazione forense e la difendibilità legale. Le eccezioni devono essere documentate, riesaminate semestralmente e mitigate in modo appropriato. L’applicazione è supportata da misure disciplinari per manomissione, non conformità o mancata escalation di avvisi critici, garantendo che i requisiti di audit e regolatori siano sempre soddisfatti. La politica impone riesami annuali e prevede trigger per aggiornamenti non pianificati basati su risultanze dell'audit, incidenti o cambiamenti nell’infrastruttura o nel contesto normativo. Questa politica supporta direttamente ed è supportata da politiche PMI correlate tra cui Protezione dei dati e privacy, Sicurezza di rete, Sviluppo sicuro, Risposta agli incidenti e Sincronizzazione dell’ora. Questi collegamenti costruiscono una base completa per tracciabilità, gestione delle violazioni e conformità, adattata alle piccole organizzazioni ma sufficientemente robusta da soddisfare i principali standard internazionali.