Politica di sicurezza della rete

La Politica di sicurezza della rete (Documento P21) è stata sviluppata per stabilire controlli rigorosi sia sulle reti interne sia su quelle esterne dell’organizzazione, fornendo protezione contro accesso non autorizzato, interruzione del servizio, intercettazione dei dati e uso improprio. I suoi obiettivi principali includono la tutela di riservatezza, integrità e disponibilità dei dati in transito e a riposo, mantenendo uno stretto allineamento con requisiti normativi e standard chiave quali ISO/IEC 27001:2022, Articolo 32 del GDPR, Direttiva NIS2, DORA e COBIT 2019. Questa politica robusta si applica globalmente a tutte le infrastrutture di rete, inclusi ambienti fisici, virtuali, cloud e ambienti ibridi. Elenca router, switch, firewall, reti basate su cloud, sistemi VPN e persino servizi di supporto come DNS e server proxy nel proprio campo di applicazione completo. Sia il personale interno sia i fornitori terzi di servizi che interagiscono con tali reti sono vincolati dai requisiti stabiliti. Tra le caratteristiche rilevanti della politica figurano la segmentazione della rete obbligatoria, protocolli espliciti di configurazione del firewall, standard di routing sicuro e monitoraggio e registrazione di audit centralizzati e continui delle attività di rete. La governance è chiaramente strutturata e vincola ruoli quali il Responsabile della sicurezza delle informazioni (CISO), i responsabili della sicurezza di rete, il Centro operativo di sicurezza (SOC), le operazioni IT e anche i fornitori terzi ad attenersi a responsabilità definite per progettazione sicura della rete, monitoraggio operativo, gestione delle modifiche e risposta agli incidenti. La politica stabilisce aspettative non solo per la gestione ordinaria della rete, ma anche per la gestione delle eccezioni, ad esempio dipendenze da sistemi legacy, tramite un processo di approvazione controllato e basato su valutazione del rischio. Tutte le approvazioni delle eccezioni sono registrate nel Sistema di gestione della sicurezza delle informazioni (SGSI) con un rigoroso ciclo di riesame di 90 giorni, assicurando che nessuna vulnerabilità a lungo termine venga trascurata. Per ridurre le superfici di attacco e soddisfare gli obblighi di conformità, la politica stabilisce che tutte le reti di confine debbano essere protette mediante firewall di nuova generazione con ispezione stateful, filtraggio applicativo e prevenzione delle intrusioni. Le reti interne devono essere segmentate tra aree di produzione, sviluppo, utenti e ospiti, utilizzando firewall e LAN virtuali (VLAN) per applicare un controllo degli accessi rigoroso. Le soluzioni VPN e di accesso remoto devono utilizzare cifratura e autenticazione a più fattori (MFA), mentre le reti wireless devono adottare protocolli di sicurezza di livello enterprise e la segregazione degli ospiti. Anche gli ambienti cloud e ibridi non sono esenti: le regole dei gruppi di sicurezza, i collegamenti VPN sottoposti ad audit e le impostazioni del firewall cloud-native devono essere gestiti in modo rigoroso. Per il monitoraggio e il rilevamento, la registrazione continua in un SIEM centralizzato, il rilevamento delle anomalie tramite NDR e la definizione di periodi di conservazione dei log sono requisiti integrali. Riesami periodici della politica e audit sono obbligatori, attivati da nuove minacce, cambiamenti di rete, aggiornamenti normativi o risultanze dell’audit. La non conformità, inclusa l’elusione deliberata dei controlli, comporta misure disciplinari, penali contrattuali o segnalazione delle violazioni in linea con le normative. Infine, la Politica di sicurezza della rete specifica anche i collegamenti con altre politiche organizzative critiche, incluse sicurezza di base, controllo degli accessi, gestione delle modifiche, gestione degli asset, registrazione e monitoraggio e risposta agli incidenti, per un approccio a livelli di difesa in profondità.