Politica di sincronizzazione dell’ora - PMI

Questa Politica di sincronizzazione dell’ora (P23S) stabilisce requisiti chiari e obbligatori per configurare e mantenere una sincronizzazione dell’ora accurata su tutti i sistemi dell’organizzazione coinvolti nell’archiviazione, trasmissione o trattamento di dati rilevanti per il business. In quanto politica per PMI, P23S è progettata specificamente per organizzazioni con ruoli IT snelli, come General Manager e Fornitore di supporto IT, pur raggiungendo la conformità a ISO/IEC 27001:2022, GDPR, NIS2, DORA e altri framework. Lo scopo di questa politica è tutelare l’integrità dei log di sistema, facilitare un’indagine sugli incidenti accurata e garantire la difendibilità negli audit tramite una rigorosa applicazione dei controlli di sincronizzazione dell’ora automatizzata. Richiede che tutti i sistemi di proprietà dell’azienda, remoti e sistemi ospitati nel cloud, inclusi endpoint utente, server, firewall e piattaforme SaaS, si basino su fonti temporali affidabili e protette crittograficamente (ad es. server NTP autenticati o strumenti del cloud provider). I dispositivi devono sincronizzarsi almeno due volte al giorno e rimanere entro soglie definite (±5 secondi per le workstation; ±1 secondo per server e dispositivi di sicurezza). Scostamenti temporali oltre soglia attivano allerte e devono essere corretti tempestivamente per prevenire minacce alla tracciabilità dei dati o alla posizione regolatoria. La politica assegna responsabilità al General Manager, al Fornitore di supporto IT e a un Coordinatore Privacy o Responsabile Affari Legali e Conformità. Il General Manager supervisiona e approva la politica o eventuali eccezioni, mentre il Supporto IT configura, monitora e documenta lo stato della sincronizzazione dell’ora. Dipendenti e collaboratori esterni non possono modificare le impostazioni dell’ora del dispositivo; eventuali problemi di sincronizzazione devono essere oggetto di escalation immediata. Controlli regolari sullo stato di salute dei sistemi e riesami periodici contribuiscono a garantire la conformità continua, mentre la gestione delle eccezioni e i controlli compensativi sono governati e documentati con attenzione. La sincronizzazione dell’ora è collegata esplicitamente ad altre politiche fondamentali per PMI, tra cui Politica di registrazione e monitoraggio, Politica di risposta agli incidenti (P30), Protezione dei dati e privacy, Gestione degli asset e Politica di sicurezza dei fornitori. Insieme, queste politiche forniscono una copertura coerente, garantendo che i log utilizzati per conformità, monitoraggio della sicurezza o risposta alle violazioni siano accurati sia nel contenuto sia nel timestamp. Il documento evidenzia un rigoroso processo di riesame e aggiornamento, imponendo una rivalutazione annuale da parte di General Manager, IT e ruoli Privacy, con aggiornamenti attivati da cambiamenti tecnologici o nuovi obblighi normativi. Questo approccio olistico consente alle PMI di aderire a standard di sicurezza di livello enterprise senza la necessità di strutture di supervisione complesse e ad alta intensità di risorse.