Politica di gestione degli account utente e dei privilegi

La Politica di gestione degli account utente e dei privilegi (Documento P11) fornisce un quadro strutturato e obbligatorio per controllare come gli account utente e i privilegi di accesso sono gestiti in tutti i sistemi informativi dell’organizzazione e nelle tecnologie. Il suo scopo principale è garantire che le risorse dell’organizzazione siano accessibili solo a persone autorizzate, in conformità con ruoli convalidati e necessità operative. La politica riconosce e applica principi chiave di sicurezza delle informazioni, come il principio del privilegio minimo e la separazione dei compiti, e impone processi verificabili per il provisioning degli accessi, la gestione, il monitoraggio e la revoca degli accessi degli account utente. Applicabile a tutti gli utenti, inclusi dipendenti, contraenti, fornitori terzi di servizi e consulenti, questa politica disciplina qualsiasi sistema in cui sia presente l’autenticazione dell'utente. Questo ambito completo copre applicazioni aziendali, ambienti cloud e SaaS, sistemi amministrativi e strumenti di accesso remoto, nonché piattaforme di gestione delle identità e degli accessi (IAM). Sia gli account standard sia gli account privilegiati rientrano nei suoi requisiti, con una forte enfasi sull’identificazione univoca di ogni account e sulla prevenzione dell’uso di credenziali condivise o account condivisi/generici (salvo scenari di emergenza strettamente controllati). Gli obiettivi chiave della politica includono l’applicazione di nomi utente univoci, giustificabili e tracciabili; l’implementazione di controlli del principio del privilegio minimo per proteggere da diritti di accesso eccessivi; la richiesta di modifiche tempestive allo stato dell’account a seguito di modifiche dei ruoli o cessazioni; e la centralizzazione delle attività di gestione del ciclo di vita degli accessi per coerenza e auditabilità. Sono previste disposizioni per la rilevazione proattiva di credenziali utente inattive o account utilizzati impropriamente tramite riesami regolari e l’uso di promemoria automatici e strumenti automatizzati. La politica è progettata esplicitamente per allinearsi alle principali norme di sicurezza (come ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR e COBIT 2019) per soddisfare sia requisiti normativi sia requisiti di migliori pratiche. Ruoli e responsabilità sono definiti chiaramente, dalla vigilanza del CISO e dal ruolo di gestione delle eccezioni, alle azioni tecniche degli amministratori del controllo degli accessi, alle autorizzazioni di accesso dei responsabili di dipartimento e all’integrazione delle Risorse Umane (HR) con i processi di onboarding e procedura di uscita. Le procedure garantiscono che la creazione, la modifica e la disattivazione degli account siano strettamente governate, con l’accesso privilegiato soggetto a ulteriore scrutinio, approvazioni, accesso limitato nel tempo e audit logging avanzato. I controlli di autenticazione, incluse politiche di gestione delle password obbligatorie, autenticazione a più fattori (MFA) per account chiave, blocco della sessione e protocolli di accesso remoto sicuri, costituiscono un requisito centrale, garantendo che la verifica dell’identità non possa essere aggirata. Un monitoraggio robusto, la registrazione di audit e misure di riesame periodico aiutano a mantenere inventari accurati degli account e a imporre la conformità alle politiche. La gestione delle eccezioni è basata sul rischio e controllata, con scenari di accesso di emergenza (“break-glass”) che ricevono un’attenzione procedurale specifica. La conformità obbligatoria è sottolineata da un modello di applicazione progressivo, inclusi la disabilitazione dell’accesso, il riaddestramento, misure disciplinari ed escalation legale/regolatoria in caso di violazioni. L’integrazione con politiche organizzative correlate garantisce un approccio coerente in tutti i domini della sicurezza delle informazioni e il requisito di riesami annuali (o guidati da eventi) della politica garantisce un allineamento continuo con l’evoluzione di sistemi, modelli di business e contesti normativi. La Politica di gestione degli account utente e dei privilegi è fondamentale per la strategia di gestione del rischio dell’organizzazione, rafforzando la sicurezza operativa e la conformità normativa.