Politica de utilizare acceptabilă - IMM

Politica de utilizare acceptabilă (AUP) – versiunea IMM (document P03S) este concepută pentru a stabili standarde clare, practice și aplicabile pentru utilizarea responsabilă a resurselor IT furnizate de companie în cadrul întreprinderilor mici și mijlocii (IMM-uri). Obiectivul principal este ca toate persoanele, inclusiv angajați, contractanți, personal temporar și chiar furnizori terți de servicii, să înțeleagă pe deplin obligațiile și așteptările comportamentale atunci când accesează sisteme informatice ale organizației, fie la sediu, la distanță sau într-un mediu de lucru hibrid. Această politică este adaptată explicit pentru IMM-uri, prin utilizarea unor roluri de management generalizate, precum directorul general, în locul unor ofițeri IT sau de securitate specializați, ceea ce o face accesibilă organizațiilor fără echipe interne dedicate de IT sau securitate, dar care urmăresc o conformitate riguroasă cu ISO/IEC 27001:2022. În mod cuprinzător, AUP definește ce constituie utilizarea acceptabilă versus inacceptabilă a dispozitivelor deținute de companie, a dispozitivelor personale (aducerea propriului dispozitiv (BYOD)), a rețelelor, a platformelor cloud și a tuturor instrumentelor software utilizate. Detaliază mecanisme de guvernanță, precum hardware și protocoale aprobate, cerințe de aprobare prealabilă și configurare securizată pentru aducerea propriului dispozitiv (BYOD) și menținerea jurnalelor de activitate pentru a urmări încălcări sau incidente. Monitorizarea este realizată de Managerul IT sau de un furnizor extern autorizat, dar întotdeauna în limitele intereselor legitime de afaceri și ale legislației aplicabile privind confidențialitatea datelor. Această abordare echilibrează securitatea, confidențialitatea și fezabilitatea organizațională. Politica stabilește și un cadru cuprinzător de tratare a riscului și excepții: riscuri precum infecția cu malware, încălcarea securității datelor și prejudiciul reputațional rezultate din utilizarea necorespunzătoare sunt atenuate prin controale tehnice stratificate și programe de conștientizare. Solicitările de excepție, precum utilizarea de software neautorizat, trebuie documentate formal, supuse evaluării riscurilor, limitate în timp și aprobate explicit, de regulă de directorul general sau de furnizorul IT. Accentul puternic pe documentație, declanșatoare de revizuire și revalidarea anuală a politicii asigură că politica rămâne eficace pe măsură ce tehnologiile, amenințările și cerințele legale evoluează. Prevederile de aplicare și conformitate sunt robuste. Toate încălcările suspectate sau observate trebuie raportate prompt, cu escaladare clară către Managerul IT sau directorul general. Măsurile de aplicare pot include blocarea sistemului sau a accesului, avertismente verbale sau scrise și chiar încetarea contractului atât pentru personal, cât și pentru furnizorii terți de servicii. Natura obligatorie contractuală a politicii pentru terți asigură aplicarea consecventă a standardelor de securitate în întregul lanț de aprovizionare al organizației. În final, integrarea AUP cu alte politici IMM de bază — Politica de control al accesului, Politica privind conștientizarea și instruirea în domeniul securității informației, Politica de telemuncă, politici de protecție a datelor și Politica de răspuns la incidente — asigură o acoperire holistică a responsabilităților de securitate. Rezultatul este un cadru ușor de implementat, aliniat la ISO 27001:2022, pentru companii care urmăresc conformitatea și reducerea riscului chiar și fără departamente IT sau de securitate extinse.