Politica de telemuncă

Politica de telemuncă (P09) oferă un cadru cuprinzător pentru gestionarea accesului la distanță securizat și pentru atenuarea riscurilor specifice asociate mediilor de lucru distribuite. Este concepută pentru întregul personal, inclusiv angajați cu normă întreagă, cu normă parțială, angajați contractuali, furnizori terți de servicii, consultanți, furnizori externi și personal alocat pe proiect, care sunt autorizați să își îndeplinească atribuțiile din afara sediilor corporative. Politica este aplicabilă în toate zonele geografice și fusurile orare în care operează organizația, asigurând o bază de referință de securitate uniformă, indiferent de locul sau momentul în care are loc telemunca. Scopul său principal este menținerea confidențialității, integrității și disponibilității pentru activele informaționale ale organizației care sunt accesate sau gestionate în afara sediului. Politica realizează acest lucru prin instituirea unor măsuri de protecție tehnice și procedurale robuste, precum criptare obligatorie, autentificare puternică (inclusiv autentificare multifactor), protecția punctelor terminale și canale de acces securizate precum rețea privată virtuală (VPN) sau desktopuri la distanță. Se aliniază strâns cu cerințele ISO/IEC 27001:2022, inclusiv Anexa A, Controlul 6.7, care se concentrează pe condiții de telemuncă securizate, asigurând că sunt abordate atât protecțiile fizice, cât și cele logice. Controalele răspund, de asemenea, reglementărilor din industrie precum NIST SP 800-53 (pentru acces și protecții criptografice), GDPR și NIS2 (pentru securitatea și confidențialitatea datelor) și DORA (pentru reziliența ICT financiară). Secțiuni specifice ale politicii delimitează roluri și responsabilități în cadrul conducerii executive, conducerii securității informației (Ofițer-șef pentru securitatea informațiilor (CISO)/Manager SMSI), operațiunilor IT, resurselor umane, managerului direct, juridicului și conformității și personalului la distanță. De exemplu, IT are sarcina de a implementa și susține infrastructura securizată, de a urmări conformitatea dispozitivelor și de a menține jurnale de evenimente. Angajații și lucrătorii la distanță contractați trebuie să respecte utilizarea securizată a dispozitivelor, metodele de acces aprobate, regulile de gestionare a datelor și să raporteze prompt orice incidente de securitate sau pierdere a dispozitivului. Politica interzice strict accesul la distanță în afara configurațiilor autorizate și impune ca toate dispozitivele, deținute de companie sau aduse de utilizator (BYOD), să îndeplinească cerințele de securitate de bază (configurație, aplicarea patch-urilor, criptare, măsuri anti-malware) și cerințele de înregistrare. Mecanismele de guvernanță din cadrul politicii abordează tratamentul riscului, gestionarea excepțiilor și aplicarea cu rigoare. Categorii de risc precum furtul de credențiale, exfiltrarea datelor, amenințări interne, încălcări de reglementare și compromiterea prin malware sunt abordate direct prin controale stratificate: controlul accesului bazat pe roluri (RBAC), alerte automatizate în SIEM, securitatea punctelor terminale, reguli de gestionare a datelor și instruire de conștientizare a securității. În plus, toate excepțiile trebuie să fie aprobate de Ofițer-șef pentru securitatea informațiilor (CISO), documentate și revizuite periodic. Supravegherea continuă este menținută prin monitorizare, jurnalizare de audit centralizată și procese de audit definite. Încălcările politicii sunt supuse revocării accesului, măsurilor disciplinare, încetării contractului sau acțiunilor legale. Politica se integrează, de asemenea, strâns cu politici conexe, inclusiv Politica de securitate a informației, Politica de utilizare acceptabilă, Politica de control al accesului, cadrul de gestionare a riscurilor, Managementul facilităților și al activelor, Politica de păstrare a datelor și Politica de jurnalizare și monitorizare, pentru a forma un model de guvernanță end-to-end pentru telemuncă. Ciclul său de revizuire anuală sau declanșată de evenimente asigură capacitatea de răspuns la amenințări în evoluție, schimbări de reglementare sau progrese tehnologice, iar toate actualizările sunt comunicate formal și confirmate prin confirmarea luării la cunoștință a politicii. Acest lucru aplică în mod consecvent operațiuni securizate, conforme și fiabile în toate scenariile de telemuncă.