Politika prijateľného používania

Politika prijateľného používania (AUP) stanovuje štandardy pre zodpovedné, bezpečné a zákonné používanie informačných systémov organizácie, technologických zdrojov a informačných aktív. Zastrešujúcim účelom je definovať prípustné aj zakázané činnosti pri interakcii s výpočtovými zdrojmi spoločnosti, vrátane pracovných staníc, mobilných zariadení, serverov, cloudových služieb a sietí. Táto politika zabezpečuje, že všetci používatelia – od zamestnancov a dodávateľov až po dodávateľov tretích strán – si uvedomujú svoje zodpovednosti pri ochrane dôvernosti, integrity a dostupnosti organizačných informačných aktív. Podľa politiky je rozsah komplexný a týka sa každej osoby a subjektu, ktorým bol udelený prístup, ako aj všetkých foriem technológií a podnikových údajov. Uplatňuje sa rovnako v podnikových kanceláriách, pri nastaveniach práce na diaľku a na terénnych pracoviskách. Politiku musia dodržiavať nielen tradiční používatelia IT, ale aj ktokoľvek, kto funguje v režime používania vlastných zariadení (BYOD) alebo v hybridnom prostredí. Každý používateľ je povinný poskytnúť potvrdenie oboznámenia sa s politikou ako predpoklad prístupu k systémom a údajom a toto potvrdenie sa uchováva pre audit a súlad. Ciele politiky zdôrazňujú dôležitosť stanovenia jasných hraníc pre povolené a zakázané činnosti. Vyžaduje prevenciu neoprávneného prístupu alebo úniku údajov prostredníctvom hrozieb vyplývajúcich zo správania, ako je nedbanlivé používanie, inštalácia neautorizovaného softvéru alebo obchádzanie bezpečnostných kontrol. Na zabezpečenie súladu sú vymedzené roly a zodpovednosti pre vrcholové vedenie (schválenie politiky a dohľad), IT a bezpečnostné tímy (technické vynucovanie, monitorovanie, vyšetrovanie), vedúcich (lokálny dohľad, riešenie menších porušení), ľudské zdroje a právne oddelenie (disciplinárne opatrenia, zákonnosť politiky) a všetkých používateľov (etické používanie, nahlasovanie incidentov, zabezpečenie prihlasovacích údajov). Opatrenia správy a vynucovania sú navrhnuté s dôrazom na riadenie. Používatelia sa musia zapojiť do formálneho potvrdenia a opakovaných školení, čím sa posilňuje povedomie a etické správanie. IT a bezpečnostné tímy implementujú filtrovanie webu a e-mailov, ochranu koncových bodov a monitorovanie systémov na technické vynucovanie pravidiel, pričom pravidelné preskúmania zabezpečujú, že kontroly zostávajú účinné. Zakázané činnosti sú výslovne uvedené a zahŕňajú neoprávnený prístup, nasadenie škodlivého kódu, použitie na osobný zisk, nadmerné používanie výpočtových zdrojov a pokusy o obídenie bezpečnostných mechanizmov. Politika tiež prísne upravuje používanie BYOD, šifrovanie a postupy práce na diaľku, vrátane technických a procesných požiadaviek na bezpečnosť zariadení a údajov. Mechanizmy reakcie na incidenty vyžadujú, aby používatelia bezodkladne hlásili bezpečnostné udalosti, neoprávnený prístup alebo stratu zariadenia prostredníctvom oficiálnych kanálov. Porušenia sa riešia primeranými disciplinárnymi opatreniami – od preškolenia a pozastavenia prístupu až po ukončenie pracovného pomeru alebo právne stíhanie – pričom všetko je zdokumentované na právne a auditné účely. Dôležité je, že politika chráni anonymitu oznamovateľov a zakazuje odvetné opatrenia, čím podporuje kultúru zodpovednosti. V súlade s uznávanými medzinárodnými normami, ako sú ISO/IEC 27001:2022 (článok 5.10 a vybrané opatrenia z prílohy A), NIST SP 800-53, GDPR, NIS2, EU DORA a COBIT 2019, je AUP navrhnutá tak, aby obstála pri posudzovaní z pohľadu súladu, práva a auditu. Riadi sa predpísanými cyklami preskúmania, verzovaním a požiadavkami na správu dokumentov, aby si zachovala relevantnosť pri vývoji rizík a zmenách regulačného prostredia. Politika ďalej explicitne odkazuje na súvisiace kľúčové politiky, ako sú riadenie prístupu, riadenie rizík a Politika práce na diaľku, čím zabezpečuje holistický, vrstvený prístup k správe kybernetických rizík organizácie.