Politika sprejemljive uporabe

Politika sprejemljive uporabe (AUP) določa standarde za odgovorno, varno in zakonito uporabo organizacijskih informacijskih sistemov, tehnoloških virov in informacijskih sredstev. Njen glavni namen je opredeliti sprejemljive in prepovedane dejavnosti pri uporabi računalniške infrastrukture podjetja, vključno z delovnimi postajami, mobilnimi napravami, strežniki, storitvami v oblaku in omrežji. Ta politika zagotavlja, da so vsi uporabniki – od zaposlenih in pogodbenih izvajalcev do dobaviteljev tretjih oseb – seznanjeni s svojimi odgovornostmi pri varovanju zaupnosti, celovitosti in razpoložljivosti organizacijskih informacijskih sredstev. V skladu s politiko je obseg celovit in zajema vsakega posameznika in subjekt, ki mu je odobren dostop, ter vse oblike tehnologije in podatkov podjetja. Enako velja za poslovne prostore, postavitve dela na daljavo in terenske lokacije. Politiko morajo upoštevati ne le tradicionalni uporabniki IT, temveč tudi vsi, ki delujejo v okviru uporabe lastnih naprav (BYOD) ali v hibridnih okoljih. Vsak uporabnik mora podati potrditev Politike sprejemljive uporabe kot pogoj za dostop do sistemov in podatkov, ta potrditev pa se hrani za potrebe presoje in skladnosti. Cilji politike poudarjajo pomen jasnih meja med dovoljenimi in prepovedanimi dejanji. Zahteva preprečevanje nepooblaščenega dostopa ali uhajanja podatkov zaradi groženj, ki izhajajo iz vedenja, kot so malomarna uporaba, namestitev nepooblaščene programske opreme ali izogibanje varnostnim kontrolam. Za zagotavljanje skladnosti so opredeljene vloge in odgovornosti za najvišje vodstvo (odobritev politike in nadzor), ekipe IT in informacijske varnosti (tehnično uveljavljanje, spremljanje, preiskava), vodje (lokalni nadzor, obravnava manjših kršitev), kadrovsko in pravno službo (disciplinski ukrepi, zakonitost politike) ter vse uporabnike (etična uporaba, poročanje o incidentih, varovanje poverilnic). Ukrepi upravljanja in uveljavljanja so zasnovani premišljeno. Uporabniki morajo opraviti formalno potrditev Politike sprejemljive uporabe in ponavljajoče se usposabljanje, s čimer se krepi ozaveščenost in etično vedenje. Ekipe IT in informacijske varnosti izvajajo sisteme za filtriranje spleta in elektronske pošte, varnost končnih točk in spremljanje za tehnično uveljavljanje pravil, periodični pregledi pa zagotavljajo, da kontrole ostajajo učinkovite. Prepovedane dejavnosti so izrecno navedene, vključno z nepooblaščenim dostopom, uvajanjem zlonamerne programske opreme, uporabo za osebni dobiček, prekomerno uporabo virov in poskusi obhoda avtentikacijskih mehanizmov. Politika vključuje tudi strogo obravnavo uporabe lastnih naprav (BYOD), šifriranja in praks dela na daljavo, s tehničnimi in postopkovnimi zahtevami za varnost naprav in podatkov. Mehanizmi odziva na incidente zahtevajo, da uporabniki nemudoma poročajo o varnostnih dogodkih, nepooblaščenem dostopu ali izgubi naprave prek uradnih kanalov. Kršitve se obravnavajo s sorazmernimi disciplinskimi ukrepi – od usmerjenega ponovnega usposabljanja in začasne ukinitve dostopa do prenehanja delovnega razmerja ali pravnega pregona – vse pa je dokumentirano za pravne in revizijske namene. Pomembno je, da politika varuje anonimnost mehanizma za prijavo nepravilnosti in prepoveduje povračilne ukrepe, s čimer spodbuja kulturo odgovornosti. Politika je usklajena s priznanimi mednarodnimi standardi, kot so ISO/IEC 27001:2022 (klavzula 5.10 in izbrane kontrole iz Priloge A), NIST SP 800-53, EU GDPR, NIS2, EU DORA in COBIT 2019, ter je zasnovana tako, da prestane presojo z vidika skladnosti, prava in revizije. Upravlja se v skladu s predpisanimi cikli pregledov, verzioniranjem in zahtevami za upravljanje dokumentacije, da ostane relevantna ob razvoju tveganj in spremembah regulativnega okolja. Poleg tega politika izrecno povezuje ključne povezane politike, kot so politika nadzora dostopa, okvir za obvladovanje tveganj in Politika dela na daljavo, s čimer zagotavlja celovit, večplasten pristop k upravljanju kibernetskih tveganj v organizaciji.