Symantec Italia
siti globali
prodotti e servizi
acquisto
supporto
partner
security response
downloads
informazioni su Symantec
ricerca
feedback


© 1995-2008 Symantec Corporation.
All rights reserved.
Note legali
Politica sulla privacy

Implementazione di una politica di sicurezza per le piccole imprese

La politica di sicurezza non è un bene di lusso alla portata solo delle grandi aziende, come spesso erroneamente si ritiene. Anche le aziende di piccole e medie dimensioni possono trarne grandi vantaggi, purché riescano ad elaborare questo importante documento e successivamente a farlo rispettare dai propri collaboratori. L'obiettivo è definire le linee guida e le esigenze fondamentali di protezione dei sistemi informatici dell'azienda, per fare in modo che possano essere rispettate da tutti.

Le aziende di piccole e medie dimensioni spesso considerano le politiche di sicurezza soluzioni molto impegnative (devono essere elaborate), costose (spesso richiedono consulenze esterne) e non particolarmente utili: in fin dei conti, quando si tratta solo di navigare sul Web, leggere la posta ed eseguire il backup del server dei file, dovrebbe essere sufficiente un po' di buon senso… non è così?
Queste convinzioni non potrebbero essere più lontane dalla verità. Per un'azienda di piccole o medie dimensioni la politica di sicurezza viene spesso utilizzata come guida di comportamento dell'utente, manuale di informatica e come fondamento sul quale costruire la sicurezza del sistema informatico. In ipotesi estreme, può anche essere utilizzato come prova di mancata responsabilità dell’azienda stessa nel caso di uso non corretto o illecito del sistema da parte di un proprio dipendente. Tutto questo è racchiuso in pochi documenti di alcune pagine ciascuno.

Il primo passo per la creazione di una politica di sicurezza è... crearne tante! Si ottengono, infatti, maggiori risultati creando più documenti piccoli (non più di 2-3 pagine), piuttosto che condensando tutto in un enorme volume che sicuramente mai nessuno leggerà. Ciascuno di questi documenti può trattare un aspetto specifico dell’informatica: uso quotidiano delle workstation, backup dei dati critici, accesso remoto, protezione antivirus. In base alle attività dell'azienda, alle sue priorità e alle valutazioni di ciò che risulta nella realtà dei fatti i responsabili e il direttore del reparto IT dovranno decidere quali aree sia opportuno regolamentare con una politica di sicurezza: in quali di queste gli utenti hanno la massima libertà di azione nell'uso di uno strumento informatico?

“Uso consentito” degli strumenti informatici

Una volta completata la fase di valutazione, il passaggio successivo è elaborare i documenti. Di fatto, si tratta di stendere un elenco di linee guida per l'utilizzo di determinati strumenti informatici da parte del personale addetto. La prima politica da elaborare (che è anche quella adottata in tutte le aziende, a prescindere dalle dimensioni) è quella che riguarda il cosiddetto "uso consentito" degli strumenti informatici (“politica d'uso consentito", o PUA). Definisce le attività che l'utente è autorizzato a svolgere con la propria workstation. Comprende argomenti quali i messaggi e-mail personali, lo scaricamento di immagini e file multimediali, l'installazione di software personale sulla workstation, la proprietà delle informazioni utilizzate, e così via.

In questo caso è opportuno rimarcare il contesto della legalità nell'uso degli strumenti informatici (copyright, salvataggio di materiale pornografico, divieto di compiere azioni di pirateria, spamming, molestie per e-mail, e così via). Il documento può infine abbracciare anche il campo delle telecomunicazioni: come gestire le telefonate personali? Come gestire le linee telefoniche o la fatturazione delle telefonate? Questo documento deve essere particolarmente chiaro, conciso e di semplice consultazione. Se possibile, gli utenti dovrebbero essere consultati durante il processo di stesura del documento, al fine di agevolare la successiva accettazione dello stesso.

Redazione di norme tecniche basate sul buon senso

Questa politica dell'uso consentito a volte è l'unica applicabile nelle aziende più piccole, e potrebbe inoltre comprendere argomenti quali la scelta delle password (lunghezza, frequenza di modifica, ecc.), l'uso di programmi antivirus e il backup dei documenti di lavoro. Le organizzazioni più grandi hanno invece politiche di sicurezza su misura per amministratori e per il personale responsabile del settore informatico. Costoro si preoccupano sia della definizione delle regole sia della pianificazione del lavoro: quali informazioni bisogna sottoporre a backup, e con quale frequenza? Chi è responsabile dell'aggiornamento del programma antivirus, della configurazione del firewall o delle relazioni con il responsabile della sicurezza della sede? Quali risultati è necessario conseguire per valutare il livello di sicurezza? Con quale frequenza? Quali informazioni sono da considerare confidenziali, e chi può avervi accesso? Come devono essere protette?

Lo scopo di queste politiche è definire le procedure (e a volte gli strumenti) necessarie per garantire la protezione dei sistemi informatici dell'azienda. Spesso si tratta solo di mettere per iscritto delle norme tecniche di buon senso: a volte non sarebbe neppure necessario, ma non è pur sempre meglio farlo?

Per ulteriori informazioni: è possibile scaricare gratuitamente alcuni modelli di politiche di sicurezza (in inglese) dall'indirizzo:
http://www.sans.org/resources/policies/