Definizione, caratteristiche e importanza delle Policy Aziendali

Definizione, caratteristiche e importanza delle Policy Aziendali

Definizione, caratteristiche e importanza delle Policy Aziendali

Il regolamento o policy aziendale è quell’insieme di norme adottate unilateralmente dall’azienda (normalmente si tratta di grandi imprese) per disciplinare la condotta dei propri dipendenti in materie molto specifiche come, ad esempio, l’uso del personal computer, della navigazione in internet o della posta elettronica. Come affermato all’inizio di questo lavoro, all’interno di ogni azienda, piccola o grande che sia, è buona norma stilare delle policy aziendali che coprano il più possibile tutte le casistiche nelle quali un dipendente può trovarsi, così da evitare errori ed essere cosciente su quanto sta facendo. Di seguito ne analizzeremo alcune di queste.

In questo periodo stanno nascendo nuove tipologie di lavoro, si lavora in giro per il mondo attraverso smartphone, tablet, portatili, ed è consigliato per l’azienda coprire e mettere in sicurezza tutte le comunicazioni al di fuori dell’azienda e regolamentare lo scambio di mail e la condivisione di file, al fine da proteggersi contro eventuali attacchi di ingegneria sociale.
Da una recente ricerca numerosi lavoratori pensano che le policy IT siano da migliorare e molti dipendenti dichiarano di aver violato le policy per motivi personali. Altro dato non particolarmente incoraggiante è, però, che un dipendente su quattro non è al corrente della loro esistenza. Le policy sono infatti davvero efficaci solo se realmente attuabili e se i dipendenti ne sono a conoscenza.

Troppo spesso, d’altronde, alcuni documenti di policy rimangono su una scrivania a prendere polvere, poiché redatti solo per la necessità di avere formalmente una policy, senza che questa necessità fosse sentita a livello operativo. E’ importantissimo, invece, che le policy siano aggiornate e vengano attuate tempestivamente.
Non meno importante è il fatto che le policy hanno bisogno di essere scritte in modo tale che i dipendenti possano realmente comprenderle. A tal proposito, un documento di policy è pressoché inutile se risulta pieno di termini tecnici che i dipendenti esterni allo staff IT difficilmente capiranno: le policy preparate dal personale IT con il supporto del dipartimento risorse umane risultano essere più efficaci. A causa delle numerose leggi e normative cui deve attenersi il datore di lavoro, si raccomanda che le policy IT siano inoltre supervisionate dalle Risorse Umane per garantire che rientrino nei parametri consentiti dalla legge.

Definizione, caratteristiche e importanza delle Policy Aziendali

In aggiunta, per prevenire attacchi di ingegneria sociale è necessario realizzare policy che siano il più possibile costruite e pensate anche per evitare ogni tipo di bug in ambito sociale. Ciò vuol dire che nessuna procedura aziendale deve essere lasciata al caso, ma ognuna deve essere analizzata nel dettaglio. Successivamente sarà cura dell’azienda di distribuire e formare i propri dipendenti portandoli alla conoscenza e allo studio della policy da seguire all’interno dell’azienda.
E’ importante poi suddividere le varie policy in base alla sicurezza della procedura svolta e in base al settore di implicazione. Ad esempio si potrebbe suddividere le policy in base alla sensibilità dei dati trattati dai dipendenti. La gestione corretta dei dati, infatti, implica la suddivisione degli stessi per gestire, nel migliore dei modi, la sicurezza senza ridurre l’operatività dei propri dipendenti.

Riguardo alla suddivisone delle policy in base ai dati, ci sono dati aziendali che assolutamente non vanno divulgati per nessun motivo; ad esempio password, dettagli, progetti segreti, progetti futuri, e tutte le informazioni personali riservate (ad esempio il codice fiscale). Questi dati verranno classificati come dati sensibili alla privacy e nessuno che è in possesso di questi deve comunicarli sotto richiesta di terzi. Oltre queste tipologie di dati, abbiamo i dati interni aziendali: questi dati vengono rilasciati esclusivamente a personale interno e, per fare questo, l’azienda deve adottare una politica di identificazione del dipendente interno. In aggiunta a questi ci sono poi i dati cedibili all’esterno, ma solamente a soggetti ben identificati, ovvero altre aziende partner o clienti fidati: anche qui, pertanto, è necessario adoperare una buona politica di identificazione dell’ente. Teoricamente ultimi, ma può non essere così a seconda dell’azienda, ci sono i dati poco sensibili a cui è consentito fruire all’esterno da parte di chiunque ne faccia richiesta. Questi dati sono quasi accessibili a tutti, ma è una buona norma tenere traccia di quanti ne vengono rilasciati e a chi, magari limitando i possibili “punti” d’uscita, cioè limitando il numero di personale autorizzato a divulgare queste informazioni.

Parallelamente a questa classificazione è necessario implementare corrette procedure di identificazione dell’utente e di verifica dell’autorizzazione. La distribuzione di badge per accedere a determinati ambienti ad esclusione di altri sarebbe una buona norma per la gestione degli accessi ai vari locali dell’azienda e per tenere traccia dei log degli accessi in caso di problemi. Inoltre ad ogni postazione è necessario predisporre un accesso con un account personale e profilato in modo da poter effettuare solo determinate azioni ed utilizzare solo determinati programmi.

Per quest’ultima casistica, per rafforzare la sicurezza dell’accesso ai pc aziendali, è stata resa necessaria l’introduzione dell’OTP (One Time Password), rappresentato da un dispositivo a forma di chiavetta che alla pressione di un tasto produce una password supplementare di 6 numeri valida solo una volta. In questi casi l’utente aggiungerebbe un livello di sicurezza alla propria combinazione di username e password. Le policy, però, devono indicare di custodire con cura l’OTP e ogni qualvolta ci si allontani dalla postazione bloccare il pc.
Ulteriori livelli di sicurezza, utili a evitare il fenomeno del passaggio tra persone delle proprie utenze per scopi non leciti, sono stati introdotti per ambienti ad alto rischio dispositivi per la lettura delle impronte digitali e/o lettura della retina. In questi casi si utilizza una parte biometrica per verificare l’accesso solo alla persona schedata e presente nel database.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *