Crea delle policy aziendali

Perché è importante avere delle policy aziendali

Tramite le policy aziendali le imprese, oltre a specificare le corrette modalità di esecuzione delle attività, possono fornire indicazioni tecnico-organizzative per l’uso degli strumenti ICT prevenendo così i rischi connessi a comportamenti pericolosi con riferimento al profilo della cyber security aziendale.

Per avere policy aziendali efficaci a tutela del patrimonio informativo dell’azienda, l’imprenditore dovrà individuare in modo chiaro perlomeno i seguenti elementi:

  1. eventuali specifici limiti alla navigazione Internet – con riferimento ai tempi, agli accessi, ai download, agli upload ecc. – esplicitando, ad esempio, se il lavoratore può o non può utilizzare gli strumenti aziendali per effettuare acquisti on-line, anche di natura personale;
  2. quali categorie di siti web l’azienda considera affidabili in quanto correlati con l’attività di impresa e, pertanto, consentiti e legittimamente accessibili dal lavoratore. Quando questo requisito viene garantito a monte dall’IT manager tramite l’utilizzo sistemi di filtro automatico, l’imprenditore dovrà specificare al lavoratore la presenza di questi filtri o degli altri sistemi adottati, in grado di impedire l’accesso a determinati siti ritenuti pericolosi per l’azienda e/o di scaricare file, allegati o software non sicuri e via dicendo;
  3. se e quando è possibile conservare file di natura personale scaricati da Internet o dalla posta elettronica sulla rete interna aziendale;
  4. qual è il tempo di conservazione dei dati di navigazione delle singole postazioni e se viene garantita la anonimizzazione di tali dati (misura che garantirebbe la tutela della privacy dei lavoratori, consentendo verifiche sul sistema IT senza necessità di individuazione di ciò che ciascun lavoratore ha visitato e quando);
  5. se e in quale misura è possibile utilizzare l’account di posta elettronica aziendale per ragioni personali;
  6. chi può accedere alle informazioni memorizzate sugli strumenti informatici affidati ai singoli lavoratori in caso di loro assenza prolungata o di necessità di eseguire urgenti verifiche tecniche sulla rete IT (ad esempio, al fine di proteggerla da un attacco esterno);
  7. se e quali informazioni possono essere conservate più a lungo del termine di data retention ordinario stabilito in via generale dall’impresa per esigenze, ad esempio, di backup, di gestione della rete, di registrazione dei file log;
  8. se e in quale misura il datore di lavoro si riserva di verificare/controllare gli strumenti informatici affidati al dipendente, con la specifica e dettagliata indicazione delle relative modalità di accesso;
  9. quali sono le soluzioni tecniche individuate dall’impresa per garantire la continuità dell’attività lavorativa dell’impresa in caso di assenza del dipendente: ad esempio, risponditore automatico o inoltro automatico su altra casella di posta elettronica ecc.;
  10. le prescrizioni interne da osservare per la sicurezza dei dati e dei sistemi.

Al fine di dare maggiore forza persuasiva e cogenza a tali norme di comportamento interno nell’uso delle risorse ICT aziendali, è consigliabile che l’imprenditore qualifichi eventuali violazioni della policy aziendale come vera e propria infrazione disciplinare, assoggettando le prescrizioni a specifiche sanzioni.