12. Policy (Regolamenti), Standard e Procedure di Sicurezza.
Policy, Procedure e Standard sono elementi imprescindibili del Programma di Sicurezza ma affinché siano utili, devono essere perfettamente aderenti alla realtà ed alle esigenze dell’Azienda per questo motivo sono quasi sempre le attività prioritarie del Fractional CISO nell’Azienda.

Una policy (regolamento) di sicurezza è un documento normativo che definisce gli stati di sicurezza necessari per l'organizzazione:

le risorse da proteggere ed il livello di protezione adeguato che le misure di sicurezza devono assicurare.


L’Azienda che definisce le proprie Policy di Sicurezza dichiara formalmente quali sono le esigenze, la visione, gli obiettivi strategici di sicurezza ed il modello (framework) di riferimento, assegna responsabilità, definisce ruoli, specifica i requisiti di controllo, delinea i processi di applicazione, indica i requisiti di conformità e definisce i livelli di rischio accettabili.


La policy impegna l’Azienda e tutto il personale interno ed esterno ad osservare quanto definiscono, delineando i limiti tra ciò che è consentito e ciò che non lo è ed una linea di demarcazione tra i comportamenti desiderati e deprecati, deve prevedere sanzioni in caso di trasgressione.


Le policy sono un efficace controllo di sicurezza di tipo Amministrativo a condizione che siano fattivamente sostenute dalla dirigenza e che siano adeguatamente divulgate tra il personale.


La semplicità, la chiarezza del linguaggio e la sintesi sono caratteristiche indispensabili affinché siano lette, consultate quando necessario e soprattutto comprese.


Per evitare documenti corposi e quindi poco gestibili, normalmente le policy hanno una struttura gerarchica che parte dai principi generali e si dirama per affrontare argomenti specifici, ad esempio:


Regolamento generale di sicurezza delle informazioni dell’Azienda
--> Regolamento di utilizzo accettabile degli strumenti informatic dell’azienda

--> Regolamento di gestione degli accessi.

----> Regolamento per l’attivazione e disattivazione delle utenze per assunzioni e dimissioni del personale

--> Regolamento per la classificazione e gestione delle informazioni

-->Regolamento per la gestione degli incidenti di sicurezza delle informazioni

-->Regolamento di sicurezza delle reti aziendali

----> Regolamento per la gestione delle regole di firewall

----> Regolamento per l’aggiornamento dei sistemi e apparati

-->Regolamento per la formazione continua del personale sulla sicurezza delle informazioni.


Le policy devono essere riviste regolarmente, solitamente con frequenza almeno annuale, per assicurare che siano sempre adeguate alla situazione reale dell’Azienda, ma trattandosi di documenti di tipo “normativo” solitamente richiedono pochi interventi.


Gli standard e le procedure sono documenti che danno concretezza alle policy, entrano nello specifico definendo “cosa” (standard) e “come” (procedure)


Alcuni esempi di standard di sicurezza:


--> Lo schema di classificazione dei documenti e delle informazioni

--> Le tipologie di cavi da utilizzare per connessioni ethernet e fibra ottica

--> L’elenco dei modelli di dispositivi USB consentiti

--> La configurazione di sicurezza dei computer dei dipendenti

--> …


Le procedure definiscono in dettaglio le attività da compiere per eseguire in modo corretto un determinato processo / compito specificandone, se necessario la sequenza e le diverse opzioni.


Sono molto efficaci per raggiungere la ripetibilità dei risultati ed il livello qualitativo adeguato, agevolano e semplificano l’inserimento operativo del nuovo personale e possono essere utilizzate per dimostrare il livello di qualità dell’Azienda nella esecuzione dei processi (audit esterne).


Alcuni esempi di procedure di sicurezza:


--> Creazione utenze per il personale assunto e attribuzione di ruoli e privilegi

--> Terminazione delle utenze per il personale dimissionario

--> Aggiornamento di sicurezza dei computer del personale

--> Modifica delle regole del firewall

--> Gestione della risposta negli incidenti di sicurezza

--> Gestione del backup dei dati

--> …


È fondamentale che le procedure e gli standard siano aggiornati frequentemente per adeguarsi ai cambiamenti organizzativi, tecnologici e normativi e ciò è esplicitamente previsto dal Programma di Sicurezza (vedi 9. Il Programma di Sicurezza delle Informazioni).