Come redigere il regolamento informatico dell’Ente

I martedì della cybersecurity/ Uno strumento di accountability e di gestione fondamentale di cui un Ente si deve dotare per la corretta e conforme gestione dei dati e della sicurezza informatica

5 Dicembre 2022
Modifica zoom
100%
* di LUISA DI GIACOMO

Uno strumento di accountability e di gestione fondamentale di cui un Ente si deve dotare per la corretta e conforme gestione dei dati e della sicurezza informatica è il regolamento informatico, per l’utilizzo degli strumenti (device fissi e mobili), della rete internet e della posta elettronica, al fine di prevenire ed evitare che comportamenti anche inconsapevoli dei dipendenti possano minacciare o compromettere la sicurezza nel trattamento dei dati o che comportamenti scorretti distolgano le risorse dell’Ente dall’uso cui sono destinate.
Tra le maggiori cause di data breach e di attacco informatico di successo alle reti della Pubblica Amministrazione, che rimangono tra gli obiettivi preferiti dei cybercriminali (con un trend in costante crescita) c’è proprio l’errore umano, dovuto non solo da disattenzione, ma anche da scarsa preparazione, scarsa consapevolezza e dall’inesistenza di istruzioni precise e univoche da parte dell’Ente.

Il contenuto del regolamento informatico

Il regolamento informatico, che deve essere reso conoscibile e disponibile alla consultazione per tutto il personale, non è uno strumento statico, che una volta compilato ci si può permettere di dimenticare, ma va tenuto in costante aggiornamento. L’aggiornamento deve andare di pari passo con l’aggiornamento del sistema informatico e con l’ingresso e l’uscita di nuovi dipendenti dell’Ente, nonché con l’eventuale evoluzione normativa di riferimento.
Ogni Ente adotterà un regolamento in linea con le proprie esigenze e dimensioni, tenendo presenti alcuni punti chiave, che possiamo qui di seguito elencare a titolo di canovaccio da cui partire per redigere la propria policy informatica aziendale.

  • È necessario precisare che tutti gli strumenti informatici dell’ente affidati ai dipendenti, sono di proprietà dell’ente stesso e sono strumenti di lavoro che devono essere utilizzati esclusivamente per rendere la prestazione lavorativa. Pertanto, poiché ogni utilizzo per fini estranei all’attività lavorativa può minacciare la sicurezza dell’ente, provocare disservizi e generare costi, deve essere espressamente vietato.
  • Vanno specificate le modalità d’uso, conservazione e restituzione di tutti i dispositivi (ad es. lo spegnimento dei device in orario non lavorativo) e le procedure di creazione e custodia o di assegnazione da parte dell’amministratore di sistema delle credenziali necessarie per accedere ai sistemi dell’ente. User ID e password devono essere strettamente personali e conservati in maniera sicura (a titolo esemplificativo, un post-it attaccato sul monitor del pc non è un modo sicuro di conservare una password).
  • Va stabilita una policy per la creazione delle password, che non possono coincidere con quelle utilizzate per fini e servizi privati, che devono essere uniche e di complessità tale da renderle difficili da indovinare. Una password robusta è formata da numeri e lettere in ordine casuale, con maiuscole e minuscole, uno o più caratteri speciali.
  • È necessario individuare all’interno dell’Ente uno/una collega a cui affidare la propria password in caso di assenza non preventivata dal posto di lavoro, in modo che in questa evenienza sia assicurata la continuità lavorativa senza compromettere la sicurezza delle informazioni.
  • Va specificato quali comportamenti sono obbligatori (ad esempio come archiviare o distruggere documenti) e quali invece sono vietati (ad esempio la navigazione su siti internet non sicuri o l’utilizzo di dispositivi di memorizzazione esterna, come le chiavette USB, che costituiscono una minaccia grave per la sicurezza dei sistemi ed andrebbero vietate, meglio ancora chiudere le porte).
  • Va chiarito che una volta autenticati al sistema, non bisogna incustodita e accessibile la propria postazione e non si possono usare credenziali altrui.
  • Bisogna procedere alla registrazione dei file di log relativi all’utilizzo di tutti i dispositivi, sia reperibili in “locale” sia sui server, e questa circostanza deve essere specificata, indicando anche il periodo di conservazione dei log.
  • Non deve essere consentito installare programmi e software esterni all’ente o diversi da quelli già distribuiti e installati, per evitare di scaricare malware e minimizzare i rischi per la sicurezza delle infrastrutture informatiche.
  • Non deve essere consentita l’installazione sui device di nessun dispositivo di memorizzazione/comunicazione (come ad esempio pendrive o programmi di messaggistica non autorizzati) al fine di evitare fughe o perdite accidentali di dati.
  • È necessario regolamentare la navigazione in internet, tenendo presente il pericolo nell’installazione di tracker malevoli e riflettendo anche sul fatto che spesso sono i siti di news e informazione che contengono la maggior part dei file nocivi.
  • Occorre stabilire che si possono stampare/fotocopiare documenti e atti solo se strettamente necessari per lo svolgimento delle proprie funzioni lavorative e monitorando l’apparecchio. Non si devono lasciare incustoditi documenti contenenti dati riservati o informazioni aziendali.

L’utilizzo della posta elettronica aziendale

Va scrupolosamente regolamentato anche l’uso della casella di posta elettronica aziendale.

  • La casella di posta elettronica è uno strumento di lavoro e deve essere utilizzata esclusivamente per scopi lavorativi. Ogni utente è responsabile del corretto utilizzo e manutenzione della casella di posta a lui assegnata.
  • Sarebbero da preferire indirizzi di posta generici assegnati alle unità operative interne al posto degli indirizzi nome.cognome (che presentano problematiche in quanto sono considerati dati personali).
  • Le caselle di posta elettronica nominative, qualora assegnate, sono di proprietà dell’ente e messe a disposizione del personale al fine di rendere la prestazione lavorativa.
  • Occorre prestare particolare attenzione agli allegati sospetti ed a messaggi che appaiano palesemente spam. Se l’ente non è dotato di filtri anti spam e anti phishing, sarebbe bene prevedere momenti di formazione del personale sul riconoscimento tempestivo del phishing.
  • Tutti gli allegati devono essere controllati e scansionati prima di essere scaricati.
  • L’indirizzo di posta dell’ente non può in nessun caso essere utilizzato per scopi privati e per iscrizioni a siti di qualunque genere.
  • È importante prevedere una procedura di cifratura nel caso in cui fosse necessario inviare a destinatari esterni messaggi contenenti allegati con dati personali.
  • Non deve essere consentito l’inoltro automatico di e-mail ad un indirizzo e-mail privato, anche nei periodi di assenza del personale, piuttosto occorrerà impostare una risposta automatica con i recapiti alternativi da contattare in caso di necessità.
  • In caso di assenza improvvisa o prolungata di un dipendente, per garantire la continuità lavorativa occorre prevedere una procedura di emergenza per l’accesso al suo account di posta elettronica, la presa visione dei messaggi, il salvataggio o la cancellazione di file. Occorre anche indicare le ipotesi e le modalità con cui l’ente può accedere alle comunicazioni e, eventualmente, salvarle sui propri sistemi (ad esempio per adempiere ad un obbligo di legge).
  • È obbligatorio prevedere che cosa fare in caso di cessazione per qualunque causa del rapporto di lavoro, disattivando la casella di posta, indicando esattamente il termine e la procedura da seguire.

>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

I martedì della cybersecurityL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

Scrivi un commento

Accedi per poter inserire un commento