I dati, i contenuti dei file elettronici, i sistemi informativi e i sistemi informatici devono essere gestiti come risorse preziose dell’organizzazione. I sistemi in dotazione devono essere utilizzati per scopi commerciali al servizio degli interessi dell’organizzazione e dei suoi clienti durante le normali operazioni.

Una sicurezza efficace è un lavoro di squadra che prevede la partecipazione e il supporto di tutti gli utenti che accedono ad informazioni e/o sistemi informatici. E’ responsabilità di ogni utente conoscere i fondamenti principali per l’utilizzo corretto dei dispositivi e dei servizi informatici dell’organizzazione, conoscere le principali regole della Cyber Risk e del regolamento GDPR.

Gli utenti autorizzati sono responsabili dell’esercizio del buon senso per quanto riguarda la ragionevolezza dell’uso personale e sono responsabili di tutte le attività che si svolgono con il loro nome utente.

Elemento fondamentale della sicurezza informatica è la formazione della forza lavoro ed è responsabilità dell’organizzazione stessa implementare programmi formativi con anche social engineering penetration test regolari (phshing/smishing simulato v. https://socialengineeringpenetrationtest.it/ e https://www.studiumline.it/) per misurare la resilienza ad attacchi cyber.

Linee guida per l’utilizzo accettabile dei dispositivi informatici, a titolo esemplificativo ma non esaustivo, sono:

• L’accesso alle informazioni deve sempre essere autorizzato dall’organizzazione.
• Le password di utente devono essere conformi ai criteri minimi di sicurezza (ad es. minimo 12 caratteri alfanumerici comprensivi di numeri, caratteri speciali, caratteri maiuscoli e minuscoli).
• Gli utenti autorizzati non devono condividere i propri ID di accesso (account, password, PIN, token di sicurezza o informazioni o dispositivi simili utilizzati a scopo di identificazione e autenticazione).
• Non usare password uguali per stessi servizi (utilizzando se del caso un password manager).
• È vietato fornire l’accesso a un’altra persona, sia deliberatamente che in caso di mancata protezione dell’accesso.
• Gli utenti autorizzati possono accedere, utilizzare o condividere le informazioni dell’organizzazione solo nella misura in cui ciò sia autorizzato e necessario per adempiere alle mansioni lavorative a loro assegnate.
• Tutte le postazioni di lavoro devono avere uno screensaver protetto da password con la funzione di attivazione automatica impostata a 10 minuti o meno.
• Tutti gli utenti devono bloccare il loro dispositivo quando rimane incustodito per un certo periodo di tempo.
• Tutte le informazioni devono essere protette con mezzi legali o tecnici.
• Tutti gli utenti sono tenuti a segnalare tempestivamente il furto, la perdita o la divulgazione non autorizzata di informazioni dell’organizzazione.
• Tutti gli utenti sono tenuti a segnalare all’organizzazione eventuali punti deboli nella sicurezza informatica.
• Gli utenti autorizzati devono usare la massima cautela nell’aprire gli allegati di posta elettronica ricevuti da mittenti sconosciuti che potrebbero contenere virus o simili.
• Gli utenti non devono intenzionalmente accedere, creare, archiviare o trasmettere materiale offensivo, indecente o osceno.
• Nessun utente è autorizzato a svolgere attività illegali ai sensi delle leggi locali mentre utilizza le risorse dell’organizzazione.
• Tutti gli utenti devo essere formati adeguatamente sui temi della Cyber Risk e GDPR.

Le seguenti attività sono vietate agli utenti, senza alcuna eccezione:

• Violazione dei diritti di persone o aziende protette da copyright, segreti commerciali, brevetti o altre proprietà intellettuali o leggi o regolamenti simili, tra cui, a titolo esemplificativo ma non esaustivo, l’installazione o la distribuzione di prodotti software “pirata” o di altro tipo che non siano stati adeguatamente concessi in licenza d’uso dall’organizzazione.
• È vietata la copia non autorizzata di materiale protetto da copyright, compresi, ma non solo, la digitalizzazione e la distribuzione da fonti protette da copyright, la musica protetta da copyright e l’installazione di software protetto da copyright per il quale l’organizzazione o l’utente finale non dispongono di una licenza attiva. Gli utenti devono segnalare tempestivamente le copie di software installate senza licenza.
• Introduzione di programmi dannosi nella rete e/o nei server dell’organizzazione.
• Fornire la password del proprio account ad altri o consentire l’uso del proprio account ad altri.
• Tentare di accedere a dati, contenuti elettronici o programmi contenuti nei sistemi dell’organizzazione per i quali non si dispone di autorizzazione, consenso esplicito o necessità implicita per le proprie mansioni.
• Installare qualsiasi software, upgrade, aggiornamento o patch su qualsiasi computer o sistema informativo senza il previo consenso dell’organizzazione.
• Installare o utilizzare software shareware o freeware non standard senza l’approvazione dell’organizzazione.
• Impegnarsi deliberatamente in attività che possono: degradare le prestazioni dei sistemi informativi; privare un utente autorizzato dell’accesso a una risorsa; ottenere risorse aggiuntive rispetto a quelle assegnate; eludere le misure di sicurezza informatica;
• Scaricare, installare o eseguire programmi di sicurezza o utilità che rivelino password, informazioni private o sfruttino punti deboli nella sicurezza di un sistema. Ad esempio spyware, adware, programmi di cracking delle password, packet sniffer, port scanner o altri programmi simili.
• Eludere l’autenticazione dell’utente o la sicurezza di qualsiasi host, rete o account.
• Utilizzare programmi/script/comandi o inviare messaggi di qualsiasi tipo con l’intento di interferire o disabilitare la sessione del terminale di un utente, con qualsiasi mezzo, localmente o tramite Internet/Intranet/Extranet.