[CYBERTOOL] Device Policy: esiste un Regolamento ICT nella tua realtà? Qual è il suo grado di completezza?

Le informazioni rientranti nel patrimonio aziendale, sia proprie che di terzi, che ne costituiscono il know-how, permettono alle imprese di fornire prestazioni e servizi sempre più personalizzati, soddisfacendo così le sempre più specifiche richieste provenienti dalla clientela. 

Tanto i dati personali quanto le informazioni appartenenti al business, è fondamentale che vengano adottati i più ampi canoni di riservatezza sia nella loro gestione, sia nella loro condivisione. 

L’Azienda deve farsi promotrice di una regolamentazione chiara e precisa, facendo convergere nelle Policy IT le regole da seguire durante lo svolgimento dell’attività lavorativa. 

 

Regolamento ICT: il fondamento della Cybersecurity Awareness 

Nel primo articolo della nostra rubrica, abbiamo analizzato quanto sia importante la consapevolezza del personale rispetto le caratteristiche, i contenuti e le criticità della sicurezza IT. 

I dipendenti e i collaboratori aziendali hanno un ruolo centrale nel mantenimento della sicurezza informatica, poiché il principale fattore per scongiurare attacchi e/o incidenti informatici rimane il dato umano. 

Ma cosa può fare l’azienda per garantire la consapevolezza informatica del proprio personale? 

Il primo step fondamentale è la predisposizione di una Device Policy aziendale completa, ossia un regolamento diretto ad evitare che condotte inconsapevoli possano pregiudicare la sicurezza dei dati o delle attrezzature aziendali. 

 

Quando un Regolamento ICT può ritenersi completo? 

Una buona policy deve mettere a disposizione dei soggetti a cui è destinata tutte le opportune informazioni e casistiche per gestire, nel modo più autonomo possibile, eventuali situazioni critiche, nonché le linee guida da seguire per i casi non espressamente previsti. 

 

1.Indicazione degli strumenti ICT e le regole di utilizzo 

Quanto contenuto nel Regolamento ICT deve rispecchiare la realtà aziendale. 

Pertanto, è fortemente consigliato analizzare con attenzione la struttura informatica ed organizzativa, al fine di individuare gli strumenti ICT effettivamente in uso. 

Infatti, l’inserimento di strumenti non presenti in azienda pregiudicherebbe l’utilità del Regolamento ICT, ingenerando confusione tra gli utenti. 

A titolo esemplificativo dovranno essere sicuramente presenti le sezioni relative a: 

– Devices elettronici (pc, cellulari, chiavette USB) 

– E-mail 

– Credenziali di autenticazione  

– Web surfing 

Una volta individuate le sezioni, dovranno essere indicate le regole di utilizzo, precisando cosa è permesso e non è permesso fare. 

 

2.Regole per il trattamento dei dati personali 

Poiché attraverso gli strumenti ICT vengono trattati dati personali, anche particolari, degli interessati, è di fondamentale importanza che tutti gli utenti dispongano di precise e chiare linee guida indicanti le corrette modalità di gestione. 

A titolo esemplificativo, dovranno essere indicate le modalità di trattamento di:

– dati giudiziari, biometrici o c.d. ultrasensibili 

– immagini 

– dati non necessari o non definiti esplicitamente nelle finalità 

– dati di interessati comunicati da terzi. 

 

 3.Modalità di controllo e mantenimento della sicurezza informatica aziendale 

Deve essere chiaro a tutti gli utenti che l’Azienda (in qualità di Titolare del trattamento e di proprietario dei dispositivi mobili) può adottare tutti gli accorgimenti tecnici necessari a tutelare il proprio patrimonio e l’organizzazione aziendale da eventuali comportamenti non consentiti. 

In virtù di tale previsione, dovranno essere precisate tutte le attività che l’Ufficio IT è autorizzato a svolgere periodicamente, al fine di garantire il corretto utilizzo dei sistemi informatici e per esclusive finalità organizzative e gestionali. 

 

4.Tutela dei diritti dei lavoratori 

L’azienda, nello svolgimento delle attività di controllo, deve garantire che i dati personali dell’utente non saranno mai oggetto di analisi, come anche i documenti archiviati all’interno delle sue cartelle personali. 

Inoltre, qualora fossero rilevate delle anomalie, il Personale IT potrà svolgere controlli su base individuale solo in caso di ripetuti accadimenti dello stesso o più grave tenore.  

 

Lo scopo del tool 

Sottoponendo questo tool, composto da 15 domande a risposta multipla, al Responsabile IT (o ad un suo delegato), sarà possibile verificare se il Regolamento ICT adottato dall’azienda sia tale da garantire la cybersecurity awareness del personale.  

Per iniziare l’autoanalisi, clicca qui. 

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.