Tratto dallo speciale:

Policy aziendali: buone pratiche

di Anna Fabi

Pubblicato 8 Luglio 2013
Aggiornato 16:04

Suggerimenti pratici per la scrittura delle policy di sicurezza aziendali: come scriverle, come comunicarle e come farle rispettare dai propri dipendenti.

La tecnologia modifica le modalità con cui le aziende comunicano e operano, menytre cresce il numero di dipendenti che lavorano in mobilità e utilizzano nuovi dispositivi e formule di comunicazione, che prevedono ad esempio l’interazione sui social media e lo scambio di documenti come file audio o video.

In questo scenario, sono sempre più numerosi i lavoratori che ritengono le Policy IT delle aziende suscettibili di miglioramento: in molti dichiarano di essere arrivati a violarle per soddisfare pienamente le proprie esigenze di comunicazione.

=> Approfondisci le politiche di sicurezza “mobile”

Nonostante la maggior parte delle aziende implementi delle Policy IT, il problema alla base è che circa un dipendente su quattro non è al corrente della loro esistenza.

Le policy sono efficaci solo se realmente attuabili e se i dipendenti ne sono a conoscenza. Troppo spesso alcuni documenti di policy rimangono su una scrivania a prendere polvere, poiché redatti solo per la necessità di avere formalmente una policy, senza che questa necessità fosse sentita a livello operativo.

BYOD => Leggi i consigli per la sicurezza in azienda

È importante che le policy siano aggiornate, non solo per riflettere i cambiamenti nelle operazioni, ma anche per tenere conto di nuove tendenze, come ad esempio l’aumento nel numero dei lavoratori mobili. Se le policy si limitano a focalizzarsi sul tradizionale “perimetro” aziendale, mentre metà dei dipendenti utilizza laptop, smartphone e altri dispositivi mobili per fare business, tali policy risulteranno obsolete e fondamentalmente inutili. Una policy è efficace se è al passo con lo sviluppo di ogni nuova tecnologia che potrebbe influire sulla sicurezza dell’organizzazione.

Le policy hanno bisogno di essere scritte in modo tale che i dipendenti possano realmente comprenderle. Un documento di policy è pressoché inutile se risulta pieno di termini tecnici che i dipendenti esterni allo staff IT difficilmente capiranno. Le policy preparate dal personale IT con il supporto del dipartimento risorse umane risultano essere più efficaci. A causa delle numerose leggi e normative a cui deve attenersi il datore di lavoro, si raccomanda che le policy IT siano inoltre supervisionate dalle Risorse Umane per garantire che rientrino nei parametri consentiti dalla legge.

_________

Articolo a cura di di Maurizio Taglioretti, country manager Italy di GFI Software

L’educazione è inoltre un aspetto fondamentale. Sfortunatamente, persino le migliori policy risultano essere inutili se nessuno ne è a conoscenza.

Non ci si può aspettare che un dipendente segua una regola se non ne ha mai sentito parlare. È importante che l’IT, attraverso le risorse umane, informi regolarmente i dipendenti su quali policy sono in atto e perché sono importanti.

Se, ad esempio, le ricerche sul web comportano determinati rischi, è importante informare i dipendenti su quali sono tali rischi e in che modo si possono causare problemi a livello aziendale. Imporre semplicemente delle regole e degli ordini come “non scaricare file” non funzionerà. Dare una spiegazione completa mostrerà ai dipendenti il motivo di tale policy ed eviterà il rischio di un loro possibile tentativo di aggirarla.

=> Scopri dal BYOD al CYOD come cambia la sicurezza in azienda

Le policy devono essere scritte tenendo a mente sia la sicurezza sia la produttività. Le policy troppo severe ostacoleranno il lavoro dei dipendenti e li condurranno a cercare di aggirare tale policy per portare a termine il proprio lavoro. Deve esserci un equilibrio.

È importante assicurarsi che tutti i dipendenti abbiano letto e firmato una copia delle policy IT, in modo che nessuno possa dire di non esserne al corrente. Tutti i nuovi dipendenti dovrebbero riceverne una copia “di benvenuto” al loro arrivo.

=> Leggi come rendere sicura la LAN aziendale

Le policy hanno bisogno di essere realmente attuate. Se il documento scritto e i vari avvertimenti da parte del management non funzionano, allora dovrebbe essere implementata una tecnologia che garantisca che le policy siano attuate. La tecnologia può essere infatti utilizzata rendere effettive le policy di sicurezza.

Per esempio, utilizzando soluzioni che non consentono di scaricare determinati file o di installare software sui dispositive dei dipendenti, o ancora di utilizzare dispositivi mobili non autorizzati sulla rete aziendale.