/
  • Ultimo aggiornamento
/
  • 7 min di lettura

Come scrivere una politica di sicurezza delle informazioni utilizzabile senza supporto legale

di Ann Conte, IT Technical Writer   |  
translated by Chiara Cavalletti
Come scrivere una politica di sicurezza delle informazioni utilizzabile senza supporto legale blog banner image

Molti MSP medio-piccoli hanno difficoltà a scrivere la loro politica di sicurezza delle informazioni, soprattutto se non hanno il supporto di un team legale. Molti tecnici IT sono preoccupati per le complessità legali che ritengono siano associate a questa attività.

Una politica di sicurezza delle informazioni non deve essere troppo complessa. Non deve essere troppo lunga, formale o giuridicamente inattaccabile per fornire valore a un’organizzazione. Se ben redatta, facilita l’ingresso dei clienti, stabilisce aspettative più chiare per i dipendenti, incoraggia la responsabilità interna e dimostra la maturità operativa durante gli audit e le revisioni.

Guida alla creazione di una politica di sicurezza informatica per gli MSP

📌 Prerequisiti:

  • È necessario disporre dell’accesso come amministratore ai sistemi centrali del cliente, come AD, lo strumento di backup e le piattaforme di documentazione.
  • È necessario poter esportare i dati dagli strumenti AV, di backup o di patch.
  • Dovrai avere una routine di sicurezza esistente, anche se ancora informale.
  • È necessaria una piattaforma di documentazione come lo strumento NinjaOne Documentation.

Definire la struttura della politica

Parti da questo modello in 5 sezioni e sviluppalo in base alle esigenze specifiche della tua organizzazione.

Sezione Descrizione
Scopo Definisci lo scopo della politica, che può variare a seconda dell’organizzazione. Ad esempio, potrebbe trattarsi di delineare regole per proteggere i dati dei clienti o ridurre le violazioni della sicurezza.
Ambito A chi e a cosa si applicherà questa politica? Elenca i sistemi, i membri del personale e l’ambiente di cui si occuperà.
Ruoli e responsabilità Quando questa politica entrerà in vigore, chi sarà responsabile di cosa? Definisci chiaramente le responsabilità dei leader e i ruoli che i membri del team devono svolgere.
Pratiche di sicurezza Definire le diverse pratiche di sicurezza associate a questa politica. Ricorda di utilizzare un linguaggio semplice e comprensibile per l’utente medio (ad esempio, “Tutti i computer portatili devono utilizzare la crittografia dell’intero disco”).
Revisione e applicazione Indica le modalità e la frequenza di verifica della conformità alle politiche. Se sono necessari emendamenti o modifiche alla politica, delinea il processo e la tempistica anche per questo.

Modificare il modello in base alle proprie esigenze. Aggiungi le sezioni necessarie per definire completamente la tua politica di sicurezza informatica MSP.

Puoi anche utilizzare i modelli di policy SANS o altri modelli affidabili per aiutarti a creare la tua politica.

Scrivere utilizzando un linguaggio semplice

È importante che la politica di sicurezza delle informazioni sia comprensibile per i dipendenti. Tutti i dipendenti devono comprendere chiaramente la politica di sicurezza delle informazioni. Altrimenti, potrebbe non essere efficace e causare lacune perché le persone non capiscono cosa devono fare.

Utilizza un linguaggio chiaro e conciso ed evita il gergo inutile e il linguaggio giuridico generico. Utilizza un linguaggio semplice e specifico, come negli esempi seguenti:

  • “Tutti gli account aziendali devono utilizzare l’MFA.”
  • “Le patch per i dispositivi Microsoft devono essere eseguite settimanalmente.”
  • “I dipendenti devono segnalare le e-mail di phishing entro 24 ore.”

Queste dichiarazioni sono brevi e forniscono affermazioni chiare e perseguibili. I dipendenti capiranno facilmente cosa ci si aspetta da loro e cosa devono fare.

Puoi collegare le direttive della politica agli strumenti con cui vengono utilizzate. Per esempio:

  • “Tutti i backup devono essere verificati settimanalmente utilizzando lo script RMM o la dashboard di backup.”

Automatizzare il monitoraggio delle revisioni dei criteri

Utilizza uno snippet di Windows PowerShell per registrare ed esaminare i timestamp. Ad esempio, lo script seguente crea una voce di registro di audit ogni volta che un utente conferma di aver esaminato la politica di sicurezza delle informazioni. Registra il nome utente e il timestamp in un file CSV, fornendo una prova tracciabile del riconoscimento del criterio. Per farlo, segui questi passaggi:

  1. Apri Windows PowerShell come amministratore.
  2. Digita questo e premere Invio:

# Policy review log entry

if (-not (Test-Path "C:\PolicyLogs")) {

New-Item -Path "C:\PolicyLogs" -ItemType Directory -Force | Out-Null

}

$meta = [pscustomobject]@{

PolicyName = "InfoSec Policy"

ReviewedBy = $env:USERNAME

ReviewDate = (Get-Date).ToString("s")

}

$meta | Export-Csv -Path "C:\PolicyLogs\ReviewLog.csv" -Append -NoTypeInformation -Encoding UTF8

Ciò consentirà di generare registri di audit interno dei dipendenti che hanno rivisto e/o riconosciuto il criterio. Il mantenimento di questo CSV fornisce una chiara evidenza delle revisioni dei criteri Può essere utilizzato negli audit, supporta la conformità agli standard di sicurezza e dimostra la responsabilità mostrando chi ha preso visione della politica e quando.

Formare e integrare la politica nei flussi di lavoro quotidiani

La politica non dovrebbe esistere solo sulla carta. Deve essere integrata nei flussi di lavoro quotidiani di tutti. Ecco alcuni modi per farlo:

  • Includere la politica nelle liste di controllo per l’inserimento dei clienti.
  • Utilizzala per la convalida dei backup, gli audit delle patch e le revisioni AV.
  • Forma tutti i nuovi assunti all’osservanza della politica utilizzando un documento sintetico o materiale formativo equivalente.
  • Utilizza revisioni trimestrali per aggiornare la politica insieme ai sistemi e agli strumenti per mantenerla pertinente ai tuoi flussi di lavoro.

⚠️ Risoluzione dei problemi/Cose da tenere in considerazione

Rischi Potenziali conseguenze Possibilità di tornare alla configurazione precedente
I tecnici non leggono la politica Avrai delle lacune nella sicurezza che possono portare a violazioni in futuro. Mantieni il regolamento al di sotto delle quattro pagine. Suddividilo in diverse sezioni e aggiungi esempi visivi per renderlo più accattivante e facile da leggere.
La politica è diventata obsoleta e la proprietà non è chiara. Non potrai modificare la politica in base alle proprie esigenze. Imposta un promemoria trimestrale in cui assegnare un proprietario di versione per la politica. Se l’attuale proprietario della versione lascia l’organizzazione, assicurati che la proprietà venga trasferita alla persona appropriata.
I clienti non seguono la politica di sicurezza. Avrai delle lacune nella sicurezza che possono portare a violazioni in futuro. Parla della politica negli SLA e nei documenti di onboarding. Puoi anche offrire una formazione periodica per mantenere aggiornate le loro conoscenze.
Non hai abbastanza dati per le recensioni. Non sarai in grado di eseguire revisioni e di colmare le lacune del tuo processo attuale. Utilizzare timestamp, ticket o registri di PowerShell.

Idee di integrazione della piattaforma NinjaOne per la stesura di una politica di sicurezza delle informazioni

NinjaOne dispone di molti strumenti diversi che possono aiutarti nella creazione e nell’implementazione della tua politica di sicurezza delle informazioni. Ecco alcune cose che puoi fare con il nostro strumento RMM:

  • Sintesi della documentazione: Memorizza la tua politica InfoSec per ogni cliente nello strumento NinjaOne Documentation.
  • Script di conformità alle politiche: Sfrutta il motore di scripting di NinjaOne per eseguire controlli automatici sugli endpoint (verifica della crittografia del disco, convalida dello stato dell’antivirus o conferma dei livelli di patch).
  • Applica i requisiti di sicurezza attraverso i criteri NinjaOne: Garantisci la conformità utilizzando l’automazione basata su criteri e l’applicazione della configurazione.

Migliora la politica di sicurezza informatica degli MSP anche senza supporto legale

Una politica di sicurezza delle informazioni non deve essere troppo complessa o redatta da un team legale completo per essere utile alla tua organizzazione. Con la giusta struttura, chiarezza e integrazione della piattaforma, anche gli MSP senza supporto legale possono documentare le proprie politiche di sicurezza per ridurre la confusione interna e dimostrare la propria maturità operativa ai clienti e agli altri stakeholder.

Una politica ben definita presenta inoltre diversi vantaggi fondamentali. Semplifica gli audit e le discussioni sulla tua polizza cyber, offrendo una chiara responsabilità della sicurezza all’interno del team. Inoltre, il rischio di pratiche ambigue e non documentate è molto minore.

Argomenti correlati:

Inizia una prova gratuita

You might also like

Come gli MSP possono fornire report sulle prestazioni IT senza un PSA immagine del banner del blog

Come gli MSP possono fornire report sulle prestazioni IT senza un PSA

Come gli MSP possono creare e applicare liste di controllo di hardening degli endpoint specifiche per sistema operativo Immagine del banner del blog

Come gli MSP possono creare e applicare liste di controllo di hardening degli endpoint specifiche per sistema operativo.

Come gli MSP possono eseguire revisioni manuali dell'inventario dei dispositivi utilizzando le esportazioni del portale immagine del banner del blog

Come gli MSP possono eseguire revisioni manuali dell’inventario dei dispositivi utilizzando le esportazioni del portale

Come gli MSP possono creare SOP intuitive per i tecnici che vengano davvero utilizzate immagine del banner del blog

Come gli MSP possono creare SOP intuitive per i tecnici che vengano davvero utilizzate

Come gli MSP possono creare un flusso di lavoro più efficiente per l'approvazione delle SOP da parte di più team Immagine banner del blog

Come gli MSP possono creare un flusso di lavoro più efficiente per l’approvazione delle SOP da parte di più team

Come gli MSP possono etichettare e classificare le SOP per una risoluzione più rapida dei ticket immagine del banner del blog

Come gli MSP possono etichettare e classificare le SOP per una risoluzione più rapida dei ticket

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto