Le politiche di sicurezza delle informazioni scritte sono essenziali per la sicurezza delle informazioni organizzative. Questo vale sia per le grandi che per le piccole imprese, poiché gli standard di sicurezza allentati possono causare la perdita o il furto di dati e informazioni personali. Le politiche scritte danno garanzie ai dipendenti, ai visitatori, agli appaltatori o ai clienti che la vostra azienda prende sul serio la sicurezza delle loro informazioni.

Le politiche di sicurezza delle informazioni sono istruzioni scritte per mantenere le informazioni al sicuro. Le politiche dovrebbero includere una guida sulle password, l’uso dei dispositivi, l’uso di Internet, la classificazione delle informazioni, la sicurezza fisica – come la sicurezza fisica delle informazioni – e i requisiti di segnalazione.

Politica password/PIN

Sviluppare una politica sulle password e sui numeri di identificazione personale aiuta a garantire che i dipendenti stiano creando le loro credenziali di accesso in modo sicuro. Una guida comune è quella di non usare compleanni, nomi o altre informazioni che sono facilmente raggiungibili.

Controlli dei dispositivi

Dovrebbero essere stabiliti metodi appropriati di accesso a computer, tablet e smartphone per controllare l’accesso alle informazioni. I metodi possono includere lettori di carte di accesso, password e PIN.

I dispositivi dovrebbero essere bloccati quando l’utente si allontana. Le schede di accesso dovrebbero essere rimosse, e le password e i PIN non dovrebbero essere scritti o conservati dove potrebbero essere accessibili.

Valutate se i dipendenti dovrebbero essere autorizzati a portare e accedere ai propri dispositivi sul posto di lavoro o durante le ore di lavoro. I dispositivi personali hanno il potenziale per distrarre i dipendenti dai loro doveri, oltre a creare violazioni accidentali della sicurezza delle informazioni.

Nel progettare le politiche per l’uso dei dispositivi personali, prendi in considerazione il benessere dei dipendenti. Le famiglie e i loro cari hanno bisogno di contattare i dipendenti se c’è una situazione a casa che richiede la loro attenzione. Questo può significare fornire un modo per le famiglie di inviare messaggi ai loro cari.

Dovrebbero essere sviluppate procedure per segnalare la perdita e il danneggiamento di dispositivi legati all’azienda. Potresti voler includere metodi di indagine per determinare la colpa e l’entità della perdita di informazioni.

Uso di Internet/Web

L’accesso a Internet sul posto di lavoro dovrebbe essere limitato solo alle esigenze aziendali. Non solo l’uso personale del web impegna le risorse, ma introduce anche il rischio di virus e può dare agli hacker l’accesso alle informazioni.

La posta elettronica deve essere condotta solo attraverso server e client di posta elettronica aziendali, a meno che la tua azienda non sia costruita su un modello che non lo consente.

Molte truffe e tentativi di infiltrarsi nelle aziende sono iniziati attraverso le e-mail. Si raccomanda una guida per trattare con link, apparenti tentativi di phishing o e-mail da fonti sconosciute.

Sviluppare accordi con i dipendenti che riducano al minimo il rischio di esposizione delle informazioni sul posto di lavoro attraverso i social media o altri siti di networking personali, a meno che non siano legati all’azienda.

Crittografia e sicurezza fisica

Potreste voler sviluppare procedure di crittografia per le vostre informazioni. Se la tua azienda ha informazioni come i numeri delle carte di credito dei clienti memorizzate in un database, criptare i file aggiunge un’ulteriore misura di protezione.

Le procedure di controllo delle chiavi e delle carte chiave, come i registri di emissione delle chiavi o le chiavi separate per le diverse aree, possono aiutare a controllare l’accesso alle aree di archiviazione delle informazioni.

Se è necessaria un’identificazione, sviluppa un metodo di emissione, registrazione, visualizzazione e controllo periodico dell’identificazione.

Imposta una procedura per i visitatori. Il check-in dei visitatori, i badge di accesso e i registri terranno sotto controllo le visite non necessarie.

Requisiti di segnalazione della politica di sicurezza

I dipendenti devono capire cosa devono segnalare, come lo devono segnalare e a chi lo devono segnalare. Dovrebbero essere pubblicate istruzioni chiare. La formazione dovrebbe essere implementata nella politica ed essere condotta per assicurare che tutti i dipendenti capiscano le procedure di segnalazione.

Rafforza il tuo team

Una chiave per creare politiche efficaci è assicurarsi che le politiche siano chiare, facili da rispettare e realistiche. Politiche troppo complicate o di controllo incoraggeranno le persone ad aggirare il sistema. Se comunicate la necessità della sicurezza delle informazioni e date ai vostri dipendenti la possibilità di agire se scoprono un problema di sicurezza, svilupperete un ambiente sicuro dove le informazioni sono al sicuro.