I dipendenti ricevono spesso laptop aziendali, smartphone e accesso alla rete interna. Un accordo sull’uso dell’IT chiarisce le responsabilità e protegge sia l’azienda che il personale.
Protezione dei dati: i dati di clienti, fornitori e colleghi devono essere trattati in modo confidenziale. L’accordo dovrebbe fare riferimento alla Legge svizzera sulla protezione dei dati (DSG) e, se applicabile, al GDPR. L’accesso dovrebbe essere consentito solo alle informazioni necessarie per il lavoro.
Uso consentito e non consentito: è importante definire quali programmi, siti web e servizi possono essere utilizzati e quali sono vietati, ad esempio il filesharing illegale. Anche l’uso di dispositivi personali (Bring Your Own Device) va regolamentato: smartphone o laptop privati possono essere usati solo se rispettano gli standard di sicurezza aziendali.
Password e autenticazione: l’accordo dovrebbe richiedere password forti e un cambio regolare. L’autenticazione a due fattori (MFA) aumenta ulteriormente la protezione.
Diritti di accesso: ruoli e privilegi devono essere assegnati secondo il principio del minor privilegio. Ogni collaboratore dovrebbe avere solo l’accesso necessario per svolgere le proprie mansioni.
Gestione dei dispositivi: gli aggiornamenti di sistema e software, nonché l’antivirus, devono essere installati regolarmente. I dischi dei laptop aziendali devono essere cifrati e i dispositivi non vanno lasciati incustoditi. La perdita o il furto vanno segnalati immediatamente.
Uso di e-mail e internet: i dipendenti devono essere attenti a e-mail di phishing e allegati sospetti. L’accordo può vietare l’accesso a siti rischiosi e sottolineare l’importanza di un comportamento consapevole online.
Lavoro da casa: chi lavora da casa dovrebbe utilizzare una connessione sicura (VPN). L’accordo dovrebbe garantire che anche in home office valgano gli obblighi di riservatezza e protezione dei dati e che nessuno nell’ambiente domestico abbia accesso ai dati aziendali.
Segnalazione degli incidenti: è necessario stabilire come e a chi segnalare immediatamente un incidente di sicurezza (dispositivo smarrito, infezione da malware, sospetta violazione dei dati). L’accordo dovrebbe nominare le persone di contatto e descrivere il piano di emergenza.
Formazione e sensibilizzazione: l’accordo può prevedere sessioni di formazione periodica sulla sicurezza IT obbligatorie per tutti i dipendenti. Ciò aumenta la consapevolezza dei rischi e promuove comportamenti sicuri.
Base giuridica e sanzioni: fare riferimento alle leggi pertinenti (DSG, diritto del lavoro) e spiegare chiaramente le conseguenze in caso di violazione delle regole. Le sanzioni possono variare da un richiamo a misure disciplinari.
Un accordo ben redatto sull’uso dell’IT crea fiducia e chiarezza. Aiuta a proteggere dati e sistemi e dovrebbe essere rivisto regolarmente per adattarsi a nuove minacce.
Zerberos offre servizi di consulenza professionale nel campo della sicurezza informatica per aiutare le aziende a sviluppare e attuare politiche di sicurezza efficaci.