La tua Politica di Sicurezza
β Cosa dice la legge (in parole semplici)
Il D.Lgs. 138/2024 stabilisce che ogni azienda deve avere una "politica di cybersecurity" β un documento che spiega come l'azienda protegge i propri sistemi e dati.
La policy puΓ² essere breve, ma deve contenere queste informazioni:
- (a) L'approccio dell'azienda alla cybersecurity
- (b) Come si allinea agli obiettivi di business
- (c) Obiettivi di sicurezza specifici
- (d) Impegno al miglioramento continuo
- (e) Risorse assegnate (persona, budget, strumenti)
- (f) Chi deve conoscere questa policy
- (g) Ruoli e responsabilitΓ
- (h) Conservazione della documentazione
- (i) Elenco policy specifiche (password, backup, ecc.)
- (j) Indicatori per misurare l'efficacia
- (k) Data di approvazione da parte del management
π Cosa devi fare (lista pratica)
- Scrivi la policy β anche 2-3 pagine vanno bene se coprono tutto
- Firmala dal management (CEO, CTO o direttore)
- Comunicala a tutti i dipendenti (email, riunione, avviso)
- Conserva le firme di chi ha letto e compreso
- Rivedila almeno una volta l'anno
π Esempio pratico per una PMI
"La nostra azienda si impegna a proteggere i dati dei clienti e i sistemi IT attraverso: aggiornamenti mensili del software, formazione trimestrale sui rischi cyber, backup settimanali dei dati critici e revisione annuale della sicurezza. Il responsabile Γ¨ Mario Rossi (security@azienda.it)."
Ruoli e ResponsabilitΓ
β Cosa dice la legge
Devi assegna ruoli specifici per la cybersecurity. Anche una sola persona puΓ² bastare, ma deve essere chiaro chi fa cosa.
π Cosa devi fare
- Nomina un responsabile sicurezza β puΓ² essere un consulente esterno
- Scrivi i ruoli nel documento
- Questa persona deve parlare direttamente con il management
- Tutti devono sapere chi contattare in caso di problema
- Nomina un sostituto per continuitΓ
π Ruoli minimi per una PMI
| Ruolo | Cosa fa |
|---|---|
| Responsabile Sicurezza | Coordina tutto, riporta al management |
| Referente Backup | Verifica che i backup funzionino |
| Referente Aggiornamenti | Applica le patch di sicurezza |
Gestione del Rischio
β Cosa dice la legge
Devi effettuare una valutazione del rischio β capire cosa potrebbe andare storto (attacco hacker, perdita dati, guasto hardware) e quanto Γ¨ grave.
π Cosa devi fare
- Elenca i principali rischi β es. "Server senza aggiornamenti", "Password deboli", "Nessun backup"
- Dai un punteggio a ogni rischio (basso, medio, alto)
- Decidi cosa fare β evitare, ridurre, trasferire (assicurazione), o accettare
- Il management deve approvare le scelte
- Rivedi tutto almeno una volta l'anno
π Esempio pratico
| Rischio | ProbabilitΓ | Impatto | Azione |
|---|---|---|---|
| Ransomware | Alta | Alto | Antivirus + Backup |
| Perdita dati clienti | Media | Alto | Backup giornaliero |
| Sito web down | Media | Medio | Hosting con 99% uptime |
Gestione degli Incidenti
β Cosa dice la legge
Se avviene un incidente cyber (attacco, data breach), devi:
- Rilevarlo β capire che Γ¨ successo
- Contenerlo β limitare il danno
- Notificarlo β entro 24 ore all'autoritΓ competente (ACN/CSIRT Italia)
π Cosa devi fare
- Crea un piano di risposta agli incidenti β anche semplice, con 3-4 passaggi
- Tieni un elenco di contatti utili (consulente IT, ACN, fornitori)
- Documenta ogni incidente β cosa Γ¨ successo, quando, come l'hai risolto
- Entro 24 ore β notifica incidente grave all'ACN
- Entro 72 ore β invia notifica completa
π Checklist rapida per incidenti
- Chi ha scoperto l'incidente?
- Cosa Γ¨ successo esattamente?
- Quali sistemi/dati sono coinvolti?
- Hai contenuto l'incidente?
- Chi devi chiamare? (ACN/CSIRT)
- Hai documentato tutto?
- Come lo preveni in futuro?
ContinuitΓ Operativa e Disaster Recovery
β Cosa dice la legge
Devi avere un piano per continuare a operare se succede qualcosa di grave (alluvione, incendio, attacco hacker).
π Cosa devi fare
- Fai backup regolari β almeno settimanali, in luogo sicuro
- I backup devono essere testati β verifica che funzionino davvero
- Crea un piano di ripristino β se il server muore, come lo ripristini?
- Definisci RTO e RPO:
- RTO = quanto tempo puoi stare senza sistemi?
- RPO = quanti dati puoi permetterti di perdere?
π Esempio backup per PMI
| Tipo | Frequenza | Dove |
|---|---|---|
| Database clienti | Giornaliero | Cloud + Locale |
| Documenti | Settimanale | Cloud |
| Configurazioni | Mensile | Locale cifrato |
Sicurezza della Supply Chain
β Cosa dice la legge
I tuoi fornitori (provider cloud, software house, hosting) sono un rischio. Se un fornitore viene hackerato, puΓ² compromettere anche te.
π Cosa devi fare
- Elenca i fornitori critici β chi ha accesso ai tuoi dati/sistemi?
- Verifica l'affidabilitΓ β chiedi attestazioni di sicurezza
- Nei contratti β inserisci clausole di sicurezza
Sicurezza in Acquisizione e Sviluppo
β Cosa dice la legge
Quando acquisti software o servizi IT, devi verificare che siano sicuri. Non comprare solo perchΓ© Γ¨ economico.
π Cosa devi fare
- Prima di acquistare β chiedi se il software ha certificazioni
- Patch management β aggiorna sempre tutto
- Segmentazione di rete β non mettere tutto sulla stessa rete
Igiene Informatica e Formazione
β Cosa dice la legge
Il fattore umano Γ¨ la principale causa di incidenti. Devi formare i dipendenti.
π Cosa devi fare
- Corsi base β almeno annuali per tutti
- Simula phishing β cosΓ¬ vedi chi ci casca
- Regole base: Password forti (min 12 caratteri), MFA, non cliccare su link strani
Crittografia
β Cosa dice la legge
I dati sensibili devono essere cifrati β sia in transito (HTTPS) che a riposo.
π Cosa devi fare
- HTTPS su tutti i siti β niente piΓΉ HTTP
- Dischi cifrati sui laptop (BitLocker, FileVault)
- Backup cifrati β chiavi gestite bene
Sicurezza delle Risorse Umane
β Cosa dice la legge
I dipendenti sono un rischio β quando entrano e quando escono.
π Cosa devi fare
- All'assunzione β verifica background, firma NDA
- Onboarding β formazione immediata su cybersecurity
- Durante l'impiego β formazione periodica, monitoraggio
- All'uscita β revoca immediata accessi, riconsegna dispositivi
Accessi e Autorizzazioni
β Cosa dice la legge
Non tutti devono avere accesso a tutto. Principio del minimo privilegio.
π Cosa devi fare
- Ruoli definiti β chi puΓ² fare cosa
- MFA obbligatoria per account admin
- Revisione trimestrale β chi ha ancora accesso legittimo?
Gestione degli Asset
β Cosa dice la legge
Devi sapere cosa hai β hardware, software, dati. Non puoi proteggere ciΓ² che non conosci.
π Cosa devi fare
- Inventario β server, PC, smartphone, software
- Classificazione β cosa Γ¨ critico? cosa Γ¨ sensibile?
- Gestione media rimovibili β USB pericolose se infette
Sicurezza Fisica
β Cosa dice la legge
Server nel garage con la porta aperta non sono accettabili.
π Cosa devi fare
- Server protetti β stanza chiusa, accesso solo a chi serve
- Accesso fisico registrato β sai chi entra nei data center
- Protezione ambientale β incendio, alluvione, temperatura
- Smaltimento sicuro β distruggi gli hard disk prima di buttarli
Riferimenti Legali
- D.Lgs. 138/2024 β Decreto legislativo attuativo della Direttiva NIS2 in Italia
- Direttiva (UE) 2022/2555 β NIS2 Directive del Parlamento Europeo e del Consiglio
- Regolamento (UE) 2024/2690 β Implementing Regulation per la registrazione delle entitΓ
- ACN β Agenzia per la Cybersicurezza Nazionale (www.acn.gov.it)
- CNIT β Centro Nazionale per l'Informatica nella Pubblica Amministrazione
- ENISA β Agenzia dell'Unione Europea per la Cybersicurezza (www.enisa.europa.eu)
π Direttiva NIS2 (UE) 2022/2555 su EUR-Lex