Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseModello
Modello di politica per la protezione dei dati

Modello di politica per la protezione dei dati

Avere una politica di sicurezza dei dati documentata è una best practice per ogni organizzazione, specialmente quelle soggette a leggi sulla privacy dei dati rigorose come il California Consumer Privacy Act (CCPA) e il General Data Protection Regulation (GDPR) dell'UE.

Le politiche di sicurezza dei dati affrontano tipicamente argomenti come la crittografia dei dati, la protezione delle password e il controllo degli accessi. Tuttavia, non si limitano a misure tecniche; dovrebbero anche dettagliare i controlli amministrativi e fisici utilizzati per proteggere le informazioni sensibili. La politica deve anche spiegare i ruoli e le funzioni legate alla protezione dei dati.

Di seguito è riportato un modello di politica di sicurezza dei dati aziendali che puoi liberamente adattare per soddisfare i requisiti unici di sicurezza e conformità della tua organizzazione.

Modello di Politica di Sicurezza Dei Dati

Ecco le sezioni chiave da includere nella tua politica di sicurezza dei dati e alcuni esempi di politiche di sicurezza dei dati per te da esplorare.

1. Scopo

In questa sezione, spieghi perché questa politica è stata adottata e cosa dovrebbero aspettarsi le persone ora che è in uso. Ad esempio:

L'azienda deve limitare l'accesso ai dati confidenziali e sensibili per proteggerli da perdite o compromissioni, poiché qualsiasi incidente potrebbe avere un impatto negativo sui nostri clienti e risultare in sanzioni per non conformità e danni alla nostra reputazione. Allo stesso tempo, dobbiamo garantire che gli utenti possano accedere ai dati secondo le necessità per lavorare efficacemente.

Non si prevede che questa politica possa eliminare completamente tutti i furti di dati malevoli. Piuttosto, il suo obiettivo principale è aumentare la consapevolezza degli utenti ed evitare scenari di perdita accidentale, quindi delinea le migliori pratiche per la prevenzione delle violazioni dei dati.

2. Ambito

2.1 In ambito

In questa sezione, elencate tutte le aree che rientrano nella politica, come le fonti di dati e i tipi. Ecco un esempio di sezione "In Scope" di una politica di protezione dei dati:

Questa politica di sicurezza dei dati si applica a tutti i dati dei clienti, dati personali e altri dati aziendali definiti sensibili dalla politica di Data Classification dell'azienda. Pertanto, si applica a ogni server, database e sistema IT che gestisce tali dati, inclusi qualsiasi dispositivo utilizzato regolarmente per email, accesso web o altre attività lavorative. Ogni utente che interagisce con i servizi IT aziendali è inoltre soggetto a questa politica.

2.2 Fuori Ambito

Questa sezione è dove si definisce ciò che è escluso dalla propria politica di sicurezza dei dati. Ad esempio:

Le informazioni classificate come Pubbliche non sono soggette a questa politica. Altri dati possono essere esclusi dalla politica dalla direzione aziendale in base a specifiche esigenze commerciali, come ad esempio quando la protezione dei dati è troppo costosa o complessa.

3. Policy

Questa è la parte principale della politica dove si enunciano tutti i requisiti della politica. Ecco un esempio:

3.1 Principi

L'azienda deve fornire a tutti i dipendenti e alle terze parti sotto contratto l'accesso alle informazioni di cui hanno bisogno per svolgere le loro responsabilità nel modo più efficace ed efficiente possibile.

3.2 Generale

a. Ogni utente deve essere identificato da un ID utente univoco in modo che le persone possano essere ritenute responsabili delle loro azioni.

b. L'uso di identità condivise è permesso solo dove sono adatte, come per account di formazione o account di servizio.

c. Ogni utente deve leggere questa politica di Data Security Posture Management e firmare una dichiarazione che ne attesti la comprensione delle condizioni di accesso.

d. I registri degli accessi degli utenti possono essere utilizzati per fornire prove nelle indagini sugli incidenti di sicurezza.

e. L'accesso deve essere concesso sulla base del principle of least privilege, il che significa che a ogni utente, applicazione e servizio saranno concessi i minori privilegi necessari per completare i loro compiti.

3.3 Controllo dell'autorizzazione all'Accesso

L'accesso alle risorse e ai servizi IT aziendali sarà fornito tramite un unico account utente e una password complessa. Gli account sono forniti dal reparto IT in base ai registri delle risorse umane.

Il Service Desk IT gestisce le password. I requisiti per la lunghezza, la complessità e la scadenza delle password sono indicati nella company password policy.

Il controllo degli accessi basato sui ruoli (RBAC) sarà utilizzato per proteggere l'accesso a tutte le risorse basate su file nei domini di Active Directory.

3.4 Accesso alla rete

a. Tutti i dipendenti e i collaboratori riceveranno l'accesso alla rete in conformità con le procedure di controllo degli accessi aziendali e il principio del minimo privilegio.

b. Tutti i dipendenti e i collaboratori con accesso remoto alle reti aziendali dovranno essere autenticati esclusivamente tramite il meccanismo di autenticazione VPN.

c. La segregazione delle reti deve essere implementata come raccomandato dalla ricerca sulla sicurezza della rete dell'azienda. Gli amministratori di rete devono raggruppare servizi informativi, utenti e sistemi informativi in modo appropriato per ottenere la segregazione richiesta.

d. Dovranno essere implementati controlli di instradamento della rete per supportare la politica di controllo degli accessi.

3.5 Responsabilità degli utenti

a. Tutti gli utenti devono bloccare i loro schermi ogni volta che lasciano la scrivania per ridurre il rischio di accesso non autorizzato.

b. Tutti gli utenti devono mantenere il proprio posto di lavoro libero da qualsiasi informazione sensibile o confidenziale quando si allontanano.

c. Tutti gli utenti devono mantenere le proprie password riservate e non condividerle.

3.6 Applicazione e Accesso alle Informazioni

a. A tutto il personale dell'azienda e ai contractor sarà concesso l'accesso ai dati e alle applicazioni necessarie per le loro responsabilità lavorative.

b. Tutto il personale e i contractor dell'azienda potranno accedere a dati e sistemi sensibili solo se vi è una necessità aziendale e hanno l'approvazione della direzione superiore.

c. I sistemi sensibili devono essere isolati fisicamente o logicamente per limitare l'accesso solo al personale autorizzato.

3.7 Accesso a informazioni confidenziali o riservate

a. L'accesso ai dati classificati come 'Confidenziale' o 'Riservato' deve essere limitato alle persone autorizzate le cui responsabilità lavorative lo richiedano, come stabilito dalla Politica di Sicurezza dei Dati o dalla direzione superiore.

b. La responsabilità di implementare le restrizioni di accesso spetta al dipartimento di Sicurezza IT.

4. Linee guida tecniche

Le linee guida tecniche nel modello della vostra politica di protezione dei dati dovrebbero specificare tutti i requisiti per i controlli tecnici utilizzati per concedere l'accesso ai dati. Ecco un esempio:

I metodi di controllo degli accessi da utilizzare includeranno:

  • Verifica dei tentativi di accesso a qualsiasi dispositivo nella rete aziendale
  • Permessi NTFS di Windows per file e cartelle
  • Modello di accesso basato sui ruoli
  • Diritti di accesso al server
  • Permessi del firewall
  • Zone di rete e ACL VLAN
  • Diritti di autenticazione web
  • Diritti di accesso al database e ACL
  • Crittografia a riposo e in transito
  • Segregazione di rete

Il controllo degli accessi si applica a tutte le reti, server, workstation, laptop, dispositivi mobili, applicazioni web, siti web, archiviazione cloud e servizi.

5. Requisiti di Reporting

Questa sezione descrive i requisiti per segnalare qualsiasi incidente che si verifichi. Tutti i dipendenti dovrebbero essere tenuti ad imparare come segnalare gli incidenti.

a. I rapporti giornalieri degli incidenti devono essere prodotti dal reparto di Sicurezza IT o dal Team di Risposta agli Incidenti.

b. Il reparto di Sicurezza Informatica dovrà produrre rapporti settimanali dettagliati su tutti gli incidenti e inviarli al responsabile o direttore IT.

c. Gli incidenti ad alta priorità scoperti dal reparto IT Security dovranno essere immediatamente segnalati al responsabile IT.

d. Il reparto di IT Security dovrà anche produrre un rapporto mensile che mostri il numero degli incidenti di sicurezza informatica e la percentuale di questi che sono stati risolti.

6. Proprietà e Responsabilità

Qui dovreste indicare chi possiede cosa e chi è responsabile di quali azioni e controlli. Ecco alcuni ruoli comuni:

  • I proprietari dei dati sono dipendenti che hanno la responsabilità principale di mantenere le informazioni di cui sono proprietari, come un dirigente, un responsabile di dipartimento o un team leader.
  • L'Amministratore della Sicurezza delle Informazioni è un dipendente designato dalla gestione IT che fornisce supporto amministrativo per l'implementazione, la supervisione e il coordinamento delle procedure e dei sistemi di sicurezza relativi a specifiche risorse informative.
  • Gli utenti includono tutti coloro che hanno accesso alle risorse informative, come dipendenti, amministratori, appaltatori, consulenti, impiegati temporanei e volontari.
  • Il Team di Risposta agli Incidenti sarà presieduto da un dirigente e includerà dipendenti di reparti come Infrastruttura IT, Sicurezza delle Applicazioni IT, Legale, Servizi Finanziari e Risorse Umane.

7. Applicazione

Questo paragrafo dovrebbe enunciare chiaramente le penalità per le violazioni del controllo degli accessi in modo che non ci siano spazi per incomprensioni. Ad esempio:

Qualsiasi utente che si trovi in violazione di questa politica è soggetto a provvedimenti disciplinari, fino al licenziamento. Qualsiasi partner o appaltatore terzo che si trovi in violazione potrebbe vedere terminata la propria connessione di rete.

8. Definizioni

Questo paragrafo definisce tutti i termini tecnici utilizzati nella politica in modo che i lettori sappiano esattamente cosa si intende. Ecco alcuni esempi:

  • Lista di controllo degli accessi (ACL): Un elenco di voci di controllo degli accessi (ACE). Ogni ACE in un ACL identifica un fiduciario e specifica i diritti di accesso consentiti, negati o verificati per quel fiduciario.
  • Database: Una raccolta organizzata di dati, generalmente memorizzata e accessibile elettronicamente da un sistema informatico.
  • Crittografia: Il processo di codifica di un messaggio o di altre informazioni in modo che solo le parti autorizzate possano accedervi.
  • Firewall: Una tecnologia utilizzata per isolare una rete da un'altra. I firewall possono essere autonomi o inclusi in altri dispositivi, come router o server.
  • Segregazione della rete: La separazione della rete in unità logiche o funzionali chiamate zone. La segregazione aiuta a prevenire che gli attori delle minacce si muovano lateralmente attraverso la rete.
  • Controllo degli accessi basato sui ruoli (RBAC): Un modello per concedere privilegi basato sulle funzioni lavorative di un utente.
  • Server: Un programma informatico o dispositivo che fornisce funzionalità per altri programmi o dispositivi, chiamati client.
  • Virtual private network (VPN): Una connessione di rete privata sicura attraverso una rete pubblica.
  • VLAN (virtual LAN): Un raggruppamento logico di dispositivi nello stesso dominio di broadcast.

9. Documenti correlati

Questa sezione elenca tutti i documenti relativi alla politica e fornisce i link ad essi. Questo elenco potrebbe includere link alle seguenti informazioni:

10. Cronologia delle revisioni

Una politica di protezione dei dati dovrebbe essere regolarmente rivista ed espansa per coprire nuovi asset e operazioni man mano che vengono aggiunti alla tua attività. Ogni cambiamento dovrebbe essere documentato, come illustrato di seguito.

Versione


Data

Autore

Modifiche

1.0

12 giugno 2019

J.Smith, Responsabile IT

Versione iniziale

2.0

14 luglio 2022

J. Smith, Responsabile IT

Elenco delle definizioni aggiornato

Conclusione

Questi esempi di politiche per la protezione dei dati sono progettati per fornire un quadro per la creazione di una politica unica che funzioni per la tua organizzazione. Impegnati a bilanciare una solida protezione dei dati con la produttività e la comodità degli utenti, e assicurati che la tua politica sia accessibile, concisa e facile da comprendere.

Netwrix Auditor

Indirizza i tuoi sforzi di protezione dei dati verso la salvaguardia delle tue risorse più critiche

Ottieni una demo

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management