1 00:00:03,000 --> 00:00:05,160 Bentornati. 2 00:00:05,160 --> 00:00:08,160 Abbiamo visto come fare identify e mitigate del risk. 3 00:00:08,160 --> 00:00:09,520 Ma come fanno le organizzazioni 4 00:00:09,520 --> 00:00:12,720 a formalizzare queste protezioni e assicurarsi che vengano seguite? 5 00:00:13,560 --> 00:00:17,240 In questa lezione, esploreremo le security policies e la governance, 6 00:00:17,640 --> 00:00:21,320 la spina dorsale di pratiche di cybersecurity coerenti e responsabili. 7 00:00:22,560 --> 00:00:25,440 Una security policy è un documento formale che definisce 8 00:00:25,440 --> 00:00:28,840 come un'organizzazione protegge le sue informazioni e i suoi sistemi. 9 00:00:29,440 --> 00:00:33,840 Le policy forniscono guida, regole, e meccanismi di applicazione in aree 10 00:00:33,840 --> 00:00:37,440 come password, uso dei dispositivi, 11 00:00:37,960 --> 00:00:41,040 accesso remoto, classificazione dei dati. 12 00:00:41,800 --> 00:00:44,320 Aiutano i dipendenti a capire cosa ci si aspetta 13 00:00:44,320 --> 00:00:47,320 e danno ai team di sicurezza uno standard da applicare. 14 00:00:47,960 --> 00:00:50,960 Rivediamo alcuni tipi comuni di security policies. 15 00:00:51,840 --> 00:00:54,840 Acceptable Use Policy (AUP): 16 00:00:55,320 --> 00:00:58,320 definisce come i dispositivi e le reti aziendali possono essere usati. 17 00:00:59,280 --> 00:01:01,400 Access Control Policy: 18 00:01:01,400 --> 00:01:03,880 stabilisce regole per i permessi utente. 19 00:01:03,880 --> 00:01:06,880 Metodi di login e privilegi account. 20 00:01:07,360 --> 00:01:10,440 Data Retention Policy: specifica 21 00:01:10,440 --> 00:01:13,680 per quanto tempo i dati devono essere archiviati e quando devono essere cancellati. 22 00:01:14,600 --> 00:01:19,320 Queste policy supportano la compliance, la riduzione del risk, e le operazioni quotidiane. 23 00:01:20,600 --> 00:01:22,080 La Security governance definisce 24 00:01:22,080 --> 00:01:25,440 chi è responsabile per la cybersecurity e come viene gestita. 25 00:01:25,920 --> 00:01:29,160 Assicura che la sicurezza si allinei con gli obiettivi aziendali. 26 00:01:29,760 --> 00:01:32,040 Le policy siano applicate coerentemente. 27 00:01:32,040 --> 00:01:34,160 La leadership sia responsabile. 28 00:01:34,160 --> 00:01:37,240 La Governance tipicamente coinvolge leader della sicurezza, team legali 29 00:01:37,240 --> 00:01:40,240 e di compliance, ed executive sponsors. 30 00:01:41,160 --> 00:01:44,440 Senza una forte governance, anche le buone policy potrebbero essere ignorate. 31 00:01:45,680 --> 00:01:49,160 Le Security policies passano attraverso un ciclo di vita. 1. 32 00:01:49,440 --> 00:01:54,960 Develop: redigere la policy con input dagli stakeholder chiave. 2. Approve: 33 00:01:55,440 --> 00:01:58,440 Ottenere approvazione formale dalla leadership o da un consiglio di governance. 34 00:01:58,960 --> 00:02:03,040 3. Communicate: formare il personale e condividere la policy ampiamente. 35 00:02:03,720 --> 00:02:08,160 4. Enforce: monitorare la compliance e rispondere alle violazioni. 36 00:02:08,800 --> 00:02:11,880 5. Review: aggiornare la policy 37 00:02:11,880 --> 00:02:14,880 regolarmente per riflettere nuove minacce e cambiamenti. 38 00:02:15,200 --> 00:02:17,560 Le policy non sono documenti una tantum. 39 00:02:17,560 --> 00:02:20,560 Evolvono con l'organizzazione. 40 00:02:21,120 --> 00:02:23,440 Una buona policy non è solo un documento, 41 00:02:23,440 --> 00:02:26,440 è un ponte tra strategia e azione quotidiana. 42 00:02:27,120 --> 00:02:31,320 Le policy efficaci sono chiare: facili da capire. 43 00:02:32,240 --> 00:02:34,960 Actionable: possono essere realisticamente applicate. 44 00:02:35,960 --> 00:02:36,960 Aligned: 45 00:02:36,960 --> 00:02:39,960 Abbinate al risk profile e agli obiettivi dell'organizzazione. 46 00:02:40,560 --> 00:02:44,160 Le policy guidano tutto, dalle regole delle password all'incident response, 47 00:02:44,600 --> 00:02:47,600 e sono un ingrediente chiave nel successo della sicurezza. 48 00:02:47,680 --> 00:02:49,880 Pronto per un piccolo quiz di riepilogo? 49 00:02:49,880 --> 00:02:50,960 Domanda uno. 50 00:02:50,960 --> 00:02:53,440 Cos'è una security policy? 51 00:02:53,440 --> 00:02:56,440 A un controllo tecnico come un firewall. 52 00:02:56,680 --> 00:02:59,680 B L'opinione personale di un utente sulla sicurezza. 53 00:03:00,080 --> 00:03:04,640 C un documento formale che definisce regole e aspettative di sicurezza. 54 00:03:05,160 --> 00:03:08,160 D un sistema di backup per i dati utente. 55 00:03:08,200 --> 00:03:11,200 Pausa per pensare. 56 00:03:14,520 --> 00:03:16,280 La risposta corretta è C. 57 00:03:16,280 --> 00:03:20,680 Le Security policies sono regole formali che guidano il comportamento e definiscono le protezioni. 58 00:03:21,960 --> 00:03:25,080 Domanda due cosa assicura la security governance? 59 00:03:26,040 --> 00:03:29,000 A che il firewall sia sempre aggiornato? 60 00:03:29,000 --> 00:03:31,960 B che gli strumenti di sicurezza girino più veloci. 61 00:03:31,960 --> 00:03:36,000 C che le responsabilità e l'accountability siano chiaramente definite. 62 00:03:36,400 --> 00:03:39,400 D che gli utenti non infrangano mai le regole. 63 00:03:39,480 --> 00:03:42,480 Pausa. 64 00:03:45,480 --> 00:03:48,840 La risposta corretta è C la governance definisce 65 00:03:48,840 --> 00:03:52,200 chi è responsabile per applicare e supportare la sicurezza. 66 00:03:52,960 --> 00:03:56,800 Domanda finale cosa viene immediatamente dopo che una security policy 67 00:03:56,800 --> 00:03:58,680 è formalmente approvata? 68 00:03:58,680 --> 00:04:01,440 A l'applicazione inizia. 69 00:04:01,440 --> 00:04:04,440 B i firewall vengono riconfigurati. 70 00:04:04,880 --> 00:04:08,240 C gli utenti vengono formati e la policy viene comunicata. 71 00:04:09,000 --> 00:04:12,000 D l'incident response viene attivato. 72 00:04:12,480 --> 00:04:13,240 Pensaci attentamente. 73 00:04:18,560 --> 00:04:19,400 La scelta 74 00:04:19,400 --> 00:04:22,400 corretta è C dopo l'approvazione. 75 00:04:22,400 --> 00:04:26,040 Il passo successivo è comunicare la policy ai dipendenti e agli stakeholders. 76 00:04:27,320 --> 00:04:28,560 Ottimo lavoro. 77 00:04:28,560 --> 00:04:33,400 Ora capisci come le security policies definiscono le aspettative, come la governance 78 00:04:33,400 --> 00:04:38,160 le applica, e perché questi sono pillars chiave della cybersecurity organizzativa. 79 00:04:38,840 --> 00:04:42,720 Dopo esploreremo programmi di security awareness e formazione. 80 00:04:43,160 --> 00:04:46,800 Perché anche la migliore policy non significa nulla se le tue persone non la capiscono. 81 00:04:47,320 --> 00:04:48,160 Continuiamo.