Nella maggioranza dei casi per accrescere la sicurezza di un sistema informatico non è sufficiente un intervento di tipo tecnologico, ma è necessario realizzare o aggiornare le policy organizzative.
La competenza di Data Security e l’esperienza anche a livello di ricerca universitaria acquisite dal suo staff permettono di disegnare policy efficaci, che al tempo stesso non appesantiscono i processi e la gestione delle informazioni nell’azienda.

La pianificazione delle Policy è un'attività complessa che riguarda la definizione delle procedure di sicurezza, dei regolamenti e delle linee guida che le aziende o gli enti pubblici adottano per disciplinare al suo interno l'utilizzo di strumenti aziendali e le procedure delle diverse funzioni aziendali.
Vi sono Policy generali, rivolte cioè a tutto il personale, e Policy specifiche dedicate a regolare precisi ambiti aziendali o un numero ristretto di addetti.

La stesura di questi regolamenti deve naturalmente accordarsi con le leggi vigenti; particolare attenzione va rivolta in tal senso al rispetto delle normativa nel campo del diritto del lavoro, della regolamentazione sulla privacy e delle leggi che sanzionano i reati informatici.

Tutte le realtà pubbliche e private dovrebbero munirsi di policy adeguate per la salvaguardia della sicurezza informatica: se è vero, infatti, che l'attenzione ai rischi informatici in azienda viene il più delle volte rivolta all'esterno nei confronti dei di hacker e virus, è inconfutabile che i maggiori danni economici e in termini di immagine derivino molto più spesso da leggerezze o errori umani del personale interno dell'azienda.

Diverse ricerche hanno inoltre messo in evidenza come la mancata regolamentazione nell'utilizzo delle risorse informatiche aziendali possa comportare un innalzamento dei costi particolarmente rilevante, sia in termini di mancata produttività, sia in termini di crescita delle spese di manutenzione e di utilizzo delle risorse.
E' sufficiente fornire qualche dato per chiarire la dimensione del fenomeno e stimolare le giuste riflessioni:

• Diverse ricerche effettuate a livello internazionale hanno rivelato che, in mancanza di regole e/o strumenti tecnologici di filtraggio, una percentuale tra il  30% e il 40% del tempo impiegato on line dal dipendente viene utilizzato per fini diversi da quelli aziendali.
• Una recente indagine di Vault.com evidenzia che il 25,1% dei lavoratori dipendenti dichiara di navigare per fini personali dal posto di lavoro da 10 a 30 minuti al giorno, il 22,4% da 30 minuti ad 1 ora, l'11,9% da 1 ora a 2 e ben il 12,6% oltre 2 ore. Solo il 27% dichiara di navigare meno di 10 minuti al giorno.
• Un'indagine interna dell'Internal Revenue Service, l'ente che negli Stati Uniti si occupa delle entrate fiscali, ha rivelato che la navigazione o l'utilizzo di e-mail da parte dei lavoratori per scopi personali rappresentava il 51% del totale del tempo dedicato ad attività on line. (IRS marzo 2001)
• Più del 70% di tutto il traffico generato dai siti pornografici viene generato durante l'orario d'ufficio. (Fonte: SexTracker)
• Il 32,6% dei lavoratori che accedono ad Internet durante l'orario di lavoro dichiarano di farlo senza nessuna specifica finalità. (Fonte: eMarketer.com 2001)

E' piuttosto facile pertanto stimare quanto questi abusi nell'utilizzo aziendale di Internet costino alle imprese. 

Oltre al danno patrimoniale causato dalla perdita di produttività, l'utilizzo improprio delle risorse aziendali può anche comportare problemi di carattere legale per l'azienda o per l'ente pubblico in cui si verifica. Si pensi alla violazione delle legge sul diritto d'autore, nel caso i dipendenti scarichino software o musica pirata dalla rete, o ancor peggio se le risorse dell'azienda vengono utilizzate per archiviare immagini o filmati pedo-pornografici.
In questi casi il rischio legale è accresciuto nel caso che l'Autorità Giudiziaria, per condurre le proprie indagini, sia costretta a sequestrare le macchine, creando di fatto un grave pregiudizio alla regolare continuazione dell'attività dell'azienda.

Oltre alle motivazioni di carattere generale sopra elencati vi possono essere da parte dell'Azienda altre ragioni molto specifiche per dotarsi di policy aziendali per l'utilizzo delle risorse informatiche.
Di seguito ne elenchiamo alcune, così come sono state raccolte in occasione del disegno delle policy dei clienti Data Security:

• Necessità da parte dell'Azienda di prevedere e regolare l'accesso alla posta elettronica dei dipendenti senza previo assenso in determinate situazioni (ferie, emergenza, dimissioni, ecc.).
• Esigenza di informare i dipendenti sull'attività di monitoraggio del traffico di rete.
• Desiderio di accrescere l'immagine aziendale in termini di attenzione alla sicurezza e di impegno ad incentivare comportamenti premianti all'interno dell'azienda.
• Necessità di risolvere tensioni o problemi aziendali amplificati ad un utilizzo improprio della comunicazione e-mail (uso improprio delle funzioni di carbon copy, proteste, insulti o rivendicazioni inviati a molteplici destinatari, ecc.).
• Necessità di limitare e regolare le prerogative dell'Amministratore di Sistema per quanto concerne il monitoraggio e l'accesso ai dati personali archiviati o comunicati attraverso il sistema informatico aziendale.
• Desiderio di fornire ai dipendenti un testo semplice in cui sintetizzare i concetti e le linee guida essenziali per un uso sicuro delle risorse informatiche aziendali.

Laddove queste regole già esistano e siano attuate informalmente, la loro formalizzazione in un documento scritto e reso pubblico all'interno dell'Azienda può essere il sistema più efficace per razionalizzare l'uso di queste applicazioni, diminuendo il rischio di problemi tecnici o, peggio ancora, di abusi ed illeciti.

L'adozione di una policy scritta sull'uso delle applicazioni informatiche che consentono la comunicazione di dati personali è inoltre un modo per adeguarsi alle prescrizioni della legge sulla privacy, che richiede l'adozione di misure organizzative, logistiche e procedurali per garantire l'integrità e la riservatezza dei dati trattati mediante elaboratori elettronici.