sicurezza informatica

Gestione delle password in azienda: le procedure da adottare per la compliance



Indirizzo copiato

Nonostante la consapevolezza sulla necessità di adottare misure efficaci per proteggere le password, spesso le prassi aziendali e individuali non sono all’altezza del rischio. la formazione è fondamentale, ma non sempre basta a fronteggiare i pericoli legati alla perdita o al furto delle credenziali. Ecco allora come adottare un approccio multidimensionale alla gestione delle password…

Pubblicato il 21 dic 2023

Federica De Stefani

avvocato e docente di Digital Media Law presso Università degli Studi Link



password sicurezza privacy

In un momento storico come quello attuale ove l’attenzione è quasi esclusivamente focalizzata sull’intelligenza artificiale e sulle nuove sfide che l’AI ci sta sottoponendo, ci troviamo a fare i conti, ancora, con l’annoso e irrisolto problema della (corretta) gestione delle password.

Non c’è data breach nel quale, per un motivo o per un altro, le password non rientrino nelle criticità riscontrate e siano oggetto delle conseguenti critiche mosse all’azienda la quale, in tal modo, vede la propria reputazione crollare vertiginosamente.

Se, quindi, le password rivestono ancora il punctus dolens della protezione delle realtà aziendali è necessario intervenire in maniera efficace al fine di ovviare al problema. E l’intervento non può che essere, per così dire, drastico.

Il punto di partenza: le password

Tutti sappiamo come dovrebbe essere creata una password efficace: una lunghezza precisa, almeno 12 caratteri, alternanza di lettere, maiuscole e minuscole, numeri e caratteri speciali.

Lo sappiamo, in teoria, ma non lo mettiamo in pratica se, ancor oggi, le tre password più utilizzate sono, nell’ordine, admin, 123456 e password.

Il problema, quindi, non è solo la password in sé considerata, ma anche e, forse, soprattutto, il motivo per il quale all’interno delle aziende capita che non vengano applicate le basi della cybersecurity che, come è noto, portano con sé, necessariamente, anche la creazione di password forti.

La criticità più importante, a parere di chi scrive, è quella relativa non tanto alla formazione del lavoratore, che sicuramente sarà stato formato, ma al controllo dell’applicazione pratica di quanto appreso nelle attività quotidiane.

La responsabilità dei datori di lavoro non si ferma alla formazione

In altre parole, il dipendente è stato formato? Bene, l’obbligo di accountability del datore di lavoro è stato assolto solo in parte, poiché lo stesso si deve spingere oltre, ossia deve poter garantire piena e concreta attuazione a quella formazione.

Aver formato i dipendenti e averli resi consapevoli non ha alcun valore se, poi, non si applica quella formazione in concreto, ossia nelle attività lavorative quotidiane. Se, per tornare all’esempio di prima, la password utilizzata è una password debole e il dipendente è stato formato su questo punto vuol dire che la formazione non era adeguata, oppure, che il dipendente, per motivi diversi, ha ritenuto, pur sapendo di sbagliare, di non applicare quel principio.

La consapevolezza, da sola, non basta

La formazione del dipendente è senza dubbio alcuno una delle attività indispensabili da svolgere, ma, da sola, la consapevolezza del dipendente non è sufficiente.

L’azienda ha il dovere di controllare che il dipendente applichi in concreto, ossia nella propria attività lavorativa quotidiana, quanto appreso nella formazione.

La redazione di policy aziendali che non vengono lette, che non vengono rispettate, che non vengono messe in pratica, rimanendo lettera morta, si appalesa come del tutto inutile ai fini della accountability poiché l’azienda non è automaticamente protetta per il solo fatto di aver fornito ai propri dipendenti un documento contenente regole e best practice di sicurezza informatica.

La fase operativa: il controllo aziendale

Quali procedure devono essere adottate per la compliance aziendale?

Il discorso è alquanto complesso perché riguarda diversi aspetti, alcuni attinenti alle procedure interne, agli strumenti da utilizzare, ai controlli da effettuare e, altre, attengono all’applicazione pratica, da parte del singolo dipendente, delle indicazioni ricevute dall’azienda.

Vediamo quelle più importanti.

Le password

L’azienda non dovrà conservare le password in chiaro, ma dovrà adottare sistemi di hashing di password che consentano di proteggere archivi e database (come indicato dalle recenti linee guida licenziate da ACN e Garante), così come non dovrà inviare al proprio dipendente le credenziali di accesso a un determinato servizio inviando una mail con username e password in chiaro.

Cambio password

Per le password create di default dovrà essere impostato l’obbligo di cambio password al primo accesso e, periodicamente, dovrà essere richiesta la modifica, e quindi l’aggiornamento, delle password utilizzate.

Dovranno inoltre essere richiesti di default criteri che impongano il rispetto di determinati parametri come, per esempio, l’alternanza di lettere, numeri e caratteri speciali, una lunghezza minima prestabilita o l’impossibilità di utilizzare password già usate in passato. Per evitare, inoltre, che il dipendente si “dimentichi” di modificarle periodicamente andrebbe impostata di default una richiesta di reset trascorso un certo periodo di tempo.

È inoltre fondamentale che non ci sia un pattern scelto dell’azienda per la creazione delle password di tutti i dipendenti (come per esempio nome.cognome oppure n.cognome).

È altresì fondamentale specificare che le password scelte non debbano contenere riferimenti di carattere personale o aziendale: questi elementi, come date di nascita, nomi o soprannomi di familiari, amici o animali domestici, o informazioni sull’azienda, sono facilmente reperibili anche online.

L’autenticazione a due fattori

L’azienda dovrebbe implementare sistemi di autenticazione multifattoriale: l’autenticazione di un utente a più livelli alza il grado di sicurezza dell’identificazione e consente di proteggere in maniera più efficace l’account.

Memorizzazione delle password e logout

È indispensabile, inoltre, prevedere un espresso divieto di memorizzazione delle password all’interno dei dispositivi e dei servizi nelle quali sono utilizzate, imponendo, al contrario, il logout ogni volta che ci si disconnette da un servizio: in tal modo ogni accesso non autorizzato al dispositivo non fornisce anche la possibilità, automatica, di accedere ai servizi o alle app sulle quali ci si era loggati.

Comunicazione delle password

È importante che la segretezza delle password venga garantita e preservata. Sarà quindi necessario prevedere un divieto di comunicazione delle password a soggetti diversi dall’utente poiché ogni password deve garantire l’identificazione univoca di un solo utente – dipendente.

Qualora si verifichino situazioni che impongono una condivisione delle password si dovrà trattare di una condivisione temporanea, strettamente limitata alla emergenza, che verrà interrotta nel più breve tempo possibile attraverso il ripristino di una password univoca.

Ovviamente, proprio al fine di garantire la segretezza delle password, dovrà essere fatto espresso divieto di conservazione in chiaro, con annotazioni su foglietti o in luoghi accessibili e visibili da terzi.

Report

L’azienda dovrebbe prevedere una procedura specifica per la comunicazione, da parte del dipendente, di qualsiasi criticità attenga alle password, sia che si tratti della semplice dimenticanza delle credenziali e la conseguente necessità del recupero password, sia che riguardi credenziali che vengono coinvolte in un data breach. In questo ultimo caso, infatti, è necessario prevedere l’obbligo di modificare le password al fine di proteggere i propri account.

Dopo aver predisposto la password policy e dopo aver formato e istruito i dipendenti cosa deve fare l’azienda per la propria accountability?

L’azienda deve verificare l’effettiva applicazione delle procedure e delle misure di sicurezza previste dalla password policy attraverso test e simulazioni che possano mettere il dipendente “alla prova” al fine di verificare quale sarebbe il reale comportamento in una situazione critica.

Ovviamente nessun problema laddove il test venga superato, ma come ci si deve comportare se il dipendente non superi la prova? Sarà necessario imporre l’obbligo di ripetere la formazione in modo tale che vengano colmate le lacune e il dipendente sia in grado di affrontare in maniera efficace le situazioni che comportino un rischio per l’azienda.

Conclusioni

L’azienda, dunque, ha un duplice onere per quanto concerne le misure di sicurezza attinente all’utilizzo e alla conservazione delle password.

Da un lato, dal punto di vista tecnico, deve adottare tutti quegli accorgimenti che impongano al dipendente il rispetto delle indicazioni contenute nella password policy, dall’altro dovrà vigilare sulla corretta applicazione delle procedure indicate nella regolamentazione interna, anche attraverso la creazione di situazioni di test che siano in grado di valutare il reale livello di formazione del singolo dipendente e, sulla base delle risultanze di questa attività di verifica, dovrà adottare gli opportuni provvedimenti.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2