In un momento storico come quello attuale ove l’attenzione è quasi esclusivamente focalizzata sull’intelligenza artificiale e sulle nuove sfide che l’AI ci sta sottoponendo, ci troviamo a fare i conti, ancora, con l’annoso e irrisolto problema della (corretta) gestione delle password.
Non c’è data breach nel quale, per un motivo o per un altro, le password non rientrino nelle criticità riscontrate e siano oggetto delle conseguenti critiche mosse all’azienda la quale, in tal modo, vede la propria reputazione crollare vertiginosamente.
Se, quindi, le password rivestono ancora il punctus dolens della protezione delle realtà aziendali è necessario intervenire in maniera efficace al fine di ovviare al problema. E l’intervento non può che essere, per così dire, drastico.
Il punto di partenza: le password
Tutti sappiamo come dovrebbe essere creata una password efficace: una lunghezza precisa, almeno 12 caratteri, alternanza di lettere, maiuscole e minuscole, numeri e caratteri speciali.
Lo sappiamo, in teoria, ma non lo mettiamo in pratica se, ancor oggi, le tre password più utilizzate sono, nell’ordine, admin, 123456 e password.
Il problema, quindi, non è solo la password in sé considerata, ma anche e, forse, soprattutto, il motivo per il quale all’interno delle aziende capita che non vengano applicate le basi della cybersecurity che, come è noto, portano con sé, necessariamente, anche la creazione di password forti.
La criticità più importante, a parere di chi scrive, è quella relativa non tanto alla formazione del lavoratore, che sicuramente sarà stato formato, ma al controllo dell’applicazione pratica di quanto appreso nelle attività quotidiane.
La responsabilità dei datori di lavoro non si ferma alla formazione
In altre parole, il dipendente è stato formato? Bene, l’obbligo di accountability del datore di lavoro è stato assolto solo in parte, poiché lo stesso si deve spingere oltre, ossia deve poter garantire piena e concreta attuazione a quella formazione.
Aver formato i dipendenti e averli resi consapevoli non ha alcun valore se, poi, non si applica quella formazione in concreto, ossia nelle attività lavorative quotidiane. Se, per tornare all’esempio di prima, la password utilizzata è una password debole e il dipendente è stato formato su questo punto vuol dire che la formazione non era adeguata, oppure, che il dipendente, per motivi diversi, ha ritenuto, pur sapendo di sbagliare, di non applicare quel principio.
La consapevolezza, da sola, non basta
La formazione del dipendente è senza dubbio alcuno una delle attività indispensabili da svolgere, ma, da sola, la consapevolezza del dipendente non è sufficiente.
L’azienda ha il dovere di controllare che il dipendente applichi in concreto, ossia nella propria attività lavorativa quotidiana, quanto appreso nella formazione.
La redazione di policy aziendali che non vengono lette, che non vengono rispettate, che non vengono messe in pratica, rimanendo lettera morta, si appalesa come del tutto inutile ai fini della accountability poiché l’azienda non è automaticamente protetta per il solo fatto di aver fornito ai propri dipendenti un documento contenente regole e best practice di sicurezza informatica.
La fase operativa: il controllo aziendale
Quali procedure devono essere adottate per la compliance aziendale?
Il discorso è alquanto complesso perché riguarda diversi aspetti, alcuni attinenti alle procedure interne, agli strumenti da utilizzare, ai controlli da effettuare e, altre, attengono all’applicazione pratica, da parte del singolo dipendente, delle indicazioni ricevute dall’azienda.
Vediamo quelle più importanti.
Le password
L’azienda non dovrà conservare le password in chiaro, ma dovrà adottare sistemi di hashing di password che consentano di proteggere archivi e database (come indicato dalle recenti linee guida licenziate da ACN e Garante), così come non dovrà inviare al proprio dipendente le credenziali di accesso a un determinato servizio inviando una mail con username e password in chiaro.
Cambio password
Per le password create di default dovrà essere impostato l’obbligo di cambio password al primo accesso e, periodicamente, dovrà essere richiesta la modifica, e quindi l’aggiornamento, delle password utilizzate.
Dovranno inoltre essere richiesti di default criteri che impongano il rispetto di determinati parametri come, per esempio, l’alternanza di lettere, numeri e caratteri speciali, una lunghezza minima prestabilita o l’impossibilità di utilizzare password già usate in passato. Per evitare, inoltre, che il dipendente si “dimentichi” di modificarle periodicamente andrebbe impostata di default una richiesta di reset trascorso un certo periodo di tempo.
È inoltre fondamentale che non ci sia un pattern scelto dell’azienda per la creazione delle password di tutti i dipendenti (come per esempio nome.cognome oppure n.cognome).
È altresì fondamentale specificare che le password scelte non debbano contenere riferimenti di carattere personale o aziendale: questi elementi, come date di nascita, nomi o soprannomi di familiari, amici o animali domestici, o informazioni sull’azienda, sono facilmente reperibili anche online.
L’autenticazione a due fattori
L’azienda dovrebbe implementare sistemi di autenticazione multifattoriale: l’autenticazione di un utente a più livelli alza il grado di sicurezza dell’identificazione e consente di proteggere in maniera più efficace l’account.
Memorizzazione delle password e logout
È indispensabile, inoltre, prevedere un espresso divieto di memorizzazione delle password all’interno dei dispositivi e dei servizi nelle quali sono utilizzate, imponendo, al contrario, il logout ogni volta che ci si disconnette da un servizio: in tal modo ogni accesso non autorizzato al dispositivo non fornisce anche la possibilità, automatica, di accedere ai servizi o alle app sulle quali ci si era loggati.
Comunicazione delle password
È importante che la segretezza delle password venga garantita e preservata. Sarà quindi necessario prevedere un divieto di comunicazione delle password a soggetti diversi dall’utente poiché ogni password deve garantire l’identificazione univoca di un solo utente – dipendente.
Qualora si verifichino situazioni che impongono una condivisione delle password si dovrà trattare di una condivisione temporanea, strettamente limitata alla emergenza, che verrà interrotta nel più breve tempo possibile attraverso il ripristino di una password univoca.
Ovviamente, proprio al fine di garantire la segretezza delle password, dovrà essere fatto espresso divieto di conservazione in chiaro, con annotazioni su foglietti o in luoghi accessibili e visibili da terzi.
Report
L’azienda dovrebbe prevedere una procedura specifica per la comunicazione, da parte del dipendente, di qualsiasi criticità attenga alle password, sia che si tratti della semplice dimenticanza delle credenziali e la conseguente necessità del recupero password, sia che riguardi credenziali che vengono coinvolte in un data breach. In questo ultimo caso, infatti, è necessario prevedere l’obbligo di modificare le password al fine di proteggere i propri account.
Dopo aver predisposto la password policy e dopo aver formato e istruito i dipendenti cosa deve fare l’azienda per la propria accountability?
L’azienda deve verificare l’effettiva applicazione delle procedure e delle misure di sicurezza previste dalla password policy attraverso test e simulazioni che possano mettere il dipendente “alla prova” al fine di verificare quale sarebbe il reale comportamento in una situazione critica.
Ovviamente nessun problema laddove il test venga superato, ma come ci si deve comportare se il dipendente non superi la prova? Sarà necessario imporre l’obbligo di ripetere la formazione in modo tale che vengano colmate le lacune e il dipendente sia in grado di affrontare in maniera efficace le situazioni che comportino un rischio per l’azienda.
Conclusioni
L’azienda, dunque, ha un duplice onere per quanto concerne le misure di sicurezza attinente all’utilizzo e alla conservazione delle password.
Da un lato, dal punto di vista tecnico, deve adottare tutti quegli accorgimenti che impongano al dipendente il rispetto delle indicazioni contenute nella password policy, dall’altro dovrà vigilare sulla corretta applicazione delle procedure indicate nella regolamentazione interna, anche attraverso la creazione di situazioni di test che siano in grado di valutare il reale livello di formazione del singolo dipendente e, sulla base delle risultanze di questa attività di verifica, dovrà adottare gli opportuni provvedimenti.