L’approccio della maggior parte delle aziende nei confronti dei temi della security awareness e della gestione delle password è spesso disattento e indolente. Al contrario, è sempre più urgente stabilire rigorose policy di password management, stabilendo linee guida chiare e precise.
Di seguito, richiamo l’articolo che ho scritto per i Cybersecurity360.it, la testata del Network Digital 360 specializzata nella Cybersecurity con la quale collaboro sin dalla sua nascita.
A pochi mesi di distanza dal World Password Day 2023 (che dal 2013 ricorre annualmente ogni primo giovedì di maggio) è fondamentale ricordare l’importanza di un corretto password management, soprattutto in ambito aziendale.
Ancora oggi, dopo numerose campagne d’informazione sulla cyber security e ricorrenti data breach di portata internazionale, è incredibile constatare quanto il tema del password management aziendale sia ancora poco considerato, alle volte vissuto quasi con fastidio.
Nonostante alcuni dei più importanti colossi commerciali come Apple, Google e Microsoft, stiano già lavorando attivamente per una transizione verso una realtà “passwordless” (sviluppando soluzioni come passkey), è evidente che le password continueranno a rappresentare le chiavi della nostra azienda digitale ancora per diversi anni.
Per questo motivo, è fondamentale mobilitarsi e formulare una serie di best practise da condividere in azienda, al fine di garantire una maggiore sensibilizzazione sull’argomento.
Oltre all’adozione di una serie di regole precise e rigorose (trovi in questo articolo l’elenco completo) è bene fare presente che, alcune misure preventive utilizzate spesso in diverse realtà aziendali, come ad esempio il cambio periodico delle password, non risultino più funzionali, poiché spingerebbero gli individui a generare password troppo semplici e facili da prevedere.
In altre parole, le politiche di scadenza delle password rischiano di essere controproducenti.
Se una password non viene mai compromessa, non vi è infatti alcuna necessità di modificarla. E se si ha la prova – o il sospetto – che questa sia stata violata, è opportuno agire immediatamente, senza attenderne la scadenza.
L’importanza del password manager e della Multi Factor Authentication
L’adozione di un password manager all’interno dell’azienda è una pratica ancora poco utilizzata ma estremamente utile, in quanto realmente in grado di garantire sicurezza e praticità nella gestione delle password.
Nel caso si decidesse di procedere all’adozione di questa misura, vi sono due possibili soluzioni:
- l’imposizione da parte dell’azienda di un password manager (sicuramente una scelta ottimale ma molto dispendiosa in termini economici, con un costo che può variare dai 5,00 agli 8,00 €/mese per utente);
- l’invito all’uso di un password manager consigliato dall’azienda, da installare anche sui dispositivi personali (una soluzione meno funzionale che prevede una breve formazione ma che non presenta costi). In questo caso, le soluzioni migliori che consiglio sono KeePass e Bitwarden.
È bene comunque ricordare che, per quanto robusta, nessuna password sia totalmente resistente agli strumenti e alle tecniche di un potenziale attaccante. Essa rappresenta, infatti, un’autenticazione debole, in quanto basata esclusivamente su un singolo fattore.
Per questo, è fondamentale l’introduzione e l’utilizzo in azienda della Multi Factor Authentication o autenticazione a due o più fattori che diventa una misura essenziale, soprattutto per i servizi più delicati come VPN e account email.
Anche in questo caso è possibile riscontrare diverse resistenze, alcune legate alle difficoltà pratiche nell’utilizzo, altre relative all’adozione obbligatoria di un dispositivo dedicato alla generazione del secondo fattore di autenticazione OTP (One Time Password), in genere inviato tramite SMS o App specifiche.
Niente che non si possa risolvere attraverso una corretta e adeguata formazione e con la fornitura a titolo gratuito di dispositivi appositi come smartphone aziendali.
Il regolamento aziendale per l’uso dei dispositivi informatici
Esiste una misura generale che tutte le imprese dovrebbero adottare: il regolamento interno per l’utilizzo dei servizi e dispositivi informatici aziendali.
Tale regolamento, parallelamente ad una propria utilità informativa, consente al Titolare del trattamento dei dati personali di dimostrare di avere operato adottando “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio” (Art.32 GDPR).
Affinché risulti più pratico, il regolamento dovrà essere sufficientemente sintetico e riportare in modo schematico le principali misure da applicare. Oltre alla pubblicazione sugli appositi canali intra-aziendali, è consigliabile anche una breve attività di illustrazione/formazione con frequenza regolare verso tutto il personale aziendale, così come richiesto dal GDPR (art. 29 e art.39 sulle mansioni del DPO).
L’articolo che ho scritto per Cybersecurity360.it è consultabile a questo link.
© Copyright 2023 Giorgio Sbaraglia
All rights reserved.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale