La sicurezza informatica aziendale è fatta di tante attività, contromisure e attenzioni che proteggono le informazioni e i dati in un’azienda. Ma c’è un aspetto, fin troppo spesso e colpevolmente, trascurato. E riguarda le credenziali di accesso che vengono utilizzate ogni giorno. Credenziali di accesso alle quali si finisce per non attribuire l’importanza che meriterebbero.
La corretta gestione delle password aziendali dovrebbe essere una priorità in qualsiasi azienda. A ben vedere, si tratta della chiave che dà accesso, a vari livelli, al vero cuore dell’azienda, ovvero alle informazioni. Non basta questo come motivo per proteggerle?
Temi:
- Intrusione nei PC aziendali e non solo
- Cosa fare per proteggere le password
- Business continuity e disaster recovery
Intrusione nei PC aziendali e non solo
Se ci sono username e password di mezzo, significa che si sta parlando di un’azienda che, a vari livelli, ha implementato un domain controller. E la principale utilità, la primissima che viene in mente, è sicuramente questa: evitare qualsiasi tipo di intrusione nei PC aziendali.
In realtà questo è solo un aspetto. Perché una password può anche consentire l’accesso a un ambiente fisico, come un CED. O permettere di accedere a software o storage in cloud da un qualsiasi computer connesso a Internet. Le possibili minacce sono davvero tante. Tante e imprevedibili.
Da cosa si può capire che una password è stata carpita? Ci sono alcuni campanelli d’allarme che devono far sorgere il sospetto:
- Movimenti sospetti di file, documenti, dati o informazioni di vario genere;
- Invio di mail di cui non si ha memoria;
- Programmi installati o processi in esecuzione di cui non si ha memoria o, peggio ancora, che non si sappia di preciso cosa fanno.
Se si riscontrano eventualità del genere, bisogna subiti procedere con la verifica di tutte le password interessate e, se necessario modificarle. E subito dopo prendere in considerazione l’eventualità di essere rimasti vittima di un account takeover.
Cosa fare per proteggere le password
Da quanto detto, si capisce quanto sia importante proteggere le password aziendali. Per riuscirci, c’è una serie di utili quanto semplici accorgimenti da adottare.
1. Usare dei criteri diversi per la creazione delle password
Uno degli errori più comuni in azienda è utilizzare sempre lo stesso criterio per la creazione di tutte le password. Errore perché basta carpirne una per capire il criterio alla base e poter ricavare tutte le altre. Del resto, però, non si possono nemmeno avere decine di password tutte diverse.
Il consiglio è:
- Dividere le password per livello di importanza;
- Scegliere un criterio di creazione difficile da carpire per le password più importanti;
- Ridurre il livello di difficoltà del criterio man mano che diminuisce il grado di importanza delle password.
2. Condividere le password in base alle responsabilità/necessità
In un’azienda, non è necessario che tutti abbiamo tutte le password. Invece, le risorse devono avere accesso soltanto alle password necessarie per lo svolgimento delle loro attività specifiche.
Così facendo, si evita che persone non autorizzate abbiano accesso alle informazioni e si riduce, di tanto, la possibilità che une data password possa “uscire” dall’azienda.
3. Salvare le password sia in locale sia un cloud
Perdere una password, in linea di massima, non è una eventualità potenzialmente problematica (visto che ci sono i meccanismi di recupero) ma perché rischiare?
Almeno le password più importanti andrebbero salvate in locale (ad esempio, su un server) e in cloud (così che siano sempre disponibili, anche nel caso in cui le macchine aziendali non funzionino).
4. Cambiare periodicamente le password
Altro consiglio molto semplice che, però, sono in pochi a seguire. Periodicamente, le password aziendali, almeno quelle più importanti, andrebbero cambiate, ricordandosi poi di comunicarlo ai diretti interessati.
In linea di massima, sarebbe buona norma modificare le password aziendali una volta all’anno, o anche con frequenza maggiore se si tratta di password che danno accesso a informazioni particolarmente sensibili.
5. Ricorrere a un programma per la gestione delle password
I gestori di password sono dei programmi che aiutano nella gestione delle password aziendali: si occupano di tutti gli aspetti, dalla conservazione alla condivisione. In commercio ne esistono diversi, sia free sia a pagamento, così come programmi a pagamento che offrono una versione trial per un certo periodo di tempo.
Business continuity e disaster recovery
Ampliando il discorso, la best practice per la gestione delle password aziendali dovrebbero rientrare nella più generale strategia di business continuity e disaster recovery. Strategie che qualunque azienda dovrebbe implementare per garantire lo svolgimento delle attività anche in caso di eventi “disaster”.
Business continuity
Per business continuity, si intende un “processo atto a individuare le potenziali minacce alle quali è esposta una data organizzazione e a definire i processi necessari per assicurare la resilienza della struttura a seguito del verificarsi delle condizioni avverse, per porre al sicuro l’operatività, la capacità produttiva, gli interessi e l’immagine dell’azienda.”.
Approfondimento: Business continuity: la definizione di un concetto chiave nell’era digitale
Disaster recovery
L’AgID (Agenzia per l’Italia digitale) definisce il disaster recovery come “l’insieme delle misure tecniche e organizzative adottate per assicurare all’organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate”.
Approfondimento: Servizio di disaster recovery: per garantire la sopravvivenza dell’azienda