Pagina iniziale Navigazione Contenuto Contatti Sitemap Cerca

Poli­tica sulle pas­sword per PMI

La sicu­rezza dei sistemi e delle reti infor­ma­tiche dipende in modo essen­ziale da una gestione cor­retta delle pas­sword. Defi­nendo e attuando una «pas­sword policy», ossia dei cri­teri ben pre­cisi per la gestione delle pas­sword, si sta­bi­lisce come creare, con­ser­vare e uti­liz­zare le pas­sword all’interno dell’azienda.

Punti prin­ci­pali:

  • Create uno schema gene­rale di tutti gli accessi a sistemi e appli­ca­zioni dotati di pro­te­zione tra­mite pas­sword nella vostra impresa.
  • Per tutti gli accessi a sistemi e appli­ca­zioni iden­ti­fi­cati, sta­bi­lite in una PW-Policy i requi­siti da rispet­tare per la crea­zione, la con­ser­va­zione e l’utilizzo delle pas­sword.
  • Veri­fi­cate perio­di­ca­mente che la PW-Policy venga rispet­tata scrupolosamente.
  • Sen­si­bi­liz­zate il vostro per­so­nale verso i peri­coli posti da una gestione scor­retta delle pas­sword.

Perché serve una PW-Policy?

La com­bi­na­zione di nome utente e pas­sword è ancora il metodo più uti­liz­zato per l’auten­ti­ca­zione e l’auto­riz­za­zione negli ambienti di lavoro digi­tale. È un sistema che per­mette, ad esempio quando si accede a una rete o a un sistema infor­ma­tico o si uti­liz­zano ser­vizi e appli­ca­zioni, di deter­mi­nare l’identità degli utenti e pro­teg­gere gli accessi. I nomi utente e le pas­sword rive­stono quindi un ruolo cen­trale per la cibersicurezza.

Non sor­prende quindi che i cri­mi­nali infor­ma­tici si impe­gnino con ogni mezzo per otte­nere queste pre­ziose infor­ma­zioni tra­mite hac­king, phi­shing o social engi­nee­ring, allo scopo di usur­pare l’identità digi­tale della per­sona in questione.

Tut­tavia, l’uso delle pas­sword è ormai un’attività così comune che spesso gli utenti sono troppo poco con­sa­pe­voli dei peri­coli che com­porta. Pro­prio in ambito azien­dale è quindi indi­spen­sa­bile avere una poli­tica sulle pas­sword chiara, che offra agli utenti istru­zioni pre­cise per pre­ve­nire errori in questo ambito.

Che cos’è una PW-Policy e come crearne una efficace?

Per «pas­sword policy» si intende un insieme di regole che mirano ad aumen­tare la sicu­rezza infor­ma­tica inco­rag­giando il per­so­nale a creare pas­sword sicure, a con­ser­varle con cura e a uti­liz­zarle cor­ret­ta­mente. La PW-Policy si inse­risce tra le regole uffi­ciali appli­cate in un’organizzazione e dovrebbe essere trat­tata nella for­ma­zione sulla con­sa­pe­vo­lezza della sicu­rezza (pro­gramma di sensibilizzazione).

La PW-Policy deve essere alli­neata alle esi­genze spe­ci­fiche (il sistema nel suo com­plesso) e ai requi­siti (livello di sicu­rezza) dell’organizzazione, al fine di otte­nere un effetto otti­male con un impegno com­mi­su­rato. In una prima fase è perciò neces­sario sti­lare uno schema gene­rale di tutti gli accessi a sistemi e appli­ca­zioni dotati di pro­te­zione pas­sword nell’impresa, nonché sti­mare il livello di pro­te­zione richiesto. Tutti gli accessi così iden­ti­fi­cati saranno poi presi in con­si­de­ra­zione nella poli­tica sulle pas­sword, con le regole pertinenti.

Per far fronte all’evoluzione con­tinua delle minacce, occorre veri­fi­care perio­di­ca­mente l’aggior­na­mento e l’efficacia della PW-Policy.

Quali sono i punti più impor­tanti della PW-Policy?

La PW-Policy disci­plina ogni aspetto della gestione delle pas­sword in azienda. For­nisce agli utenti istru­zioni ope­ra­tive con­crete e indi­ca­zioni sui seguenti punti:

1. Uti­lizzo di password

Come accen­nato sopra, spesso è suf­fi­ciente cono­scere una pas­sword per assu­mere inte­ra­mente l’identità digi­tale di una per­sona. In gene­rale, quindi, vanno prese tutte le pre­cau­zioni per impe­dire l’abuso di questa infor­ma­zione chiave.

Le pas­sword sono stret­ta­mente per­so­nali e vanno man­te­nute segrete. In par­ti­co­lare occorre pre­stare atten­zione ai punti seguenti:

  1. Le pas­sword non devono essere tra­smesse o con­di­vise atti­va­mente, né archi­viate in posi­zioni aperte e accessibili.
  2. La memo­riz­za­zione e la tra­smis­sione delle pas­sword devono avve­nire sempre in modo crittografato.
  3. Quando si immette una pas­sword, è neces­sario assi­cu­rarsi che la digi­ta­zione non sia visi­bile a terzi.

La PW-Policy sta­bi­lisce le linee guida per l’utilizzo delle pas­sword ponen­dosi come diret­tiva da rispettare.

2. Robu­stezza delle password

La robu­stezza della pas­sword indica con quanta dif­fi­coltà un utente malin­ten­zio­nato potrebbe indi­vi­duare una pas­sword che non conosce sem­pli­ce­mente indo­vi­nan­dola o pro­ce­dendo per ten­ta­tivi. Più una pas­sword è impre­ve­di­bile, com­plessa e lunga, più è robusta e quindi sicura.

Una poli­tica valida sulle pas­sword sot­to­linea l’importanza di creare pas­sword robuste, inco­rag­giando gli utenti a ren­dere le loro pas­sword più lunghe e impre­ve­di­bili. (Istru­zioni «Pas­sword sicure»)

Inoltre, la crea­zione di pas­sword sicure dovrebbe essere sup­por­tata da stru­menti tec­nici, come la messa a dispo­si­zione di un gestore di pas­sword, e rego­la­men­tata nella pas­sword policy.

3. Ciclo di vita delle password

Le pas­sword pos­sono essere tra­sfe­rite facil­mente, e con il tempo potreb­bero anche finire nelle mani sba­gliate. Potrebbe ad esempio acca­dere che, agendo con super­fi­cia­lità, un col­la­bo­ra­tore comu­nichi la sua pas­sword a terzi, o che la annoti in un luogo non pro­tetto. Oppure potrebbe veri­fi­carsi un’avaria nel sistema dati, con l’involontaria pub­bli­ca­zione delle pas­sword degli utenti. In linea di mas­sima non si pos­sono richia­mare indietro le infor­ma­zioni, dopo che sono trapelate.

In questi casi, cam­biare le pas­sword è l’unico modo effi­cace per ripri­sti­nare la ciber­si­cu­rezza, poiché rende inu­ti­liz­za­bili le infor­ma­zioni che sono fuo­riu­scite dall’organizzazione.

Il rin­novo e la gestione delle pas­sword dovreb­bero essere atti­vità sup­por­tate da stru­menti tec­nici, come la messa a dispo­si­zione di un gestore di pas­sword, e rego­la­men­tate nella PW-Policy.

4. Cro­no­logia delle password

Gli utenti hanno la ten­denza a ridurre il numero di pas­sword da ricor­dare, p. es. riu­ti­liz­zando pas­sword che hanno già uti­liz­zato in pre­ce­denza. I cri­mi­nali infor­ma­tici sanno trarre van­taggio da questa abi­tu­dine, e nei loro attacchi uti­liz­zano rego­lar­mente anche liste di vec­chie pas­sword. Per evi­tare che questa pra­tica si riveli frut­tuosa, agli utenti dovrebbe essere impe­dito di riat­ti­vare le vec­chie pas­sword.

La pas­sword policy assi­cura che i sistemi con­ser­vino una cro­no­logia delle pas­sword degli utenti ed ese­guano un con­trollo su un loro even­tuale riu­ti­lizzo in con­co­mi­tanza con la modi­fica della pas­sword corrente.

5. Modi­fica delle password

Gli utenti dovreb­bero avere la pos­si­bi­lità di modi­fi­care le loro pas­sword in qual­siasi momento e in piena auto­nomia. Tut­tavia, è neces­sario garan­tire che le pas­sword pos­sano essere cam­biate esclu­si­va­mente dal pro­prie­tario auto­riz­zato e non da un hacker.

La PW-Policy sta­bi­lisce le con­di­zioni quadro tec­niche e orga­niz­za­tive che con­sen­tono una modi­fica sicura della pas­sword. Ad esempio, l’introduzione dell’auten­ti­ca­zione a due fat­tori può accre­scere di molto la sicu­rezza del pro­cesso di modi­fica della pas­sword.

Le pas­sword sono da sempre gli ele­menti di sicu­rezza più uti­liz­zati per pro­teg­gere gli accessi nel mondo digi­tale. Non sor­prende quindi che i cri­mi­nali infor­ma­tici si impe­gnino con ogni mezzo per car­pirle tra­mite hac­king, phi­shing o social engi­nee­ring.

Una poli­tica sulle pas­sword (PW-Policy) garan­tisce chia­rezza e sicu­rezza nella gestione delle pas­sword.

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corso di for­ma­zione di base

Sco­prite i rischi posti da Internet e come con sem­plici ope­ra­zioni vi potete pro­teg­gere e usare l’e-banking in modo sicuro.

mag­giori informazioni

Corso online Mobile Ban­king / Payment

Impa­rate a cono­scere Mobile Ban­king e Mobile Pay­ment e come uti­liz­zare tali app in modo sicuro.

mag­giori informazioni

Corso online per minori di 30 anni

Impara a usare lo smart­phone in modo sicuro. Oltre alle basi, ti mostre­remo cosa c’è da sapere su social media, cloud, Mobile Ban­king e Mobile Payment.

mag­giori informazioni

Corso per le PMI

La vostra azienda è suf­fi­cien­te­mente sicura? Sco­prite come raf­for­zare la sicu­rezza delle infor­ma­zioni nella vostra azienda.

mag­giori informazioni