Immaginate la situazione: un vostro collega ha un’emergenza a casa e non può venire in ufficio, vi chiede di sostituirlo nel suo lavoro; in particolare vi chiede di accedere al suo account aziendale per controllare alcuni dati e configurazioni. Senza esitazione, vi fornisce le password via email in modo che possiate controllare i dati al suo posto.
Fin qui, sembrerebbe nulla di strano. Si tratta di situazioni che accadono spesso in azienda, per diversi motivi. In comune, tuttavia, esse hanno sempre lo stesso momento: quello della condivisione delle password. Che male mai potranno fare due password condivise tra due colleghi? Analizziamo la situazione un po’ più da vicino.
Perché è rischioso
Non solo condividere le password è già pericoloso di per sé, ma addirittura condividerle via email è rischiosissimo. Inoltre, se dopo averle condivise, e dopo che il nostro collega abbia terminato il compito che gli abbiamo affidato, non procedessimo con l’aggiornamento e con il cambio della password, l’accesso alle risorse critiche aziendali continuerebbe a essere a portata dell’altra persona che, probabilmente, non aveva fin dall’inizio le autorizzazioni necessarie.
I danni derivanti dal condividere le password, e i modi poco sicuri con cui ciò avviene, potrebbero essere molteplici. Nell’era digitale è ovviamente impossibile fare a meno di password e pin: qualunque azienda con una infrastruttura di rete si trova a dover gestire una moltitudine di password, al fine di gestire le risorse IT che la compongono.
Il punto è che password e codici sono da sempre un boccone molto ghiotto per hackers e malintenzionati. Incuranti dei rischi connessi, si potrebbe casualmente condividere le password in un semplice formato testo, tramite chat, e-mail o con un foglietto di carta; inoltre, senza controlli adeguati, le password potrebbero circolare rapidamente in tutta l’azienda e finire in mani sbagliate.
Come contenere i rischi connessi alla condivisione password
L’implementazione di alcune regole base per la condivisione e per l’archiviazione delle password aumenta la sicurezza e l’efficacia della gestione. Ecco alcune best practices che dovremmo sempre adottare.
Archiviate le password in un posto sicuro. Consolidamento e memorizzazione delle password in un luogo sicuro (che non sia un foglio excel) è una misura semplice ma troppo spesso trascurata. Una volta implementato un buon sistema di crittografia, la sicurezza è già un passo avanti.
Accesso limitato alle password in base al ruolo utente. Scegliere un livello di privilegio per l’utente in base al suo ruolo in azienda può essere un aiuto ulteriore per limitare i permessi di accesso. La maggior parte degli utenti spesso non ha necessità di vedere tutte le password, per la tipologia di lavoro che svolge.
Accesso ai sistemi senza la visualizzazione delle password. Consentire agli utenti di accedere alle risorse IT senza rivelare le rispettive credenziali aiuta l’IT a mantenere il controllo di account e accessi.
Incentivare l’accesso temporaneo. Fornire ai dipendenti, se necessario, solo un accesso temporaneo alle password. Password con validità limitata, che scadono dopo aver concluso l’operazione, garantiscono che la persona non possa accedere di nuovo a quella determinata risorsa.
Reset della password dopo l’utilizzo. Per evitare tentativi di accesso non autorizzati, si può configurare il ripristino automatico delle password condivise, una volta che l’utente abbia portato a termine il proprio compito. Questo eviterà un uso improprio delle risorse IT.
Controllo sulle attività condivise. Controllare tutte le operazioni di condivisione e altre attività relative alle password con un timestamp e con l’indirizzo IP dell’utente. Il cosiddetto “audit trail” (pista di controllo) può essere utilizzato per capire chi- ha-fatto-cosa con le password, da dove e quando.
Alert istantanei. Generare degli alerts in real time per gli amministratori, ogni volta che un utente accede a password critiche, modifica, cancella o condivide file e link con altri utenti.
Conclusioni
La gestione delle password è sicuramente una chiave importante e fondamentale, quando si parla di sicurezza informatica, ma resta comunque fondamentale implementare un sistema di sicurezza aziendale che protegga in modo efficace dagli attacchi esterni.
Gli attacchi informatici sono, purtroppo, una realtà con la quale dobbiamo convivere: basti pensare all’ultimo attacco su grande scala di inizio febbraio, che ha colpito anche l’Italia. La prima linea di difesa resta, sempre e comunque, una corretta formazione del personale, con lo scopo di sensibilizzarlo su tematiche riguardanti la sicurezza informatica, spesso trascurata, perché poco importante o perché si ritiene che le piccole realtà non siano bersagli appetibili. L’errore è proprio questo: i bersagli più interessanti, infatti, sono quelli che solitamente scelgono di adottare una minore protezione.
Avete dubbi o curiosità? Siamo sempre a vostra disposizione.