Indice dell'articolo
Come gestire le password aziendali in modo sicuro
Quando si parla di sicurezza informatica in azienda si tende a pensare alle minacce che possono arrivare dall’esterno, come virus e malware. Ma anche una disattenzione superficiale proveniente dall’interno può mettere in crisi la rete aziendale. Gestire le password in modo corretto e responsabile è dunque il primo elemento su cui lavorare per migliorare la cyber security di qualunque impresa.
Le password sono uno strumento importantissimo, perché permettono di accedere alla rete aziendale e ai dati che, come sappiamo, sono il bersaglio di moltissimi attacchi informatici. Per questo motivo è necessario che chiunque lavori all’interno di un’impresa sappia proteggere le proprie credenziali e gestirle in modo sicuro.
Oggi tutti i collaboratori di un’impresa si ritrovano a dover utilizzare delle password, anche solo per accendere il pc o fare il log-in alla casella di posta elettronica. Man mano che le responsabilità lavorative aumentano, aumenta anche il numero di password da ricordare.
Se non esiste un sistema univoco per gestire le password, il rischio di rendere vulnerabili dati e informazioni sensibili diventa molto alto. I singoli utenti che accedono alla rete aziendale utilizzeranno personalissimi metodi per ricordare le parole chiave e non sempre questi sono sicuri.
Tra le policy sulla sicurezza aziendale non dovrebbe mai mancare un focus sulla gestione delle password, proprio per evitare di incorrere in problematiche legate al furto dei dati. In questo articolo, approfondiamo l’argomento e cerchiamo di capire come scegliere password sicure e proteggerle da occhi indiscreti.
Che cosa sono le password aziendali?
Le password aziendali sono tutte quelle parole chiave utilizzate da chi lavora in una determinata impresa per poter fare l’accesso a pc, software o dati in cloud. La funzione di una password è evitare che personale non autorizzato riesca ad accedere a informazioni sensibili.
Oggi tutte le aziende forniscono ai loro dipendenti dei sistemi di autenticazione con cui è possibile accedere ai device, ai servizi e ai dati necessari per il corretto svolgimento delle attività lavorative. Non tutti possono avere accesso a tutte le aree, ma gli account hanno diversi livelli di “privilegi”.
In questo modo è possibile avere sempre il pieno controllo su chi ha accesso a determinate informazioni e aumentare quindi la sicurezza dei dati. Tuttavia, se il personale non attua una corretta gestione delle password e magari le scrive o le comunica a terzi, il rischio di incorrere in una minaccia è molto alto.
Solitamente, se si notano modifiche non autorizzate ai documenti, file che cambiano di posizione o invii sospetti di mail, il problema alla base potrebbe essere proprio un furto di password. A meno che la policy sulla sicurezza aziendale non dica di agire diversamente, in situazione come quella appena descritta conviene cambiare la parola chiave, anche se il furto di password è solamente sospettato.
Modificare le password è sempre una sicurezza in più e vale anche come regola generale: affinché una password possa essere definita “sicura”, non dovrebbe essere utilizzata per un periodo di tempo eccessivamente prolungato, ad esempio per anni!
Sei mesi sono un ottimo compromesso: richiedere un cambio password più frequente potrebbe risultare di difficile attuazione, mentre una scadenza semestrale non comporta uno sforzo operativo eccessivo. La password va inoltre cambiata nel caso di un primo accesso agli account con credenziali temporanee o fornite da terzi.
Oltre a questa prima regola legata alla “scadenza” di una parola chiave, quali sono le altre accortezze da tenere a mente quando si imposta una password aziendale? Ne parliamo nel prossimo paragrafo.
Come scegliere una password aziendale sicura
Utilizzare delle password sicure è una pratica che dovrebbe essere consolidata non solo in azienda, ma anche nella propria vita privata. Un po’ per pigrizia e un po’ per mancanza di informazioni corrette sull’argomento, molte volte si scelgono password davvero vulnerabili e facilmente identificabili da terzi.
In azienda, utilizzare parole chiave semplici significa lasciare socchiusa una porta che, se varcata da persone con le intenzioni sbagliate, potrebbe portare a conseguenze disastrose. Quando si imposta una password è quindi buona prassi assicurarsi che questa presenti:
- una lunghezza adeguata;
- contenga caratteri alfanumerici e speciali;
- eviti l’utilizzo di parole di uso comune o correlate in qualche modo all’azienda.
Una password deve avere una lunghezza minima di 8 caratteri. Più i caratteri aumentano, più è sicura: per questo si consiglia di inventarsi parole chiave che abbiano almeno 15 caratteri alfanumerici. Ancora meglio se si includono anche quelli speciali (trattini, segni di interpunzione, asterischi ecc.), che riescono a rendere la password ancora più indecifrabile.
Se diventa difficile inventare nuove parole o combinazioni originali, il nostro consiglio è quello di avere uno schema da seguire per elaborare le parole chiave. Per le password più importanti, il criterio alla base della loro creazione sarà più difficile da individuare, mentre diventa man mano più intuibile per le password meno a rischio.
Quando neanche una password “forte” è sufficiente, perché i dati da proteggere sono estremamente delicati, si può optare per un sistema di autenticazione a due fattori: per i soggetti terzi che hanno intenzione di violare la privacy aziendale, sarà molto più difficile riuscire a intrufolarsi.
Dopo aver scelto accuratamente delle password sicure, è importante capire come gestirle per proteggerle da occhi indiscreti. Ne parliamo nel prossimo paragrafo.
Gestire le password aziendali: i nostri consigli
Si possono creare le password più lunghe e complesse di sempre ma questo da solo non basta per salvaguardare la privacy dei processi e delle informazioni aziendali. Se le credenziali di accesso vengono comunicate erroneamente a terzi o vengono trascritte in luoghi – virtuali e non, poco sicuri, è facile che qualche malintenzionato possa riuscire ad accedere agli account.
Per evitare di incorrere in simili problemi, è importantissimo lavorare sulla gestione delle password in azienda. Questo non vale soltanto per gli imprenditori, ma anche per i singoli collaboratori, che devono essere adeguatamente formati per evitare che una loro innocente disattenzione si trasformi in un danno più grave per l’impresa.
Come organizzare la gestione delle password in un contesto aziendale?
- Condividere le password solo con chi le necessita;
- Conservarle in sicurezza;
- Modificarle di frequente.
Sul primo punto, possiamo semplificare dicendo che non è necessario che “tutti conoscano tutto” ma vanno condivise le password più importanti soltanto con chi le utilizza e con chi ha maggiori responsabilità.
Le password non vanno mai salvate sul pc né bisogna memorizzare le credenziali di accesso. Il computer potrebbe essere rubato, essere oggetto di un attacco hacker o utilizzato anche solo temporaneamente da terze persone. È quindi importante disattivare sempre l’opzione di salvataggio automatico delle credenziali.
È bene affidarsi a software sviluppati in maniera specifica per la gestione delle password, che ne garantiscono la sicurezza e la corretta organizzazione. Ce ne sono di diverse tipologie, dai tool gratuiti a quelli a pagamento, che possono essere acquistati dopo un periodo di prova.
Infine, come abbiamo già detto, è buona norma modificare le password spesso, idealmente ogni sei mesi, per renderle ancora più sicure e meno vulnerabili.
Se hai dubbi e domande su come gestire le password in azienda o sospetti che terze persone abbiano avuto accesso ad alcune credenziali, mettiti in contatto con professionisti nel settore della cyber security.