Cyber hygiene: igiene informatica per l’immunità nelle aziende

Educazione digitale. L’igiene informatica per una maggiore immunità dai rischi cyber in tutte le aziende. Ecco i consigli dell’Autorità Garante per la protezione dei dati.



Negli ultimi anni, l’idea di “Cyber hygiene” (igiene cibernetica) si sta diffondendo, grazie a diversi programmi statali di sensibilizzazione: l'assunto di base è che le buone pratiche di igiene informatica possano condurre ad una maggiore immunità in tutte le aziende – soprattutto in quelle medio piccole, cuore della nostra economia, e spesso sotto attacco – e, di conseguenza, approntare miglioramenti su tutta la linea del territorio nazionale.

Di recente l’Autorità Garante per la protezione dei dati personali ha pubblicato il nuovo vademecum con focus sul tema sicurezza dei dati, facente parte del programma divulgativo dell’Autorità per l’educazione digitale. 

Il documento si rivolge principalmente agli utenti dei sistemi, con l’obiettivo di portarli verso buone routine di creazione, gestione e conservazione delle parole chiave, per minimizzare i rischi cyber.

Cyber hygiene: cosa fare? Cominciamo dalla password

I consigli contenuti nella scheda divulgativa del Garante sono interessanti in quanto, in parte definiscono, ed in parte ribadiscono, alcuni criteri fondamentali per la determinazione delle parole chiave da utilizzare. 

Alcuni dei suggerimenti per “creare e gestire password a prova di privacy” seguono il percorso impostato a partire dal vecchio Allegato B) al Codice Privacy, mentre altri sono stati integrati in funzione dell’evoluzione tecnologica intercorsa in questi anni, e delle indicazioni di altre Autorità europee ed internazionali in materia di cybersecurity. 

Fra le buone prassi già conosciute, il Garante cita la lunghezza della password. 

Tale criterio si è confermato, negli ultimi anni, come fondamentale per garantire la sicurezza dei sistemi, tanto che il NIST (l’agenzia governativa statunitense per la gestione delle tecnologie) nelle Linee guida sull’identità digitale, da ultimo aggiornate a febbraio 2020, riporta: 

La lunghezza della password è risultata essere un fattore primario nel caratterizzare la forza della password. Le password troppo corte cedono agli attacchi di forza bruta e agli attacchi a dizionario che usano parole e password scelte comunemente. La lunghezza minima della password che dovrebbe essere richiesta dipende in larga misura dal modello di minaccia che viene affrontato”. 

Il Garante suggerisce almeno 15 caratteri (come minimo dovrebbe essere di 8) e, per evitare gli attacchi “a dizionario” citati anche dal NIST, consiglia di evitare parole intere di uso comune, in quanto riconosciute più facilmente dai software di password cracking che, invece di utilizzare il metodo della forza bruta (o attacco “brute force”, dove tutte le possibili password sono ricercate in maniera esaustiva), attaccano sulla base di parole ritenute più probabili e tipicamente contenute in una lista (detta, appunto, dizionario). 

Lunghezza e robustezza della password, la quale “deve contenere caratteri di almeno 4 diverse tipologie”, senza “riferimenti personali facili da indovinare”, sono criteri divenuti essenziali dato l’uso frequente di sistemi ad autenticazione unica (cd. “single sign-on”), che consentono agli utenti di effettuare un unico log-in per più sistemi, applicazioni o servizi. 

L’ENISA, Agenzia Europea in materia di cyber sicurezza, chiarisce che qualsiasi password di windows fino a 9 caratteri può essere decifrata in pochi secondi usando strumenti di dominio pubblico. Per questo è essenziale comporre parole chiave lunghe e non comuni, con il raccomandato ausilio di strumenti quali generatori o gestori di password.

Anche il cambiamento a cadenza periodica delle parole chiave continua ad essere una buona prassi, in particolare per i profili più importanti (fra questi il Garante cita gli account e-mail, oltre ad e-banking e social network). In azienda, la prassi del cambiamento periodico dovrebbe abbinarsi ad una verifica della sicurezza degli account rispetto agli esistenti data breaches: qualora l’indirizzo risulti violato (in quanto ricompreso nelle liste di breaches esistenti), a prescindere dal tempo trascorso dall’ultimo cambio password, è necessario provvedere immediatamente a sostituire la parola chiave. 

A tal fine, una valida soluzione può essere quella di allestire una procedura interna di verifica periodica, da affidare ad un soggetto autorizzato e debitamente istruito. Inoltre, considerando l’immediatezza e l’approccio grafico del nuovo vademecum, questo può anche essere direttamente diffuso all’interno della realtà aziendale, in modo da sensibilizzare il personale circa le migliori prassi comportamentali. 

PAROLA CHIAVE: CONSAPEVOLEZZA

Chiaramente, l’ideale sarebbe abbinare alla pubblicazione di documenti utili un più ampio processo formativo, che consenta effettivamente di accrescere la consapevolezza degli utenti. Secondo il Garante, infatti, “la prima linea di difesa dei nostri dati personali è sempre la consapevolezza su come gestiamo, conserviamo ed eventualmente diffondiamo le informazioni che ci riguardano”. 

La formazione, oltre a dare un’educazione base sulle corrette modalità di trattamento, dovrebbe poi svilupparsi toccando temi come la sicurezza delle informazioni (a salire: le migliori prassi, gli standard applicabili e le regole normative); i diritti e gli obblighi previsti dal GDPR e dalle altre principali fonti; le procedure aziendali interne.

Proprio queste ultime rivestono un ruolo determinante per prevenire il verificarsi di incidenti informatici. Alcune procedure sono auspicabili, nell’ottica di accountability del GDPR: una policy che definisca come agire in caso di breaches o violazioni del perimetro di sicurezza cibernetico, in modo da reagire prontamente e, se del caso, coinvolgere le Autorità competenti; una policy che determini i termini massimi di conservazione dei dati personali, in modo da garantire la pulizia degli archivi ed il rispetto del principio di “limitazione della conservazione” di cui all’art. 5 del GDPR. 

Altre procedure, invece, sono a tutti gli effetti richieste o necessarie. Pensiamo al regolamento sul corretto utilizzo degli strumenti aziendali o disciplinare interno: già le linee guida del Garante per posta elettronica e internet riportavano che “grava quindi sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli”). 

VERIFICA TU STESSO

La tua azienda ha sviluppato un piano formativo a step, che, partendo dalla normativa privacy, si focalizzi su adempimenti specifici e procedure interne?

La tua azienda ha sviluppato procedure interne per garantire la sicurezza delle informazioni e l’adeguamento al GDPR?

La tua azienda ha sviluppato procedure interne ad hoc per la gestione di dati, anche particolari, in contesti specifici o emergenziali (es. rilevazione temperatura corporea, verifica del Green Pass)?

La tua azienda ha applicato misure interne in grado di garantire la sicurezza delle informazioni e l’adeguamento al GDPR? Ancora, la tua azienda verifica periodicamente l’efficacia di queste misure?

Tutte questi elementi, se correttamente sviluppati e applicati, consentono di definire un approccio standard aziendale verso il trattamento dei dati ed il tema della sicurezza delle informazioni. Anche le pratiche di Cyber hygiene, partendo dal singolo utente, hanno ripercussioni su tutta la realtà aziendale, in quanto consentono di:

  1. Proteggere il perimetro informatico
  2. Proteggere la rete
  3. Proteggere i singoli dispositivi
  4. Usare il cloud in modo sicuro
  5. Proteggere tutta la catena di approvvigionamento

Ultimo ma non meno importante, consentono di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, di adempiere ad uno degli obblighi di cui all’art. 32 del GDPR).

Labor Project offre consulenza a 360 gradi: adeguarsi alla normativa in materia di protezione dei dati personali significa anche saper sviluppare procedure disegnate sul caso specifico o su una determinata realtà, che considerino i singoli utenti come tasselli fondamentali del quadro complessivo della sicurezza aziendale. Dai un’occhiata al catalogo dei nostri corsi o scrivici per avere maggiori informazioni

Al seguente link è disponibile il vademecum dell’Autorità Garante.


Se ti è piaciuto l'articolo condividi: