4 regole per una condivisione sicura delle password sul posto di lavoro

Condividere le password sul posto di lavoro è una pratica comune. Secondo il nostro Workplace Password Malpractice Report, il 46% dei dipendenti negli Stati Uniti condivide le password lavorative per gli account che vengono utilizzati da più colleghi. Più di un terzo (34%) condivide le password con i colleghi dello stesso team, il 32% condivide le password con i manager, e il 19% condivide le password con i dirigenti dell’azienda.

Tuttavia, la condivisione delle password può essere molto rischiosa se non è fatta in modo sicuro. Una password che cade nelle mani sbagliate può provocare un attacco, una violazione dei dati, oppure l’organizzazione può risultare non conforme poichè parti non autorizzate hanno visto dati protetti. Ecco 4 regole per garantire che la vostra organizzazione sia impegnata in una condivisione sicura delle password.

Evitare le password condivise quando possibile

La condivisione delle password dovrebbe essere l’eccezione, non la regola. Idealmente, tutti i dipendenti dovrebbero avere le proprie credenziali di accesso uniche per ogni servizio e applicazione, in quanto ciò semplifica il controllo degli accessi e consente agli amministratori IT di applicare politiche di sicurezza granulari a livello di utente. Evitare che i dipendenti condividano le password per le risorse comuni a meno che non sia assolutamente necessario.

Se i dipendenti devono condividere le password, assicurarsi che sia fatto in modo sicuro

A volte, non è semplicemente realistico dare a tutti i dipendenti un login separato per una risorsa condivisa. In questi casi, è necessario adottare misure di sicurezza per garantire che le password siano condivise in modo sicuro e solo con le parti autorizzate. In molte organizzazioni, questo non accade. Il nostro studio ha scoperto che il 62% dei dipendenti statunitensi ha condiviso una password legata al lavoro attraverso un messaggio di testo o email non crittografato, che potrebbe essere intercettato dai criminali informatici.

Oltre a causare problemi di sicurezza, la condivisione delle password tramite email o messaggi è terribilmente inefficiente. Le email e i messaggi si perdono, e i dipendenti sono costretti ad aprire dei ticket all’help desk. Se l’organizzazione ha bisogno di cambiare la password, gli amministratori IT devono notificare individualmente il cambiamento ad ogni dipendente interessato. Devono anche assicurarsi che ogni nuovo assunto riceva le password condivise di cui ha bisogno per fare il proprio lavoro.

Il modo più sicuro ed efficiente per fare in modo che i dipendenti condividano le password è quello di implementare una piattaforma di gestione delle password aziendali come Keeper, che consente agli amministratori IT di impostare cartelle condivise per i singoli gruppi, come classificazioni di lavoro o team di progetto, quindi concedere ai singoli utenti l’accesso a quella cartella.

Nel frattempo, i dipendenti possono accedere facilmente alle loro password condivise – e a tutte le altre password legate al lavoro – tramite Keeper, al quale possono accedere da qualsiasi dispositivo e con qualsiasi sistema operativo. Non perderanno mai più traccia di una password, e nel caso in cui un amministratore IT modifichi una password condivisa, la modifica si riflette immediatamente nella loro cartella di Keeper.

Resettare le password condivise ogni volta che qualcuno lascia l’azienda

Uno dei risultati più preoccupanti del nostro report è che il 32% dei dipendenti statunitensi ha avuto accesso a un account online appartenente a un precedente datore di lavoro, il che indica che molte organizzazioni non disattivano gli account, o cambiano le password condivise, quando i dipendenti lasciano l’azienda.

Indipendentemente dalla situazione in cui un dipendente lascia l’azienda, gli amministratori IT dovrebbero immediatamente disabilitare tutti gli account personali e resettare qualsiasi password condivisa a cui il dipendente aveva accesso. Questo è un altro compito che è notevolmente semplificato quando si utilizza una piattaforma di gestione delle password aziendali come Keeper. Keeper permette agli amministratori di disabilitare gli account e di resettare le password condivise in pochi minuti. Inoltre, gli amministratori hanno la possibilità di salvare l’account Keeper di un ex dipendente per trasferirlo successivamente al suo successore.

Non lesinare sulle misure di sicurezza per le password condivise

Le password condivise dovrebbero seguire le stesse regole di sicurezza di tutte le altre password aziendali.

Le password devono essere forti, costituite da una stringa casuale di lettere maiuscole e minuscole, numeri e caratteri speciali. Questa stringa dovrebbe essere lunga almeno otto caratteri, preferibilmente più lunga, e non contenere parole del dizionario.

Non riutilizzare mai le password tra gli account. Date ad ogni account condiviso una password unica.

Abilitate l’autenticazione a più fattori (2FA) su tutti gli account che la supportano. Anche una password forte e unica può essere compromessa, ma con 2FA in atto, i criminali informatici non saranno in grado di accedere all’account senza il secondo fattore.

Keeper, la piattaforma zero-knowledge di crittografia e sicurezza delle password di livello enterprise offre agli amministratori IT una visibilità completa sulle pratiche relative alle password dei dipendenti, consentendo loro di monitorare l’uso delle stesse e di applicare le politiche di sicurezza delle password in tutta l’organizzazione, comprese password forti e uniche e l’autenticazione a più fattori (2FA). Keeper richiede solo pochi minuti per l’implementazione, ha bisogno di una gestione minima e si adatta alle esigenze di organizzazioni di qualsiasi dimensione.

Fonte: Keeper Security

Il GDPR ha appena compiuto 3 anni. Perché le violazioni dei dati sono ancora così frequenti?

In questi giorni ricorre il terzo anniversario del General Data Protection Regulation (GDPR), che è probabilmente la legge sulla privacy e sulla sicurezza dei dati più ampia fino ad oggi. Qualsiasi organizzazione che lavora con individui o organizzazioni nell’Unione Europea deve rispettare il GDPR, anche se la società non ha una presenza fisica nell’UE.

Oltre a dare ai consumatori europei un maggiore controllo su come le organizzazioni possono utilizzare i loro dati personali, il GDPR impone alle società di integrare la sicurezza dei dati nei loro prodotti, policy, procedure e sistemi; ritiene le organizzazioni responsabili se uno dei loro partner o vendor subisce una violazione; e richiede di notificare una violazione alle autorità e ai clienti interessati entro 72 ore dal rilevamento.

Le organizzazioni che non rispettano il GDPR possono perdere molto; le autorità di protezione dei dati dell’UE possono imporre multe fino a 20 milioni di euro o sanzioni amministrative del 4% del fatturato globale annuo.

La scarsa sicurezza delle password è la causa della maggior parte delle violazioni

Al momento della sua implementazione, i sostenitori della privacy speravano che il GDPR avrebbe inaugurato una nuova era della privacy e della sicurezza dei dati, compresa una riduzione delle violazioni dei dati. Eppure, tre anni e milioni di euro di multe dopo, le violazioni dei dati sono ancora un evento quotidiano.

Una delle multe GDPR più alte fino ad oggi – 20 milioni di sterline (oltre 28 milioni di dollari) – è stata imposta a British Airways per una violazione del 2018 che ha compromesso i dati personali di oltre 429.000 clienti. Secondo l’Information Commissioner’s Office del Regno Unito, la violazione è stata causata da BA che non ha seguito le migliori pratiche di sicurezza di base, come limitare l’accesso alla rete degli utenti ai dati e ai sistemi sensibili e implementare l’autenticazione a due fattori (2FA).

British Airways è lontana dall’essere l’unica organizzazione con problemi di sicurezza delle password. Circa l’81% delle violazioni di dati sono dovute a password deboli o compromesse. Le credenziali compromesse giocano anche un ruolo importante in circa il 75% degli attacchi ransomware.

Proteggi la tua organizzazione da violazioni di dati e multe GDPR

Per aiutare a prevenire le violazioni dei dati e le sanzioni amministrative del GDPR, le società devono implementare un Enterprise Password Management (EPM) e istituire un’architettura di sicurezza zero-trust che verifichi tutti gli utenti e i dispositivi prima che siano autorizzati ad accedere alle risorse aziendali.

Il gestore di password zero-trust Keeper utilizza una crittografia e una struttura di segregazione unica dei dati. Keeper usa PBKDF2 per ricavare le chiavi di autenticazione basate sulla Master Password di ciascun utente, quindi genera, localmente sul dispositivo, chiavi crittografate AES-256 a livello di record individuale, garantendo che solo l’utente possa accedere al proprio vault di Keeper.

Inoltre, Keeper fornisce alle società la visibilità e il controllo totale sulle pratiche relative alle password dei dipendenti, per implementare con successo un modello di sicurezza zero-trust. Gli amministratori IT possono monitorare e controllare l’uso delle password nell’intera organizzazione, e applicare regole di sicurezza come password forti e uniche, 2FA, controllo dell’accesso basato sui ruoli (RBAC) e accesso con il minor numero di privilegi. Keeper ha anche i seguenti vantaggi:

Facilità d’uso sia per gli amministratori IT che per gli utenti finali; implementazione rapida su tutti i dispositivi senza costi iniziali di apparecchiature o installazione.
Onboarding personalizzato, supporto e formazione 24/7 da parte di uno specialista .
Supporto auditing, segnalazione di eventi e standard di conformità, inclusi HIPAA, DPA, FINRA e GDPR.
Facile integrazione con SSO; nessun bisogno di login separati.
Archiviazione sicura di file, documenti, foto e video sensibili su un numero illimitato di dispositivi.
Archivi privati per ogni dipendente, oltre a cartelle condivise, sottocartelle e password per i team.
Flessibilità totale: Keeper si adatta alle dimensioni di qualsiasi azienda.

Keeper richiede solo poche ore per l’implementazione, ha bisogno di una gestione minima e si adatta alle esigenze di organizzazioni di qualsiasi dimensione.

Fonte: Keeper Security