Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

La gestione password come esempio di cultura IT

11 mag , 2017 | 2 minuti

TOPICS

gestione password cultura it.jpg

Oggi ogni azienda ha la necessità di utilizzare una propria varietà di sistemi informativi, ai quali gli utenti accedono utilizzando credenziali dedicate.   

Gli esempi più tipici sono il controller di dominio, server di posta, CRM, ERP e interfacce Web-Based ma possono esserci anche applicazioni specifiche come quelle che controllano la produzione.

Se riflettiamo onestamente sui requisiti di riservatezza delle informazioni al loro interno, possiamo facilmente intuire l’importanza della cura con cui devono essere trattate le credenziali di accesso, in questo modo, ci è anche possibile valutare se all’ interno della nostra azienda gli utenti le utilizzano con l’attenzione che esse richiedono.

Senza girare più di tanto tra gli uffici sappiamo benissimo cosa troviamo:

  • Bassa complessità, password ovvie per essere ricordate facilmente;
  • Bassa diversificazione, password uguali per l’accesso a sistemi diversi;
  • Repository poco sicuri, agende, foglietti, post-it sul monitor, ecc.
  • Scarsa rotazione, modifiche minimali per essere ricordate

Che ci piaccia oppure no siamo umani e per questo rincorriamo la comodità in ogni cosa che facciamo, non è di certo un delitto ma stiamo parlando di un contesto delicato che invece dovrebbe essere gestito con cura.

Ci sono casi in cui certe leggerezze possono avere risvolti gravi e la gestione password è proprio uno di questi.

Allora perché permettere tutto questo?

Un IT Manager non deve essere “l’amico degli utenti” e non ha il compito di “farli contenti” ma deve mantenere in sicurezza i sistemi e garantire la disponibilità degli strumenti informatici necessari per lavorare in modo produttivo.

Se un dipendente in via licenziamento trova la password di Mario e ruba il database dei clienti per venderlo alla concorrenza, da responsabili della sicurezza possiamo rispondere che “Mario era comodo a tenere la password sul post-it ?”

Sul serio credete che questo non succeda?

Quale azienda vorrà essere vostra cliente se si viene a sapere?

I danni di un incidente IT sono estremamente elevati e quello di immagine è il più difficile da recuperare.

Ogni IT Manager valuta i rischi ai quali la propria infrastruttura è soggetta secondo una sensibilità personale, da chi molto incautamente ne fa solo una questione statistica del “non è mai successo niente”, fino a chi agisce secondo la vera cultura della sicurezza, che fa le cose “come devono essere fatte” ed è consapevole che tutto corrisponde ad un ritorno.

La verità è che quando un IT Manager riesce a vedere la sicurezza come un “valore” o un “asset” aziendale, anziché come un di cui legato alla sua posizione, riesce anche a trasmetterlo in azienda, sia alla direzione che ai colleghi, come un principio da seguire.

A questo punto il budget non è un problema perché sarà stato chiarito come e perché la sicurezza crei valore con un ritorno tangibile, per lo stesso motivo anche gli utenti si comporteranno diversamente perché saranno consapevoli, coinvolti e motivati ad esserne partecipi.

Un Manager è per definizione una persona che porta avanti i principi della sua mansione coinvolgendo tutta l’azienda altrimenti è solo il capo della propria area e se per risolvere problemi come la gestione delle password servono degli strumenti o della formazione, deve fare in modo di ottenerli.

Se avete bisogno di supporto potete averlo dai partner, non considerateli dei lupi che vogliono solo vendere perché le cose sono cambiate, vi possono dare tutto il supporto che vi serve per raccogliere i dati, le motivazioni e le analisi che vi sono necessarie per dimostrare in azienda il valore di ciò che volete introdurre.

Non fatene una questione di prezzo o statistica, non fatevi intrappolare dalla quotidianità, siate aperti agli stimoli che ricevete dall’ esterno, valutateli, cercate di capire, imparate dagli errori.

Essere professionisti nel campo dell’IT impone di non essere mai troppo sicuri delle proprie esperienze e statistiche ma di metterle sempre in dubbio, perché in questo settore le cose cambiano da un giorno all’altro.

Vieni a trovarci al nostro Workshop sul “Nuovo Regolamento Europeo in materia di protezione dei dati personali”, potrai capire come anche a livello legislativo si inizia a considerare un nuovo approccio alla sicurezza, la nuova visione è fatta di cultura, sensibilità e consapevolezza. Ti aspettiamo!

Cristiano Pastorello

DPO & Amazon Web Service Specialist
Scroll