GARANTE PRIVACYGDPRPasswordPUBBLICAZIONI“World Password Day: anche Tu usi la data di nascita come password?”

5 Maggio 20220

Nella giornata mondiale dedicata alla diffusione delle buone tecniche da impiegare per proteggere i propri account siamo a ricordare che l’Azienda o l’ente pubblico-privato (avvalendosi anche del proprio Amministratore di Sistema) è tenuto ad implementare alcuni meccanismi che permettono di aiutare e supportare un collaboratore o una collaboratrice ad una corretta gestione delle sue password.

 

Le password

Le password sono un metodo di autenticazione assegnato dall’Azienda o dall’ente pubblico-privato a un collaboratore o collaboratrice per garantire l’accesso protetto – tramite un Device assegnato – ad uno strumento hardware oppure ad un applicativo software.

La principale caratteristica di una password è la segretezza. La divulgazione delle proprie password o la trascuratezza nella loro conservazione può causare gravi danni alla struttura, ai colleghi e alle colleghe nonché al proprio utente. È buona norma evitare di memorizzare la password su supporti facilmente intercettabili da altre persone.

L’Azienda o l’ente pubblico-privato (avvalendosi del proprio Amministratore di Sistema[1]) è tenuto ad implementare alcuni meccanismi che permettono di aiutare e supportare un collaboratore o una collaboratrice ad una corretta gestione delle sue password. Per quanto riguarda le password di accesso al dominio (ove previsto), dovrebbe essere in funzione un sistema automatico di richiesta di aggiornamento delle stesse, impostato dall’Azienda o dall’ente pubblico-privato secondo il livello di sicurezza richiesto e, comunque, in linea con quanto richiesto dalla valutazione dei rischi effettuata dall’azienda in base alle richieste del GDPR 2016/679.

Nel tempo, anche la password più sicura perde la sua segretezza. Per questo motivo è buona norma cambiarle con una certa frequenza. Le password che non vengono utilizzate da parte degli incaricati per un periodo superiore ai sei mesi dovrebbero essere disattivate dall’Azienda

In qualsiasi momento l’Azienda o l’ente pubblico-privato dovrebbe poter riservare il diritto di revocare a un collaboratore o collaboratrice il permesso di accedere ad un sistema hardware o software a cui era precedentemente autorizzato/a, rimuovendo user ID o modificando/cancellando la password ad esso associata.

[1] Si applicano in tal senso le disposizioni del Provvedimento dell’Autorità GPDP recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) e ss.mm.

 

Regole per la corretta gestione delle password

Al fine di gestire le proprie password in maniera corretta e sicura, il collaboratore o la collaboratrice dovrebbe rispettare le regole che vengono di seguito riportate a titolo esemplificativo e non esaustivo.

 

La determinazione delle sanzioni pecuniarie

Rilevata la violazione degli artt. 5 e 32 del GDPR 2016/679, il Garante ha dichiarato l’illiceità del trattamento di dati personali effettuato dalla Società Med Store Saronno s.r.l. Inoltre ha ordinato alla medesima di pagare la somma di € 7.000,00 a titolo di sanzione amministrativa pecuniaria per la violazione dei dati personali.

1.            Le password sono assolutamente personali e non vanno mai comunicate ad altri.
2.            Occorre cambiare immediatamente una password non appena si abbia alcun dubbio che sia diventata poco “sicura”.
3.            Le password devono essere lunghe almeno 8 caratteri e devono contenere anche lettere maiuscole, caratteri speciali e numeri.
4.            Le password non devono essere memorizzate su alcun tipo di supporto (es. Post-It).
5.            Le password devono essere sostituite almeno nei tempi indicati dalla normativa, a prescindere dall’esistenza di un sistema automatico di richiesta di aggiornamento password.
6.            Evitare di digitare la propria password in presenza di altri soggetti che possano vedere la tastiera, anche se sono collaboratori o dipendenti della stessa struttura.

L’Azienda o l’ente pubblico-privato può implementare meccanismi per bloccare l’accesso del collaboratore qualora superi un numero di tentativi di accessi erronei. Questa viene considerata come una misura di sicurezza contro possibili attacchi al sistema

Divieto di uso di password

Al fine di una corretta gestione delle password, l’Azienda o l’ente pubblico-privato (avvalendosi del proprio Amministratore di Sistema) dovrebbe vietare l’utilizzo di certe password, in particolare quelle contenenti:

1.            Nome, cognome (o parti di essi) dell’utente.
2.            Username assegnato.
3.            Indirizzo di posta elettronica (e-mail).
4.            Date, mesi dell’anno e giorni della settimana (in italiano o in altre lingue).
5.            Parole di facile intuizione (es. pippo, security, radar).
6.            Password già utilizzata in precedenza.

Esempi di password non ammesse

La password ideale dev’essere complessa, senza alcun riferimento e facile da ricordare. Una buona tecnica è usare sequenze di caratteri prive di senso evidente, ma con singoli caratteri che formano una frase facile da memorizzare. Di seguito alcuni esempi di password assolutamente da evitare:

1.            Se Username = “mariorossi”, password = “mario” o “mariorossi”.
2.            Nome della moglie/marito, fidanzato/a, figli, anche a rovescio
3.            La propria data di nascita o quella del coniuge.
4.            Targa della propria autovettura.
5.            Numero di telefono proprio o del coniuge.
6.            Parole di facile intuizione (es. pippo, security, radar).

La password nei sistemi

Ogni collaboratore o collaboratrice dovrebbe avere la possibilità di variare la propria password di accesso a qualsiasi sistema aziendale in modo autonomo, qualora il sistema in questione metta a disposizione degli utenti una funzionalità di questo tipo (“Change password”) facendone richiesta al Titolare. La password può essere sostituita dall’Azienda o dall’ente pubblico-privato, in particolare quando il collaboratore o collaboratrice l’abbia dimenticata.

 

Chiavi crittografiche

Eventuali chiavi crittografiche nelle disponibilità dell’Azienda o dell’ente pubblico-privato, devono essere in possesso solo della Direzione. Solo la Direzione, qualora lo ritenga opportuno, potrà delegare le stesse al personale autorizzato o ai responsabili esterni nominati in tal senso.

 

Audit delle password

Nell’ambito delle attività riguardanti la tutela della sicurezza dei beni e dell’infrastruttura tecnologica, l’Azienda o l’ente pubblico-privato dovrebbe effettuare analisi periodiche sulle password dei propri collaboratori e collaboratrici al fine di verificarne la solidità, le policy di gestione e la durata, informandone preventivamente agli interessati e interessate. Nel caso in cui l’analisi periodica abbia, tra gli esiti possibili, la decodifica della password, questa verrà bloccata e all’incaricato/a richiesto di cambiarla. Tale risultanza potrebbe dar luogo a provvedimenti disciplinari secondo quanto previsto dal CCNL adottato dall’Azienda.

*I diritti delle immagini appartengono ai rispettivi proprietari.

Hai dubbi in merito? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà aziendale.

Contattaci

Leave a Reply

Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.
AboutContatti
Siamo qui per te
infoSede legale
La nostra Sede
Rimani in contatto con noiSocial links
Ti terremo aggiornato su tutte le novità del mondo compliance.

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita

© 2020 Renorm – Tutti i diritti riservati – Powered by Italian Alchemy and Webita