Controllo 8:
Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
Dotare ogni utente di un accesso dedicato (ossia personale) è una pratica utile per distinguere le azioni compiute da ogni operatore, non tanto o non solo per individuare le responsabilità, ma per capire la genesi del problema/incidente.
Disporre di accessi personalizzati consente di minimizzare le informazioni a cui ogni utente ha accesso, vedi il #controllo9.
Inoltre, se l’utente ha la necessità di collegarsi fuori dall’azienda, perché in smart working, è necessario che si utilizzi una connessione protetta tramite VPN, per tutelare le comunicazioni e i dati aziendali da intromissioni. Il collegamento VPN crea un canale di comunicazione criptato, quindi non visibile e comprensibile dall’esterno che garantisce una trasmissione sicura dei dati.
Torniamo con quest’ultimo punto ad una domanda rimasta quasi senza risposta, relativa alle minacce interne. Una di queste può essere considerata anche il dipendente che ha cessato la propria attività all’interno dell’azienda. Il Garante per la Protezione dei Dati con il provvedimento n.216 del 4 dicembre 2019 è voluto intervenire sottolineando l’obbligo di cancellare gli account di posta elettronica a seguito della cessazione del rapporto di lavoro. Noi aggiungiamo anche la necessità di modificare tutti gli accessi a tutti gli account ed abbonamenti che erano in suo uso.
Probabilmente non è la soluzione al dipendente infedele, in quanto prima di andar via, se ha intenzione di danneggiare l’impresa, avrà già trovato il modo dall’interno per estrapolare dati, modificarli o inviarli a soggetti non autorizzati.
Di seguito uno stralcio di regolamento informatico
- Assegnazione degli account e gestione delle password
- Gestione e utilizzo delle password
- Cessazione degli Account
Creazione e gestione degli Account
Un account Utente consente l’autenticazione dell’utilizzatore e di conseguenza ne disciplina l’accesso alle risorse informatiche aziendali, per singola postazione lavorativa.
- Gli account utenti vengono creati dagli amministratori di sistema e sono personali, ovvero associati univocamente alla persona assegnataria.
- L’accesso al proprio account avviene tramite l’utilizzo delle “credenziali di autentica- zione” (es. “Username” e “Password”), comunicate all’Utente dall’amministratore di sistema, che le genera, attraverso modalità che ne garantiscano la segretezza (Es: busta chiusa e sigillata).
- Le credenziali di autenticazioni costituiscono dati aziendali da mantenere strettamente riservati e non è consentito comunicarne gli estremi a terzi (seppur soggetti in posizione apicale all’interno dell’Ente).
- Se l’Utente ha il sospetto che le proprie credenziali di autenticazione siano state identificate da qualcuno, o il sospetto di un utilizzo non autorizzato del proprio account e delle risorse a questo associate, lo stesso è tenuto a modificare immediatamente la password e/o a segnalare la violazione all’amministratore del sistema nonché al Responsabile privacy di riferimento.
- Ogni Utente è responsabile dell’utilizzo del proprio account Utente.
- Si ricorda che in caso di assenza improvvisa o prolungata del lavoratore e per improrogabili necessità legate all’attività lavorativa, per le esigenze produttive aziendali o per la sicurezza ed operatività delle risorse informatiche dell’Ente, lo stesso si riserva la facoltà di accedere a qualsiasi dotazione e/o apparato assegnato in uso all’Utente per mezzo dell’intervento dell’Amministratore di sistema.
- Si ricorda, infine, che i beni e la strumentazione informatica oggetto del presente disciplinare interno rimane di esclusivo dominio dell’Ente, il quale, in virtù dei rapporti instaurati con gli utenti, ne disciplina l’affidamento.
Dopo la prima comunicazione delle credenziali di autenticazione da parte dell’amministratore di sistema, l’Utente ha il compito di modificare, al suo primo utilizzo, la propria password, procedendo allo stesso modo ogni 6 mesi (nel caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni 3 mesi).
L’Utente, nel definire il valore della password, deve rispettare le seguenti regole:
- utilizzare almeno 12 caratteri alfanumerici, inclusi i caratteri speciali (#, %, ecc.), di cui almeno uno numerico;
- la password deve contenere almeno un carattere maiuscolo, un carattere minuscolo, un numero o un carattere non alfanumerico tipo “@#$%”;
- evitare di includere parti del nome, cognome e/o comunque elementi a lui agevolmente riconducibili;
- evitare l’utilizzo di password comuni e/o prevedibili;
- proteggere con la massima cura la riservatezza della password ed utilizzarla entro i limiti di autorizzazione concessi
Si ricorda che scrivere la password su post-it o altri supporti non è conforme alla normativa e costituisce violazione del presente disciplinare interno.
In caso di interruzione del rapporto di lavoro con l’Utente, le credenziali di autenticazione di cui sopra verranno disabilitate entro un periodo massimo di 30 giorni da quella data; entro 6 mesi, invece, si disporrà la definitiva e totale cancellazione dell’account Utente.
Definire delle procedure e far firmare il disciplinare al momento della consegna dell’asset.
Avere una procedura che descrive cosa bisogna fare nel momento in cui viene inserito un nuovo lavoratore in azienda è una buona regola. Questa ci aiuterà a non dimenticare nulla e ad ottemperare a tutti i passaggi necessari per un corretto inserimento e mettere la persona nelle migliori condizioni di far bene e non sbagliare per ignoranza. Infatti, insieme alla procedura di inserimento (ma anche di cambio ruolo e dismissione), è bene dare al nuovo lavoratore le indicazioni di come l’asset (dispositivo e/o account di posta elettronica o altro accesso a sistemi informatici) deve essere utilizzato. Così facendo siamo sicuri che l’utente sarà correttamente e celermente informato di tutto quanto necessario per non incorrere in errori e non potrà affermare… “non lo sapevo perchè nessuno me lo ha detto”!
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#7 – Gestione password e account
Controllo 7 - Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). L'uso di password deboli La scelta delle...
#9 – Gestione password e account
Controllo 9: Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza, secondo il principio del privilegio minimo. Non tutti i dipendenti di un’azienda hanno le stesse responsabilità e non tutti devono necessariamente avere...
#10 – Formazione e consapevolezza
Controllo 10: Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc...). I vertici...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.