Purtroppo la cronaca recente ha evidenziato numerosi casi in cui una pessima gestione delle password ha provocato danni aziendali non indifferenti.
Danni di carattere economico, quando lo smarrimento o il furto di una password si accosta allo spionaggio industriale, oppure d’immagine, quando vengono resi noti dati personali relativi a clienti e cittadini.
Il problema è la mancanza di consapevolezza sui rischi derivanti da un cattivo uso delle password. Spesso, infatti, si tratta di errori banali come la scelta di una password estremamente debole oppure quella di una risposta banale alla domanda di recupero della password stessa.
Per questo, per mezzo del sito eWeek, Bill Carey ha voluto indicare un percorso di cinque passi attraverso il quale le aziende possono diffondere la cultura della sicurezza ai propri dipendenti.
In estrema sintesi le linee guida previste da Carey prevedono:
- l’assegnazione di un ruolo aziendale di ricercatore e diffusore di articoli sui rischi legati alla sicurezza. Il dipendente dovrebbe navigare alla rete alla ricerca di informazioni utili all’accrescimento della cultura della sicurezza e della consapevolezza del rischio potenziale di una cattiva gestione delle password;
- l’assegnazione al reparto IT del compito di rispondere in modo aperto alle domande degli impiegati sul tema della sicurezza online. Ogni domanda è lecita e la curiosità potrebbe giocare a favore di un maggiore livello di attenzione;
- l’acquisto di un software di gestione delle password che aiuti i dipendenti a memorizzare e utilizzare con cure le password dei loro account privati. Questo meccanismo, anche se potrebbe essere un’arma a doppio taglio, permetterebbe di innalzare il livello di complessità delle password utilizzate;
- gli ultimi due passi riguardano la comunicazione di informazioni e di esperienze tramite incontri ed email. Nello specifico al quarto step si suggeriscono incontri (seguendo l’indicazione originale si tratta di brown-bag lunh) quadrimestrali o anche semestrali nei quali enfatizzare gli aspetti di sicurezza aziendali e personali;
- All’ultimo step invece il consiglio è quello di far circolare semplici memo contenenti le indicazioni delle migliori policy di gestione delle password, possibilmente espresse per punti per facilitare la lettura e l’apprendimento.
