Tratto dallo speciale:

Quanti pericoli dalla gestione superficiale delle password

di Giuseppe Goglio

Pubblicato 12 Febbraio 2008
Aggiornato 12 Febbraio 2018 20:49

logo PMI+ logo PMI+

Si è parlato tanto nei giorni scorsi di una notizia che ha destato molto scalpore: l’ingente perdita causata da un dipendente ai danni della banca francese Société Générale. Sotto i riflettori è andato soprattutto l’aspetto umano della vicenda, oltre naturalmente a quello economico.

Eppure questa storia ha qualcosa da insegnare anche a chi si occupa di IT, sia dal punto di vista dell’amministrazione sia per quanto riguarda gli utenti e la relativa formazione.

Come riporta infatti il sito di Infoworld, a giudizio degli analisti, alla base dell’operazione non c’è tanto la capacità  di approfittare di una falla nel sistema IT, ma piuttosto una gestione approssimativa dei sistemi stessi.

Sotto accusa, in modo particolare, la modalità  d’uso che l’istituto di credito ha fatto delle password. Secondo quanto dichiarato dalla banca, una delle ragioni principali per le quali Jerome Kerviel è riuscito a condurre l’operazione è il fatto che si trovava in possesso di password che non erano di sua competenza.

Il problema non è nuovo, e noi stessi ne abbiamo parlato più volte. Ma da quanto poco se ne sente parlare, non sembra preoccupare più di tanto anche le aziende in Italia. Quanti in realtà  si preoccupano di seguire con attenzione il ciclo di vita delle password?

Personalmente mi è capitato di trovarmi in situazioni dove per l’accesso a sistemi aziendali o a Intranet fosse sì richiesto di modificare la propria chiave d’accesso ogni 3 mesi, ma dove in compenso, una volta terminato il rapporto di lavoro, l’ultima password fosse lasciata attiva fino allo scadere dei 90 giorni.

Eppure, il momento che un dipendente passa a una mansione diversa, quando non addirittura a una ditta diversa, è il più delicato per quanto riguarda la sicurezza. Se il rapporto non si è chiuso in modo amichevole, il pericolo di “ritorsioni” è decisamente elevato.

Un altro aspetto non meno importante è la diversificazione degli accessi. Molto spesso, si usa attribuire password per accedere alle risorse punto e basta. Detto in termini un po’ più tecnici, in pratica, si trascurano troppo la definizione dei profili con le relative classi di privilegi e le policy per l’accesso ai dati. È la conclusione alla quale è arrivato Ian Walden, docente di legge in informazione e comunicazione presso la Queen Mary, University di Londra.

Una politica efficiente nella gestione delle password si fonda però anche su un altro importante presupposto: la conoscenza da parte dell’IT dell’intera organizzazione aziendale e dei relativi rischi. Solo in questo modo infatti, è possibile stabilire con precisione chi può fare cosa.

Ma qui, si ricade in un problema storico: i rapporti tra componente business e responsabili IT della stessa azienda, che spesso si incontrano (o meglio dire si scontrano) solo quando si tratta di parlare di budget di spesa o di qualità  del servizio.