GDPR e autenticazione a due fattori
Come sono le password utilizzate dai vostri dipendenti? Deboli o forti? Le password proteggono l'accesso a molte reti aziendali, ai dati sensibili e a quelli personali. Purtroppo continuano a essere uno dei fattori più critici nelle fughe di dati. Questo perché l'elemento debole è costituito dalle persone. Ma come mai nemmeno le politiche di sicurezza più severe hanno effetto?
I sondaggi parlano chiaro: anche dopo anni di educazione alla sicurezza, continuano a essere utilizzate password del tipo giovanna123, giuseppe321, 123456 ecc. E non è nemmeno da escludere che ancora oggi qualcuno usi "pippo" come password, anche solo per farsi due risate. Ma non c'è nulla da ridere, anzi. Un dipendente che usasse una password del genere non solo avrebbe un pessimo senso dell'umorismo, ma anche poco buonsenso perché proprio questo tipo di password rappresenta l'elemento più vulnerabile nella sicurezza informatica di un’azienda. I dipendenti che possono scegliere liberamente le proprie password per l’accesso alla rete aziendale spesso non si rendono conto delle conseguenze di una password debole per tutta l’azienda. Questo è particolarmente grave dopo l'entrata in vigore del GDPR, in base al quale una protezione dei dati personali insufficiente è soggetta a sanzioni economiche e può costare all'azienda decine di milioni di euro. Per questo motivo alcune società non lasciano nulla al caso e obbligano i dipendenti a creare le password in base a regole chiare, come ad esempio una lunghezza minima, presenza sia di maiuscole che minuscole, numeri e caratteri speciali. Le politiche di sicurezza di molte aziende obbligano i dipendenti a modificare le password periodicamente, ad esempio ogni due o tre mesi. Il risultato è che i dipendenti, per facilitarsi la vita, scrivono le password su Post-it sul bordo dello schermo o sui portatili aziendali. Ogni dipendente riduce il rischio di dimenticarsi le password con metodi diversi. È davvero sorprendente osservare come questi metodi, a prima vista casuali e creativi, siano alla fine più o meno gli stessi.
Le statistiche concordano sul fatto che uno dei fattori più critici nelle fughe di dati nelle aziende è costituito dalle persone. “La causa più frequente di fuga di dati è l'errore umano”, dice lo studio Cost of Data Breach realizzato da Ponemon Institute. Secondo la decima edizione del rapporto Data Breach Investigations Report, diffuso nel 2017 da Verizon, "l'81% degli attacchi degli hacker finalizzati al furto di dati ha sfruttato una password rubata o debole. Come porre rimedio? Le banche ormai non corrono più i rischi legati al furto di password dei propri clienti. Obbligano infatti all'utilizzo dell’autenticazione a due fattori, tramite token hardware o SMS, per proteggere i soldi dei propri clienti da chi è riuscito a ottenere i loro dati di accesso, anche con sistemi molto elaborati. La doppia verifica, o meglio l’autenticazione a due fattori, è da anni riconosciuta come tecnica assodata che ha decisamente azzerato l'errore umano come causa di accessi non autorizzati alla rete aziendale utilizzando password trafugate, deboli o forti che siano. L'autenticazione a due fattori è sottoposta a uno sviluppo costante, in modo da pesare il meno possibile sull’utente, ma allo stesso tempo per obbligarlo a un comportamento sicuro.
ESET Secure Authentication è la soluzione cui semplicità di utilizzo è modellata su quella degli antivirus “installa e dimenticatene”. Ma come funziona ESET Secure Authentication? Ogni utente che accede alla rete aziendale utilizza come prima cosa il primo fattore di protezione, ovvero la propria password. Poi tocca al secondo fattore di autenticazione, che può variare in base alle scelte di politica aziendale. Il metodo più semplice comporta l’utilizzo di un dispositivo già in possesso del dipendente (smartphone o smartwatch), ma si può eventualmente utilizzare un token aziendale o altro hardware che confermi la sua identità. Nel caso in cui venga utilizzato uno smartphone o uno smartwatch, l’applicazione ESET Secure Authentication invia una notifica all’utente che deve confermare con un semplice tocco. In questo modo può accedere alla rete aziendale. Grazie alla tecnologia di notifica Push Authentication, non è più necessario trascrivere i codici univoci ricevuti. Qualora la vostra politica aziendale lo richieda, però, anche questa forma meno sofisticata è ancora disponibile. L’utente riceve l’applicazione ESET Secure Authentication automaticamente tramite un SMS di notifica da ESET oppure può scaricarla da Google Play, App Store o Windows Store (in base al sistema operativo del dispositivo mobile).L’autenticazione a due fattori di ESET non comporta alcun costo ulteriore per l'aggiunta di un nuovo hardware e i dati, inclusi quelli personali, rimangono al sicuro.
Che cosa dice il Regolamento Europeo GDPR? La risposta è nei fascicoli redatti dall’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione (ENISA): “L’autenticazione a due fattori (autenticazione forte) dovrebbe preferibilmente essere implementata per accedere ai sistemi che elaborano i dati personali”.Per maggiori informazioni, consultare: https://www.eset.com/it/aziende/endpoint-security/secure-authentication/