Condividere le password sul posto di lavoro è una pratica comune. Secondo il nostro Workplace Password Malpractice Report, il 46% dei dipendenti negli Stati Uniti condivide le password lavorative per gli account che vengono utilizzati da più colleghi. Più di un terzo (34%) condivide le password con i colleghi dello stesso team, il 32% condivide le password con i manager, e il 19% condivide le password con i dirigenti dell’azienda.
Tuttavia, la condivisione delle password può essere molto rischiosa se non è fatta in modo sicuro. Una password che cade nelle mani sbagliate può provocare un attacco, una violazione dei dati, oppure l’organizzazione può risultare non conforme poichè parti non autorizzate hanno visto dati protetti. Ecco 4 regole per garantire che la vostra organizzazione sia impegnata in una condivisione sicura delle password.
- Evitare le password condivise quando possibile
La condivisione delle password dovrebbe essere l’eccezione, non la regola. Idealmente, tutti i dipendenti dovrebbero avere le proprie credenziali di accesso uniche per ogni servizio e applicazione, in quanto ciò semplifica il controllo degli accessi e consente agli amministratori IT di applicare politiche di sicurezza granulari a livello di utente. Evitare che i dipendenti condividano le password per le risorse comuni a meno che non sia assolutamente necessario.
- Se i dipendenti devono condividere le password, assicurarsi che sia fatto in modo sicuro
A volte, non è semplicemente realistico dare a tutti i dipendenti un login separato per una risorsa condivisa. In questi casi, è necessario adottare misure di sicurezza per garantire che le password siano condivise in modo sicuro e solo con le parti autorizzate. In molte organizzazioni, questo non accade. Il nostro studio ha scoperto che il 62% dei dipendenti statunitensi ha condiviso una password legata al lavoro attraverso un messaggio di testo o email non crittografato, che potrebbe essere intercettato dai criminali informatici.
Oltre a causare problemi di sicurezza, la condivisione delle password tramite email o messaggi è terribilmente inefficiente. Le email e i messaggi si perdono, e i dipendenti sono costretti ad aprire dei ticket all’help desk. Se l’organizzazione ha bisogno di cambiare la password, gli amministratori IT devono notificare individualmente il cambiamento ad ogni dipendente interessato. Devono anche assicurarsi che ogni nuovo assunto riceva le password condivise di cui ha bisogno per fare il proprio lavoro.
Il modo più sicuro ed efficiente per fare in modo che i dipendenti condividano le password è quello di implementare una piattaforma di gestione delle password aziendali come Keeper, che consente agli amministratori IT di impostare cartelle condivise per i singoli gruppi, come classificazioni di lavoro o team di progetto, quindi concedere ai singoli utenti l’accesso a quella cartella.
Nel frattempo, i dipendenti possono accedere facilmente alle loro password condivise – e a tutte le altre password legate al lavoro – tramite Keeper, al quale possono accedere da qualsiasi dispositivo e con qualsiasi sistema operativo. Non perderanno mai più traccia di una password, e nel caso in cui un amministratore IT modifichi una password condivisa, la modifica si riflette immediatamente nella loro cartella di Keeper.
- Resettare le password condivise ogni volta che qualcuno lascia l’azienda
Uno dei risultati più preoccupanti del nostro report è che il 32% dei dipendenti statunitensi ha avuto accesso a un account online appartenente a un precedente datore di lavoro, il che indica che molte organizzazioni non disattivano gli account, o cambiano le password condivise, quando i dipendenti lasciano l’azienda.
Indipendentemente dalla situazione in cui un dipendente lascia l’azienda, gli amministratori IT dovrebbero immediatamente disabilitare tutti gli account personali e resettare qualsiasi password condivisa a cui il dipendente aveva accesso. Questo è un altro compito che è notevolmente semplificato quando si utilizza una piattaforma di gestione delle password aziendali come Keeper. Keeper permette agli amministratori di disabilitare gli account e di resettare le password condivise in pochi minuti. Inoltre, gli amministratori hanno la possibilità di salvare l’account Keeper di un ex dipendente per trasferirlo successivamente al suo successore.
- Non lesinare sulle misure di sicurezza per le password condivise
Le password condivise dovrebbero seguire le stesse regole di sicurezza di tutte le altre password aziendali.
Le password devono essere forti, costituite da una stringa casuale di lettere maiuscole e minuscole, numeri e caratteri speciali. Questa stringa dovrebbe essere lunga almeno otto caratteri, preferibilmente più lunga, e non contenere parole del dizionario.
Non riutilizzare mai le password tra gli account. Date ad ogni account condiviso una password unica.
Abilitate l’autenticazione a più fattori (2FA) su tutti gli account che la supportano. Anche una password forte e unica può essere compromessa, ma con 2FA in atto, i criminali informatici non saranno in grado di accedere all’account senza il secondo fattore.
Keeper, la piattaforma zero-knowledge di crittografia e sicurezza delle password di livello enterprise offre agli amministratori IT una visibilità completa sulle pratiche relative alle password dei dipendenti, consentendo loro di monitorare l’uso delle stesse e di applicare le politiche di sicurezza delle password in tutta l’organizzazione, comprese password forti e uniche e l’autenticazione a più fattori (2FA). Keeper richiede solo pochi minuti per l’implementazione, ha bisogno di una gestione minima e si adatta alle esigenze di organizzazioni di qualsiasi dimensione.
Fonte: Keeper Security