POLITICA PER L’AUTENTICAZIONE E LA PASSWORD

POLITICA PER L’AUTENTICAZIONE E LA PASSWORD

1. Introduzione

Le password sono un aspetto importante della sicurezza informatica. Sono la prima linea di protezione per gli account utente. Una password scelta male può compromettere l’intera rete aziendale di Cubbit. Pertanto, tutti i dipendenti, collaboratori e consulenti di Cubbit, incluse le agenzie partner, i contraenti e i fornitori che hanno accesso ai sistemi di Cubbit, sono responsabili dell’adozione delle misure appropriate, come indicato di seguito, per selezionare, utilizzare e proteggere le proprie password.

2. Scopo

Lo scopo di questa politica è quello di stabilire uno standard per la gestione dell’autenticazione. Nel caso si tratti di accesso protetto esclusivamente da password, la creazione di password forti, la protezione di tali password e la frequenza delle modifiche in tutti i sistemi relativi alle Tecnologie dell’Informazione e della Comunicazione (ITC) di Cubbit .

3. Campo di applicazione  

Questa politica si applica a tutti i dipendenti, collaboratori, consulenti, appaltatori, fornitori e agenzie partner che:

  • sono responsabili di qualsiasi account o risorsa di rete (o di qualsiasi forma di accesso che supporti o richieda una password) su qualsiasi sistema che risieda in qualsiasi struttura di  Cubbit; 
  • devono accedere alla rete dati di Cubbit; 
  • memorizzano qualsiasi informazione non pubblica di Cubbit.

4. Dichiarazione politica

Con il continuo ricorso a sistemi ICT, è fondamentale garantire l’integrità di tutti i punti di accesso di sistema/accesso utilizzati in Cubbit. Per garantire la sicurezza e l’integrità di questi conti, è necessario seguire le procedure e le pratiche descritte di seguito.

La modalità di accesso preferenziale per l’accesso è l’identità aziendale attraverso l’autenticazione a più fattori.

Ad ogni dipendente e collaboratore viene fornita una identità attraverso l’account Google Workplace.

Questo riceve lo username (che coincide con l’email aziendale nome.cognome@cubbit.io) e una password temporanea. Prima di poter accedere a qualunque risorsa aziendale questo deve:

  • cambiare la password temporanea secondo le linee guida di cui al successivo paragrafo 7
  • abilitare almeno un secondo fattore di autenticazione.

I fattori di autenticazione aggiuntivi possibili sono:

  • One Time Password attraverso SMS;
  • One Time Password generate da digital Token;
  • Conferma via app attraverso dispositivo mobile abilitato.

Qualora l’autenticazione multifattore non sia possibile, e quindi l’unico fattore di sicurezza sia la password, questa deve seguire le linee guida:

  • Tutti gli utenti devono assicurarsi che la loro password non sia divulgata o condivisa con nessun altro.
  • Tutti gli utenti non devono scriverli e memorizzarli all’interno dell’ufficio, ad esempio in diari di lavoro o file cartacei.
  • Le password non devono essere inserite nei messaggi di posta elettronica o in altre forme di comunicazione elettronica. Al momento della configurazione iniziale, alcuni sistemi potrebbero generare automaticamente password temporanee, che dovrebbero essere modificate al più presto.
  • Tutti i dispositivi ICT che possono richiedere i privilegi di accesso locali per la configurazione e la manutenzione, ad esempio stampanti, switch di rete, router, ecc. devono essere dotati della password predefinita dell’account admin (o equivalente), che deve essere modificata, ove possibile, in linea con le linee guida di questa policy.

Tutti i sistemi ICT dovrebbero: 

  • consentire l’identificazione di utenti specifici e non solo di gruppi (Supporto autenticazione utente individuale);
  • impedire la memorizzazione delle password in testo chiaro o in qualsiasi forma facilmente reversibile;
  • prevedere la gestione di ruoli e funzioni specifici all’interno di un sistema che consenta la delega di compiti a singoli individui;
  • non contenere né utilizzare password incorporate (codificate a mano): si tratta di password che sono “fisse” (salvate) su un computer o un dispositivo e che spesso sono “nascoste” alla vista. Le password integrate possono essere utilizzate come “porta di servizio” per computer e sistemi e devono essere evitate.

Questa politica si riferisce sia a servizi usufruiti in modalità SaaS sia ai servizi erogati in una eventuale rete aziendale di Cubbit, ai quali si collegano dipendenti, collaboratori, consulenti, appaltatori, fornitori e agenzie partner. La configurazione specifica delle politiche di password forzata per ciascun ambito è la seguente:

Cubbit  Locale 

Cubbit, per sua natura di startup innovativa e per la modalità di lavoro in full remote adottata, predilige l’utilizzo di servizi cloud, in modalità SaaS, rispetto all’adozione di un server aziendale ubicato in un ufficio.

Qualora si dovesse rendere necessario l’installazione di un server locale, le presenti linee guida dovranno essere applicate.

Questo dominio serve la rete principale di Cubbit  e consente l’accesso e l’autenticazione degli utenti. È anche il limite di sicurezza per la maggior parte dei sistemi in uso e accessibili a dipendenti, agenzie partner, appaltatori e fornitori di  Cubbit . 

Ove possibile, accesso con Multi Factor Authentication, o alternativamente configurazione della password imposta dai criteri di gruppo di dominio predefiniti per questo dominio:

  • Esegui cronologia password 10 password memorizzate 
  • Età password massima 42 giorni 
  • Età minima password 2 giorni 
  • Lunghezza minima password 10 caratteri
  • Soglia di blocco dell’account 5 tentativi di accesso non validi 
  • Azzera il contatore di blocco del conto dopo 30 minuti 
  • Agli utenti viene richiesto di modificare la password all’accesso 7 giorni prima della scadenza di quella esistente. 
  • Le password devono soddisfare i requisiti di complessità – questo impone l’uso di password che devono contenere almeno tre dei seguenti cinque elementi:
  • Numerico – (0-9)
  • Caso maiuscolo – (A-Z)
  • Minuscola – (a-z)
  • Caratteri speciali (?,!, @, #, %, ecc…)
  • Spazi

Un esempio (da non utilizzare) di utilizzo della combinazione di cui sopra: P@55parola

5. Responsabilità

L’attuazione e l’adesione a questa politica è responsabilità di tutti i dipendenti, collaboratori e consulenti di Cubbit, delle agenzie partner, dei contraenti e dei fornitori che lavorano per Cubbit. È importante che ogni dipendente prenda sul serio l’uso, la protezione e l’integrità della propria password o di qualsiasi altra password di sistema di cui di volta in volta sia venuto a conoscenza e che incoraggi, guidi e informi il personale, ove possibile, di coloro che sono responsabili della supervisione degli altri.

6. Adempimenti di obblighi legali e contrattuali

  • Reg Ue 2016/679 – D.lgs 101/18 richiede che i dati personali siano tenuti al sicuro contro l’accesso o la divulgazione non autorizzati. La password fa parte dell’ambiente di sicurezza.

7. Linee guida  

Linee guida generali per la costruzione della password

Le password vengono utilizzate per vari scopi presso Cubbit. Esempi di alcuni degli usi più comuni sono: account a livello utente Cubbit, account di posta elettronica, account servizi di collaborazione aziendale, protezione screensaver, password di login al sistema operativo ecc. Tutto il personale deve essere consapevole di come costruire e selezionare password forti.

In assenza di multifattore di autenticazione, tutte le password devono obbligatoriamente avere le caratteristiche di password o passphrases forti, definite come segue.

Le password forti hanno le seguenti caratteristiche: 

  • Contiene caratteri maiuscoli e minuscoli (ad es. a-z, A-Z); 
  • Hanno cifre, caratteri di punteggiatura e lettere, ad esempio, 0-9, !@#$%^&*()_+|~-=`{}[]:”;'<>?,./); 
  • Sono presenti almeno dieci caratteri alfanumerici;
  • Non sono una parola in nessuna lingua, dialetto, gergo, ecc. 
  • Non sono basati su dati personali, nomi di famiglia, ecc. 

È preferibile che gli utenti usino una passphrase – un insieme di parole comuni casuali combinate in una frase che forniscono un’ottima combinazione di memorabilità e sicurezza.

Le password non vengono mai essere scritte o memorizzate online, mentre si incoraggia l’utilizzo di password manager. 

Password scadenti e deboli hanno le seguenti caratteristiche: 

  • La password contiene meno di dieci caratteri 
  • La password è una parola che si trova in un dizionario (inglese o straniero)
  • La password è una parola di uso comune come ad esempio:  
  • Nomi di familiari, animali domestici, amici, colleghi di lavoro, personaggi di fantasia, ecc. 
  • Termini e nomi informatici, comandi, siti, aziende, hardware, software. 
  • Compleanni e altre informazioni personali come indirizzi e numeri di telefono. 
  • Modelli di parole o numeri come aaabbb, qwerty, zyxwvuts, 123321, ecc. 
  • Uno qualsiasi di questi caratteri è scritto all’indietro. 
  • Una delle cifre di cui sopra, preceduta o seguita da una cifra (ad esempio, segreta1, 1segreta). 

Standard di protezione con password

Anche in presenza di multifattore di autenticazione è comunque consigliato seguire le best practice in materia di gestione delle password.

Non utilizzare la stessa password utilizzata per gli account di Cubbit e per altri accessi non di Cubbit  (ad esempio, conto ISP personale, servizi bancari personali, acquisti online, ecc. Se possibile, non utilizzare la stessa password per diverse esigenze di accesso a Cubbit. Ad esempio, se le applicazioni non utilizzano le connessioni autenticate da Google Workplace, è possibile scegliere password diverse per sistemi IT separati).   

Non condividere le password di Cubbit con nessuno, compresi gli assistenti amministrativi o i segretari. Tutte le password devono essere trattate come informazioni sensibili e riservate.

Elenco di cosa “Non fare”: 

  • NON rivelare una password al telefono a nessuno; 
  • NON scrivere le password e memorizzarle in ufficio o postazione di lavoro aperta al pubblico;
  • NON rivelare una password in un messaggio e-mail o altra forma di comunicazione digitale scritta; 
  • NON parlare di password davanti agli altri; 
  • NON suggerire il formato di una password (ad esempio, “il mio cognome”); 
  • NON rivelare una password su questionari o moduli di sicurezza;
  • NON condividere una password con i familiari; 
  • NON rivelare una password ai colleghi durante le vacanze;
  • NON riutilizzare le loro password di lavoro altrove.

Se qualcuno richiede una password, fare riferimento a questo documento e chiedere autorizzazione al responsabile di funzione. 

Non memorizzare le password in un file su QUALSIASI sistema informatico (compresi i dispositivi mobili o simili) senza crittografia.

Non utilizzare la funzione “Memorizza password” delle applicazioni che non utilizzano a loro volta sistemi di strong authentication con più fattori (es. browser in-built password managers, ecc.), ma preferire password manager dedicati (es. 1Password, LastPass, Bitwarden, KeePassXC).  

Salvo i casi in cui è stata impostata l’autenticazione a più fattori, la password deve modificata una volta ogni 60 giorni (ad eccezione delle password a livello di sistema che devono essere modificate trimestralmente). L’intervallo di sostituzione consigliato, in generale, è ogni tre mesi.

Se si sospetta che un account o una password siano compromessi, segnalare l’incidente il prima possibile al reparto IT o tramite email e/o messaggistica istantanea. Modificare immediatamente tutte le password che potrebbero essere state compromesse. 

Per i sistemi di rete che possono essere sensibili, il test brute force per l’accesso al server/router/device deve essere contemplato per tutti i sistemi critici e far parte integrante dei penetration test commissionati a terze parti..

Standard di sviluppo applicativo

Gli sviluppatori di applicazioni devono assicurarsi che i loro programmi contengano le seguenti precauzioni di sicurezza. 

Applicazioni:

  • Consentire l’autenticazione di singoli utenti, non di gruppi. 
  • Non memorizzare le password in testo chiaro o in qualsiasi forma facilmente reversibile. 
  • Dovrebbe fornire funzionalità di gestione dei ruoli, in modo che un utente possa assumere le funzioni di un altro senza dover conoscere la password dell’altro.