La password è uno dei fattori critici nelle fughe di dati personali.
È importante adottare le giuste misure di difesa per proteggere i propri dati personali o le informazioni relative ad un’Azienda nel caso in cui ad agire sia un lavoratore e bisogna quindi acquisire la giusta consapevolezza su come gestire, conservare e diffondere le informazioni personale e quelle aziendali che il lavoratore si trova a trattare nell’ambito della propria attività lavorativa.
Il Garante in materia di protezione dei dati personali ha fornito delle indicazioni di base per impostare password sicure e gestirle in piena sicurezza, consultabili in un apposito vademecum pubblicato sul sito del Garante www.garanteprivacy.it
Come sono le password usate dai dipendenti?
Come detto, il primo step per la protezione dei dati personali, specie quando si tratta di dati che una Azienda tratta in qualità di Titolare del trattamento, è la consapevolezza nella gestione, nella conservazione e nella eventuale diffusione degli stessi.
Nonostante l’uso di password e politiche di sicurezza sia ormai argomento ampiamente conosciuto da tanti anni vi è ancora un elemento che costituisce il cosiddetto anello debole della catena, costituito dalle persone.
Nell’uso comune e quotidiano, infatti, vengono costantemente utilizzate password prevedibili o che hanno riferimenti personali facili da individuare e che rappresentano l’elemento più vulnerabile nella sicurezza informatica di una azienda.
I dipendenti spesso non sono ben consapevoli delle conseguenze che può avere l’intera azienda, nel caso di utilizzo di una password debole (cfr. articolo pubblicato il 12/11/2021 “Phishing i pescatori di dati personali”). L’errore umano è la causa più frequente di furto dei dati (c.d. “Data Breach”o “Violazione dei dati personali”). Tutto ciò è particolarmente grave specie dopo l’entrata in vigore del Regolamento (UE) 2016/679.
Per queste ragioni molte Aziende attraverso le c.d. politiche di sicurezza danno indicazioni precise ai propri dipendenti, come ad es. modificare la password periodicamente (ogni due o tre mesi).
Autenticazione forte (strong authentication) o autenticazione a due fattori
Molte Aziende stanno spingendo sulla autenticazione forte (strong authentication) o autenticazione a due fattori. Con quest’ultimo sistema alle credenziali tradizionali si affianca un ulteriore fattore di autenticazione che può consistere in un PIN inviato su uno smartphone.
Utili sulla autenticazione a due fattori sono le indicazioni presenti nelle linee guida emesse dal NIST (National Istituite of Standards and Technology agenzia del governo degli Stati Uniti che si occupa della gestione delle tecnologie).
Vincenzo Maruccio è avvocato è un avvocato romano, specializzato in diritto societario e diritto commerciale. Nei sui studi di Roma eMilano collabora con diversi professionisti esperti nel settore legale nazionale ed internazionale, in ambito giuridico ed economico-imprenditoriale per aziende pubbliche e private. L’avvocato Vincenzo Maruccio è abilitato al patrocinio presso la Magistrature Superiori.