E’ corretto creare password per altri utenti?

di
Maria Teresa Della Mura
-

Sono un tecnico di pc per una grande azienda e sono continuamente pressato dalla richiesta di creare le password dei computer di cui mi occupo. Ritengo che questo mi metta in una posizione compromettente perché se qualcuno ritenesse che qualc …

Sono un tecnico di pc per una grande azienda e sono continuamente pressato dalla richiesta di creare le password dei computer di cui mi occupo. Ritengo che questo mi metta in una posizione compromettente perché se qualcuno ritenesse che qualcosa non andasse nel suo pc o con le informazioni sensibili in esso memorizzate, potrebbe puntare il dito contro di me. Mi sto facendo troppi scrupoli oppure una persona che non ha mai avuto l’incarico di accedere fisicamente al pc può avere la gestione delle password?

Le sue preoccupazioni sono più che legittime e non si sta facendo assolutamente troppi scrupoli. Le password dovrebbero essere fornite centralmente, per esempio dall’ help desk della sua azienda. Nel caso di intromissione nella rete o di incidente, il team per la sicurezza It potrebbe sospettare di lei. E sicuramente questo è un problema che non desidera avere, tuttavia la situazione in cui si trova non è certo piacevole. Talvolta il business ha bisogni impellenti e, come tecnico, deve soddisfarli. Ci saranno sicuramente situazioni in cui dovrà ripristinare una password occasionale per qualcuno.

Qui di seguito può trovare alcuni consigli sulle procedure da seguire per la creazione adeguata di una password.

In primo luogo, il suo help desk dovrebbe creare, ripristinare e annullare tutte le password e rappresentare la stanza di compensazione centrale dove vengono annotate tutte le richieste di password. Il log dovrebbe includere il nome e lo user ID dell’impiegato richiedente, la data e l’ora in cui è stata effettuata la richiesta e il motivo del reset. I log dovrebbero essere analizzati regolarmente per controllare se c’è qualche cosa di anomalo, come la frequenza di reset da parte di uno stesso utente o insiemi di richieste fuori orario provenienti da luoghi remoti. La frequenza di analisi dovrebbe essere basata sulla dimensione della vostra azienda, sul numero di impiegati che hanno bisogno di user ID e password e sul livello di rischio del sistema a cui hanno bisogno di accedere.

L’help desk può anche verificare che il richiedente sia un legittimo dipendente o un utente autorizzato. L’help desk dovrebbe avere una directory dei dipendenti contenente dati statistici su di loro, in modo di poter fare domande casuali per verificare l’identità dell’utente. Tali informazioni possono includere il nome del dipendente, la posizione, il titolo, il numero di telefono, il nome del superiore e lo user Id. In questo modo, in caso di frode, il team di sicurezza ha una traccia cartacea che può usare per seguire e (eventualmente) scovare il colpevole.

L’help desk dovrebbe emettere soltanto una password provvisoria per qualsiasi reset. Questa password dovrebbe essere valida soltanto una volta e poi scadere se non usata per un certo periodo di tempo. Una volta utilizzati i log con la password provvisoria, l’utente dovrebbe richiedere che venga creata una password permanente per sostituire quella provvisoria.

Perciò, cosa dovrebbe fare se
accadesse l’inevitabile e si trovasse nella condizione di dover ripristinare una
password? In primo luogo, se possibile crei una password provvisoria che
l’utente può usare soltanto una volta, fino a che non può esserne creata una
nuova. Quindi, riporti all’help desk tutto ciò che ha fatto – fornisca il nome
dell’utente, la data e l’ora dell’emissione della password e dove questa è stata
emessa (il desktop dell’utente o la postazione di lavoro remota). Se l’help desk
registra tutto il suo operato, non potrà assolutamente risultare tra i sospetti
durante un’indagine a fronte di un tentativo di intromissione nella rete o di
incidente.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome