Ad un corso di formazione sulla privacy mi è stato detto che alcuni dei controlli che il responsabile del trattamento dati deve attuare sono il cambio della password da parte degli incaricati con le frequenze stabilite e la verifica a campione d …
Ad un corso di formazione sulla privacy mi è stato detto che alcuni dei controlli che il responsabile del trattamento dati deve attuare sono il cambio della password da parte degli incaricati con le frequenze stabilite e la verifica a campione dei siti Internet visitati dagli incaricati. Mi è stato detto che tali controlli possono essere fatti estraendo i relativi file dai registri di sistema. Cosa vuol dire?
Il controllo dei siti navigati è una cosa delicata, si corre il rischio di violare le direttive del garante per quanto riguarda la privacy.
La cosa migliore è stabilire in anticipo delle regole ed utilizzare degli strumenti che impediscano l’uso improprio di Internet, filtri che impediscano il download di file musicali o multimediali, o determinare delle liste di esclusione per siti o parole chiave.
In Internet Explorer 6 e 7 è possibile discriminare il contenuto delle pagine Web e proteggere le impostazioni con una password, in modo che non possano essere modificate.
Aprite il browser, cliccate su Strumenti, Opzioni Internet, Contenuto, pulsante Attiva nella sezione Contenuto verificato. Per ogni area impostate il livello di classificazione desiderato.
Ricordarsi le scadenze delle password degli incaricati e verificare nei computer se la password è stata cambiata è un’operazione scomoda. È più pratico utilizzare le funzionalità di amministrazione del sistema operativo che permettono di stabilire dei criteri di gestione della password e richiedere automaticamente la loro modifica in tempi stabiliti.
In Windows 2000 e XP cliccate su Start, Pannello di controllo, Strumenti di amministrazione, Criteri di protezione locale, Criterio account, Criterio Password.
Il criterio Applica l’unicità della password memorizzando le ultime stabilisce il numero di password da impiegare prima che si possa riutilizzare una vecchia password. Archivia password mediante crittografia reversibile determina se il sistema operativo utilizza la crittografia reversibile per archiviare le password.
Le password archiviate con un metodo di crittografia reversibile possono essere captate più facilmente dalle applicazioni che usano protocolli che richiedono delle password utente ai fini dell’autenticazione. È meglio lasciare l’impostazione predefinita di non abilitata, in quanto la vulnerabilità aumenta con la crittografia reversibile.
L’opzione Le password devono essere conformi ai requisiti di complessità determina se imporre o meno la complessità delle password. Quando l’impostazione è attivata, le password degli utenti devono essere conformi ai seguenti requisiti.
- La password è costituita da almeno sei caratteri.
- Contiene caratteri appartenenti ad almeno tre delle seguenti cinque categorie: Caratteri maiuscoli dell’alfabeto inglese (A – Z); Caratteri minuscoli dell’alfabeto (A – Z); Cifre da 0 a 9; Caratteri speciali come !, $, # o %); Caratteri Unicode.
L’opzione Validità massima password determina il numero di giorni in cui è possibile utilizzare una password prima che venga richiesto all’utente di modificarla. Se impostato su 0, le password non scadono mai.
L’opzione Validità minima password determina il numero di giorni in cui un utente deve utilizzare la password prima di poterla modificare. Questa impostazione è stata creata per l’utilizzo combinato con l’opzione Imponi cronologia delle password in modo da evitare che gli utenti possano riutilizzare subito una password precedente. Naturalmente gli incaricati non devono avere un account di livello amministrativo, altrimenti potrebbero modificare le impostazioni di sicurezza.
