15. Permessi

I permessi e le informazioni sono catalogati secondo il seguente sistema di labeling:

Pubbliche (P) Le informazioni pubbliche non richiedono alcun controllo, essendo destinate ad una fruizione pubblica.

Per uso interno (I) Le informazioni per uso interno sono a disposizione del personale e di altri addetti che possono accedere alla rete informatica a condizione che tale accesso comporti un rischio aziendale di scarsa rilevanza.

Riservate (R) Le informazioni riservate sono rivolte a destinatari specifici e sono rigorosamente disciplinate dal principio della necessità di sapere (controlli dell’accesso). La divulgazione non autorizzata delle informazioni riservate potrebbe compromettere la reputazione o comportare un pericolo per le persone. Sono incluse in questa categoria:

  • informazioni personali su singoli individui, siano essi membri del personale, terzi o clienti;

  • dati relativi a vendite e marketing;

  • piani aziendali locali;

  • dati relativi ai rischi;

  • password;

  • informazioni riservate per obbligo di legge

Strettamente Riservate (SR) I dati o le informazioni strettamente riservati si caratterizzano per una diffusione circoscritta e destinata a un numero limitato di soggetti e sono rigorosamente disciplinati dal principio della necessità di sapere (è necessario sapere chi ne possiede copie e chi può̀ accedervi). La divulgazione non autorizzata potrebbe recare un danno eccezionale. Le informazioni strettamente riservate richiedono i controlli di sicurezza più̀ severi e pertanto l’utente è tenuto a valutarne attentamente la natura.

15.1. I permessi disponibili

La pagina di configurazione Permessi permette di gestire i ruoli degli utenti all’interno della piattaforma in termini di visibilità delle funzionalità e possibilità di azione/modifica.

Si presenta come un elenco, in cui ogni riga descrive i permessi configurati.

15.2. Classificazione delle informazioni

Strettamente Riservate Le informazioni personali trattate sono: dati anagrafici dati personali di dipententi e di terzi.

15.3. Password policy

Questa politica è stata definita per proteggere le risorse organizzative della rete mediante la richiesta di password complesse unitamente alla protezione di queste password e nello stabilire un tempo minimo tra le modifiche delle password.

Protezione della Password

  • Non annotare mai la password.

  • Non inviare mai una password tramite e-mail.

  • Non includere una password documento archiviato non-crittografato

  • Non dire mai a nessuno la tua password.

  • Non rivelare la tua password al telefono.

  • Non accennare mai al formato della password.

  • Non rivelare o suggerire la tua password in un modulo in internet.

  • Non utilizzare mai l’opzione “ricorda password “, di programmi come internet Explorer, di posta elettronica, o qualsiasi altro programma.

  • Non utilizzare mai la password aziendale o di rete per un account internet, che non dispone di un accesso protetto (dove l’indirizzo browser web inizia con https:// invece di http:/)

  • Segnalare eventuali sospetti concernenti la sicurezza della password al reparto/incaricato della sicurezza it.

  • Se qualcuno ti chiede la password, indirizzali al reparto/incaricato di sicurezza it.

  • Non usare acronimi comuni come parte della password.

  • Non usare parole comuni o invertire l’ortografia delle parole come parte della password.

  • Non utilizzare nomi di persone o luoghi, come parte della password.

  • Non utilizzare una parte del tuo nome utente per la tua password.

  • Non utilizzare parti di numeri facili da ricordare, come numeri di telefono, numeri di indirizzo o altro di similare .

  • Stare attenti a lasciare che qualcuno veda la digitazione della password.

15.4. Requisiti di Password

I seguenti requisiti di password verranno impostati dal reparto/incaricato di sicurezza IT:

  • Lunghezza Minima à 8 caratteri raccomandato

  • Lunghezza Massima à 14 caratteri

  • Minimo livello di complessità à Nessuna parola del dizionario. Ciascuna password deve includere tre o quattro dei seguenti tipi di caratteri:

    • Minuscole

    • Maiuscole

    • Numeri

    • caratteri Speciali, ad esempio !@#$%^&*(){}[]

  • le Password differenziano tra maiuscole e minuscole, mentre il nome utente o l’ID di accesso no.

  • Ripetizione Password à numero min. di password prima che una vecchia password possa essere riutilizzata: questo numero non deve essere inferiore a 24.

  • Validità Massima password à 90 giorni

  • Validità Minima password à 2 giorni

  • Memorizzare le password tramite crittografia reversibile à Questo non dovrebbe essere fatto senza una speciale autorizzazione da parte del reparto/incaricato IT, dato che ne ridurrebbe il livello di protezione.

  • Soglia di blocco degli Account à 4 tentativi di login falliti

  • Reset blocco account à Il tempo che intercorre tra tentativi di accesso non valido e la possibilità di ritentare: il valore raccomandato è di 20 minuti. Questo significa che se ci sono tre tentativi non validi in 20 minuti, l’account verrà bloccato.

  • Account durata di blocco à Alcuni esperti raccomandano che il blocco dell’account sia compreso tra 30 minuti e 2 ore.

  • Uno Screen saver protetto da Password dovrebbe essere attivato e dovrebbe proteggere il computer entro 5 minuti di inattività dell’utente. Il computer non dovrebbe essere lasciato incustodito mentre è connesso (logged-on) e senza aver attivato uno screen saver protetto da password. Gli utenti dovrebbero avere l’abitudine di non lasciare i loro computer sbloccati; per facilitarne il compito si può impostare una combinazione rapida di tasti (es. CTRL-ALT-CANC e selezionare “Blocca Computer “).

  • Le regole che si applicano per le password, sono applicate anche alle frasi che vengono utilizzate per l’autenticazione della chiave pubblica/privata