Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale in cybersecurity

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

Leadership

Il team di leadership di MetaCompliance

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Migliori pratiche per le password 2023

Migliori pratiche per la politica delle password 2021

sull'autore

Condividi questo post

Una forte politica di password è spesso la prima linea di difesa contro gli attacchi informatici, eppure molte organizzazioni continuano a seguire linee guida obsolete che le espongono a rischi significativi.

Secondo il 2020 Data Breach Investigations Report di Verizon, le credenziali perse o rubate rimangono la tattica di hacking numero uno utilizzata da attori malintenzionati per perpetrare violazioni di dati, con password compromesse o deboli responsabili del 35% di tutte le violazioni.

La sicurezza delle password non è mai stata così importante, specialmente con un gran numero di lavoratori che continuano a lavorare da casa. La superficie delle minacce si è ampliata, quindi è fondamentale che le organizzazioni aggiornino la loro politica sulle password per educare il personale su come creare password forti e fornire una difesa solida contro le minacce informatiche.

Le indicazioni precedenti sulla sicurezza delle password tendevano a concentrarsi sull'unicità, la complessità, la lunghezza minima della password e la modifica regolare della stessa; tuttavia, i consigli più recenti si sono allontanati da queste indicazioni, poiché molte di queste pratiche relative alle password potrebbero in realtà indurre gli utenti a creare password più deboli anziché più forti.

Il National Institute of Standards and Technology (NIST) ha affrontato l'importanza delle politiche sulle password pubblicando la NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). La pubblicazione fornisce consigli aggiornati per le organizzazioni su come migliorare il processo di autenticazione e ridurre il rischio di una violazione della sicurezza.

Microsoft e il National Cyber Security Centre (NCSC) hanno anche aggiornato la loro guida sulle password per aiutare le organizzazioni a implementare politiche di password che possono difendere contro le minacce in evoluzione e sostenere i modi in cui le persone lavorano naturalmente.

Per garantire che la vostra politica sulle password sia efficace e soddisfi gli standard raccomandati da NIST, Microsoft e NCSC, abbiamo compilato tutte le ultime linee guida in consigli praticabili che la vostra organizzazione può utilizzare per migliorare la sicurezza delle password.

Migliori pratiche per la politica delle password

Aumentare la lunghezza delle password e ridurre l'attenzione alla complessità delle password

Politica delle password - lunghezza vs complessità

In passato, i consigli sulla sicurezza delle password si sono concentrati molto sulla creazione di password complesse, ma questo spesso porta a riutilizzare le password esistenti con piccole modifiche. Secondo il Consiglio nazionale per la sicurezza informatica: "I requisiti di complessità impongono un onere aggiuntivo agli utenti, molti dei quali utilizzeranno schemi prevedibili (come la sostituzione della lettera 'o' con uno zero o l'uso di caratteri speciali) per soddisfare i criteri di 'complessità' richiesti".

Gli aggressori conoscono bene queste strategie e utilizzano queste conoscenze per ottimizzare i loro attacchi". La lunghezza della password è spesso un fattore molto più importante, poiché una password più lunga è statisticamente più difficile da decifrare. Il NIST e Microsoft consigliano una lunghezza minima di 8 caratteri per le password generate dall'utente e, per rafforzare la sicurezza degli account più sensibili, il NIST raccomanda alle organizzazioni di impostare la lunghezza massima delle password a 64 caratteri. Ciò consente di utilizzare le passphrase. Una passphrase è una password composta da una frase o da una combinazione di parole. Aiuta gli utenti a memorizzare password più lunghe e rende più difficile per gli hacker indovinarle con la forza bruta.

Screening delle password contro le blacklist

Il riutilizzo delle password è un problema comune e secondo un sondaggio Google/Harris, il 52% delle persone riutilizza la stessa password su più account. Questo comportamento rischioso ha portato a un'enorme impennata negli attacchi di credential stuffing mentre gli hacker tentano di incassare i miliardi di credenziali compromesse disponibili per l'acquisto sul dark web. Utilizzando queste credenziali rubate, gli hacker possono tentare di accedere ad altri account utente utilizzando la stessa password compromessa.

Per combattere questa minaccia, il NIST raccomanda alle organizzazioni di utilizzare un software che vagli le password rispetto a una lista nera che include parole del dizionario, stringhe ripetitive o sequenziali, password rubate in precedenti violazioni, frasi di accesso comunemente usate o altre parole e modelli che gli hacker potrebbero indovinare. Questo processo di screening aiuta gli utenti ad evitare di selezionare password che rappresentano un rischio per la sicurezza e segnalerà se una password precedentemente sicura viene esposta in futuro.

Eliminare la reimpostazione regolare della password

Politica delle password - reset delle password

Molte organizzazioni richiedono ai propri dipendenti di cambiare le password a intervalli regolari, spesso ogni 30, 60 o 90 giorni. Tuttavia, studi recenti hanno dimostrato che questo approccio alla sicurezza delle password è spesso controproducente e può di fatto peggiorare la sicurezza. In genere, gli utenti hanno più password da ricordare, quindi quando sono costretti a fare un reset periodico, ricorrono a modelli comportamentali prevedibili, come la scelta di una nuova password che è solo una variazione minima di quella precedente.

Possono aggiornarla cambiando un singolo carattere o aggiungendo un simbolo che assomiglia a una lettera (ad esempio ! al posto di I). Se un aggressore conosce già la password esistente dell'utente, non sarà difficile decifrare la versione aggiornata. Il NIST raccomanda di rimuovere questo requisito per rendere la sicurezza delle password più facile da usare, e Microsoft consiglia di farlo: "Se una password non viene mai rubata, non è necessario farla scadere. E se avete le prove che una password è stata rubata, presumibilmente agirete immediatamente piuttosto che aspettare la scadenza per risolvere il problema".

Permettere il copia e incolla della password

Il NIST ha rivisto la sua precedente guida e ora raccomanda l'uso del 'copia e incolla' quando si digita una password. Questo aiuta a promuovere l'uso di password manager che indubbiamente aumenta la sicurezza permettendo agli utenti di generare password più lunghe e più difficili da decifrare.

Limitare i tentativi di password

Usando l'attacco brute-force, gli hacker possono tentare di violare un account accedendo sistematicamente e provando ogni possibile combinazione di lettere, numeri e simboli finché non trovano la giusta combinazione di password. Uno dei modi migliori per difendersi da questo tipo di attacco è limitare il numero di tentativi di password che ogni singolo indirizzo IP può fare in un certo lasso di tempo.

Non usare i suggerimenti di password

I suggerimenti per le password sono spesso usati dalle organizzazioni per aiutare i loro utenti a ricordare password complesse. Può trattarsi di una semplice richiesta o all'utente viene richiesto di rispondere a una domanda personale come "In quale città sei nato?" o "Qual è il nome della tua prima scuola?". Le risposte a molte di queste domande possono essere facilmente trovate sui social media da un attaccante determinato. Questo mina la sicurezza ed è il motivo per cui il NIST ha consigliato alle organizzazioni di abbandonare questa pratica in quanto potrebbe potenzialmente aumentare la possibilità di una violazione.

Usa l'autenticazione a più fattori

Politica delle password - MFA

L'autenticazione a più fattori (MFA) è uno dei modi più efficaci per fornire una protezione aggiuntiva a un account protetto da password. Secondo Microsoft, gli account hanno oltre il 99,9% di probabilità in meno di essere compromessi se l'MFA è abilitato. Tuttavia, una recente indagine di GetApp ha rilevato che solo il 55% degli intervistati utilizza l'autenticazione a due fattori come impostazione predefinita per i propri account aziendali e personali, quando è disponibile.

Ci sono tre tipi di autenticazione che possono essere utilizzati:

  • Qualcosa che conosci: Una password, un PIN, un codice postale o la risposta a una domanda (es: il nome da nubile della madre).
  • Qualcosa che hai: Un token, un telefono, una carta di credito, una SIM o una chiave di sicurezza fisica.
  • Qualcosa che sei: Dati biometrici come l'impronta digitale, la voce o il riconoscimento facciale.

Alcuni di questi metodi di verifica sono senza dubbio più sicuri di altri, ma essenzialmente significa che anche se qualcuno ruba o indovina una password, non sarà in grado di accedere all'account senza un altro fattore di autenticazione.

Formare il personale sulle migliori pratiche per le password

Ci sono molti consigli contrastanti su ciò che costituisce una password sicura, quindi è fondamentale che il tuo staff comprenda le migliori pratiche e sia pienamente versato su ciò che la tua politica delle password richiede loro. La formazione sulla sicurezza dovrebbe educare il personale su:

  • I rischi di riutilizzare le stesse password negli account di casa e di lavoro
  • Come creare password forti e sicure
  • Come abilitare l'MFA
  • Come utilizzare un gestore automatico di password per archiviare le password in modo sicuro
Cyber Security Awareness per Dummies

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti