Alleviare il carico dell’help desk, ridurre la frustrazione degli utenti e diminuire il rischio di accessi malintenzionati. Queste sono le motivazioni principali per diminuire la dipendenza dalle password e per adottare un sistema di autenticazione passwordless.

Questo comporta tecnologie in grado di supportarlo, tempo alle aziende per l’implementazione e soprattutto sviluppare una nuova mentalità. Si consiglia di adottare un approccio graduale per garantire l’accesso agli utenti, procedere a piccoli step che conducano ad un futuro completamente senza password.

Secondo Microsoft ci sono quattro fasi che un’azienda deve affrontare per adottare una soluzione passwordless:

  1. Sviluppare un’offerta di sostituzione delle password
    Prima di implementare una soluzione passwordless bisogna ridurre la dipendenza dalle password selezionando casi d’uso specifici. In questa fase è necessario trovare delle soluzioni che sostituiscono le password con altri metodi di autenticazione come ad esempio FIDO2.

  2. Ridurre l’area della superficie della password visibile dall’utente
    L’obiettivo di questo passaggio consiste nel raggiungere uno stato in cui gli utenti sanno di avere una password, ma non la usano mai. L’ambiente e i flussi di lavoro devono interrompere la richiesta di password. In questa fase è possibile ridurre la dipendenza dalle password implementando l’MFA che consiste nell’aggiungere ulteriori livelli di sicurezza alle procedure di login al fine di ridurre considerevolmente il rischio di accessi non autorizzati e sfruttando SSO che consente agli utenti di accedere a più applicazioni con un unico set di credenziali di accesso, fornendo così un accesso più semplice a una varietà di applicazioni web, al fine di garantire un’esperienza utente migliore.

  3. Transizione in una distribuzione con password
    Nel terzo passaggio l’utente non dovrà mai usare la password nei propri flussi di lavoro.
    Per raggiungere questo obiettivo bisogna applicare criteri di accesso basati sul contesto dell’utente, del dispositivo, della posizione, del comportamento in modo da garantire che l’autenticazione possa essere considerata attendibile.

  4. Eliminare le password dalla directory delle identità
    La fase finale del viaggio consiste nell’eliminare del tutto le password dall’identità. In questo modo l’utente non utilizza la password, la password non “esiste” più.

Fig.  1  –  Strategia passwordless secondo Microsoft,
Immagine tratta da www.microsoft.com, Microsoft Security Team

Bisogna sottolineare che la strada verso un’autenticazione senza password è un viaggio e la durata di questo viaggio varia per ciascuna azienda ed è molto importante che i decision-makers comprendano i criteri in grado di influenzare la durata di questo viaggio.

Scegliere la giusta tecnologia con Microsoft?

Grazie ai nuovi standard aperti di autenticazione come FIDO2 e sistemi di riconoscimento biometrico, il numero di tecnologie che mirano a ridurre l’uso della password è aumentato. Microsoft offre soluzioni basate su piattaforma, hardware o software che puoi provare da oggi per mappare con i tuoi requisiti di passwordless authentication.

Windows Hello versione business

Windows Hello permette di sbloccare il dispositivo, PC o mobile, senza la digitazione di una password, grazie all’utilizzo dei sensori biometrici o un PIN che verifica l’identità dell’utente. La licenza business fornisce sicurezza aggiuntiva, crittografia PKI, policy di deployment e criteri di sicurezza per controllare la complessità del PIN.

Molte aziende pensano che costringere gli utenti a utilizzare password complesse sia sufficiente per la sicurezza.

Qual è la differenza tra l’utilizzo di una password e Windows Hello?

La principale differenza sta nel fatto che un PIN o un’impronta digitale è una credenziale locale, mentre una password è una credenziale centralizzata. Questa è una distinzione importante da capire perché se un utente malintenzionato scopre qual è il tuo pin, non può usarlo come se fosse una password perché il PIN è associato a quel particolare dispositivo registrato in modo che possa essere utilizzato solo da quel dispositivo. La password invece può essere utilizzata da qualsiasi luogo.

Microsoft Authenticator

L’app Microsoft Authenticator consente agli utenti di verificare la propria identità e di autenticarsi sul proprio account di lavoro o personale senza digitare una password. Invece di utilizzare una password, gli utenti confermano la propria identità utilizzando il telefono cellulare tramite la scansione delle impronte digitali, il riconoscimento del viso, dell’iride o il PIN.

Come funziona?

Fig.  2  –  La prima volta che un account Microsoft accede a Windows con l’app Microsoft Authenticator
Immagine tratta da www.microsoft.com, Anastasiya Tarnouskaya

Dopo aver digitato un nome utente, al posto di una richiesta di password, l’utente riceve una notifica push per verificare la presenza. Nell’app, gli utenti confermano la propria identità abbinando un numero nella schermata di accesso, con un’autenticazione biometrica come la scansione del viso, un’impronta digitale o un PIN per sbloccare la chiave privata e completare l’autenticazione.

Chiavi di sicurezza FIDO2

Per le aziende che hanno un ambiente PC condiviso, la soluzione FIDO di Microsoft fornisce un modo semplice per gli utenti di autenticarsi senza digitare un nome utente o una password. Le chiavi di sicurezza FIDO2 offrono anche un’ottima opzione per le aziende che sono molto sensibili alla sicurezza o hanno dipendenti che non sono disposti o in grado di utilizzare il proprio telefono come secondo fattore.

Architettura del flusso di autenticazione passwordless

Tutte e tre le tecnologie di Microsoft utilizzano lo stesso modello di autenticazione crittografica, con credenziali basate sul certificato o sulla coppia di chiavi asimmetriche. Queste credenziali sono associate al dispositivo che può essere un pc, un telefono cellulare o una chiave di sicurezza FIDO2.

L’autenticatore genera una coppia di chiavi e restituisce la chiave pubblica. Facoltativamente, l’autenticatore restituisce anche un’attestazione al provider di identità come Azure Active Directory.
Il provider di identità convalida l’identità dell’utente e mappa la chiave pubblica a un account utente durante la fase di registrazione o provisioning.

Le chiavi private sono associate ad un unico dispositivo, archiviate in modo sicuro sul dispositivo stesso e non vengono mai condivise. Queste chiavi non si spostano e non vengono mai inviate a dispositivi o server esterni. L’inserimento del PIN o di un elemento biometrico fanno sì che i dispositivi utilizzino la chiave privata per firmare i dati inviati crittograficamente al provider di identità. Il provider di identità verifica l’identità dell’utente e autentica l’utente.

Passare a passwordless authentication è un approccio a lungo termine e in evoluzione. Il raggiungimento di un ambiente completamente privo di password è un viaggio che implica l’adozione di tecnologie adatte ed un cambio di mentalità.

Contattaci per scoprire di più su ciò che Microsoft sta facendo per aprire la strada a un futuro senza password e come implementare le sue tecnologie nel tuo ecosistema aziendale.


Oggi, la sicurezza IT si sta muovendo verso l’autenticazione passwordless utilizzando tecnologie avanzate come la biometria, il PIN e la crittografia a chiave pubblica/privata. Tutto ciò è fattibile grazie a nuovi standard come Web Authentication API (WebAuthN) e Fast Identity Online (FIDO2) progettati per sostituire le password con dati biometrici e dispositivi che le persone utilizzano già all’interno delle aziende, quali chiavi di sicurezza, smartphone, scanner di impronte digitali o webcam.

Anche se l’autenticazione passwordless si basa su fondamenta solide, IT manager, professionisti e dipendenti nutrono diverse preoccupazioni su come i dati biometrici vengono raccolti, archiviati, utilizzati e che impatto potrebbe avere l’adozione di una strategia passwordless sulle loro applicazioni legacy.

Vediamo insieme di fare chiarezza su tre delle principali questioni oggetto di riflessione da parte di IT manager e decision maker.

Malinteso 1: PIN e Password sono la stessa cosa?

Ad oggi, molti dispositivi, che siano pc o smartphone, danno la possibilità di accedere con un numero di identificazione personale (PIN) invece di una password. Probabilmente ti sarai chiesto cosa sia esattamente un PIN e in cosa differisce da una password?

Un PIN può essere un insieme di numeri, anche se i criteri aziendali sempre più stringenti potrebbero consentire PIN complessi che includono caratteri speciali e lettere, sia maiuscole che minuscole.

Il modo più comune per implementare il PIN è associarlo ad una risorsa specifica come ad esempio un computer, una carta di credito o un telefono.

Il PIN può essere archiviato su un server o sul dispositivo. Nel caso di Windows 10, Microsoft utilizza un chip fisico chiamato Trusted Platform Module (TPM) che include più meccanismi di sicurezza fisica e algoritmi crittografici per rendere quasi impossibile la compromissione. Il PIN viene memorizzato solo sul PC client. Questo approccio è più sicuro della convalida sul server perché un utente malintenzionato dovrebbe ottenere l’accesso al computer stesso per rubare il PIN. Allo stesso modo, le nuove carte di credito con chip che vengono ora ampiamente distribuite, memorizzano il PIN localmente in modo che non vi sia alcuna possibilità di un compromesso su larga scala a livello di server.

Ed è qui che sta la differenza tra PIN e password: autenticazione locale e autenticazione remota.

Il PIN è una credenziale locale mentre una password è una credenziale centralizzata. Questa è una distinzione importante da capire perché se un utente malintenzionato scopre quale sia il tuo pin non può usarlo come fosse una password dal momento che il PIN è associato ad un dispositivo: in questo modo può essere utilizzato solo su quel particolare dispositivo registrato. La password invece può essere utilizzata da qualsiasi luogo.

Malinteso 2: Un sistema di accesso biometrico può essere violato o contraffatto?

Nell’articolo precedente abbiamo visto come Windows Hello consente agli utenti di accedere immediatamente ai propri dispositivi Windows 10 utilizzando la scansione delle impronte digitali, la scansione dell’iride o il riconoscimento facciale.

Microsoft comprende quanto sia fondamentale proteggere i dati biometrici dal furto. Per questo motivo, la tua “firma biometrica” è protetta localmente sul dispositivo e condivisa con nessun’altro all’infuori di te.

Ad esempio, in Windows Hello, la scansione dell’iride non viene gestita dalle nostre webcam o fotocamere dei telefoni: Microsoft vuole utilizzare “una combinazione di hardware e software speciali” per assicurarsi che il sistema non possa essere sconfitto. Lo scanner dell’iride si basa sulla tecnologia a infrarossi (potenzialmente, nel vicino infrarosso). Ciò significa che sarà in grado di funzionare in tutte le condizioni di illuminazione e di vedere l’iride attraverso gli occhiali, anche colorati.

Tutto questo sarà fattibile senza correre alla necessità di dover memorizzare i dati biometrici degli utenti. Infatti, questo valore biometrico (nel caso specifico l’iride) viene utilizzato come fattore iniziale per poi sbloccare un secondo fattore più sicuro: una chiave crittografica privata che funziona per autenticare un utente. Un metodo di attacco biometrico comune prevede il tentativo di falsificare la parte del corpo di una persona, con l’obiettivo di indurre il sistema a pensare che un falso sia reale. Qualsiasi attacco di spoofing o hacking richiederebbe prima che l’aggressore ottenga la custodia del dispositivo. Al di là dei vari livelli di protezione, molti sistemi biometrici oggi stanno costruendo il “liveness detection” per convalidare che una presentazione biometrica sia reale.

Malinteso 3: Implementare un’autenticazione passwordless influisce anche sulle mie app e protocolli legacy?

L’adozione di un’autenticazione passwordless quando si utilizzano ancora i protocolli legacy rappresenta una sfida. Tuttavia, a questo scopo, Microsoft sta sviluppando una password limitata nel tempo, una sorta di password monouso con un’ora corrente o un limite di tempo che l’utente potrebbe generare quando utilizza l’autorizzazione legacy.

Guardare al futuro significa quindi gettare il cuore oltre l’ostacolo e iniziare a pensare ad un universo autenticativo non più legato ai fatidici otto caratteri, con maiuscola, cifra e carattere speciale. Ma significa anche immaginare una realtà aziendale in grado di sfruttare appieno le possibilità in ambito sicurezza applicativa che l’ecosistema Microsoft è in grado di offrire.

Tutto più semplice con il giusto supporto,  contattaci!


Mentre stai leggendo questo articolo, sempre più password vengono rubate e trapelate a causa di violazioni dei dati. A questo punto, ti starai chiedendo se gli hacker siano diventati più intelligenti o se le organizzazioni non stiano dando alla protezione dei dati l’importanza che merita.

Nella maggior parte dei casi, oltre il 67%, si tratta di furto di credenziali, social engineering, phishing o compromissioni delle e-mail aziendali. Spesso queste tipologie di attacchi vengono facilitate dalla scelta di credenziali deboli (37%) o da un errore umano (22%). È quello che emerge dall’ultimo report pubblicato da Verizon Business (1): “Data Breach Investigations Report 2020”.

Un altro fatto interessante che emerge al di là da questo report, è che oltre l’80% delle violazioni nell’ambito dell’hacking coinvolge la forza bruta o l’uso di credenziali smarrite o rubate.

Una violazione è dannosa per le aziende: può comportare la perdita di clienti e partnership, compromettere la proprietà intellettuale e implicare azioni legali; possono essere necessari anni per riprendersi e alcune aziende possono non riprendersi più.

Secondo il report pubblicato da IBM (2), in Italia il costo medio relativo al furto o alla perdita di un singolo dato è pari a 125 euro, con un costo medio complessivo delle violazioni di dati pari a 2,90 milioni di euro.

Possiamo confermare con convinzione che i costi ora superano i vantaggi dell’utilizzo delle password, che sempre più diventano prevedibili e rendono gli utenti vulnerabili ai furti.

Le password non servono più

Le password sono sempre state una sfida nel panorama della sicurezza, essendo uno dei modi più comuni con cui gli hacker penetrano nell’ecosistema aziendale. Le password semplici e di uso comune consentono infatti agli intrusi di ottenere facilmente l’accesso e il controllo di un dispositivo informatico. Per proteggere il loro perimetro, le aziende hanno dovuto implementare altri metodi che vanno oltre l’utilizzo della semplice password per la protezione, quali ad esempio l’autenticazione multi-fattore (MFA).

Combinando la password con un pin o la biometria, l’autenticazione a più fattori ha presentato un metodo più sicuro per tutti. Tuttavia, a seconda dell’implementazione, l’MFA può anche portare a una crescente complessità per quanto riguarda l’esperienza utente. È fondamentale per i teams IT offrire un’esperienza utente senza interruzioni, bilanciando al contempo i rischi per la sicurezza.

Fonte: Microsoft

Oggi la sicurezza IT si sta muovendo verso l’autenticazione senza password, utilizzando tecnologie avanzate come la biometria, il PIN e la crittografia a chiave pubblica/privata. Inoltre, nuovi standard come Web Authentication API (WebAuthN) e Fast Identity Online (FIDO2) consentono l’autenticazione senza password su tutte le piattaforme. Questi standard sono progettati per sostituire le password con dati biometrici e dispositivi che le persone utilizzano già all’interno delle aziende, come chiavi di sicurezza, smartphone, scanner di impronte digitali o webcam.

Adottare una strategia passwordless per le imprese significa:

  • Migliorare l’esperienza utente
    Una riduzione della frustrazione degli utenti e un aumento della produttività.
  • Ridurre i tempi e costi dell’IT
    Una riduzione del carico amministrativo dei ticket di help desk relativi alle password e delle reimpostazioni delle password.
  • Environment più sicuro
    L’eliminazione di minacce e vulnerabilità legate alle password (phishing, password rubate o deboli, riutilizzo delle password, attacchi di forza bruta, ecc.).

Introduzione a passwordless authentication

Passwordless authentication è un metodo per verificare le identità degli utenti senza l’uso di password o altri segreti memorizzati.

Invece delle password, l’identità può essere verificata richiedendo all’utente una combinazione di:

  • Qualcosa che possiede: un oggetto che identifica in modo univoco l’utente (ad es. Yubico key, un dispositivo mobile registrato o un token hardware)
  • Qualcosa che egli è: la firma biometrica di una persona (ad esempio impronta digitale, viso, retina, ecc.).

Questo tipo di autenticazione utilizza la crittografia a chiave asimmetrica: il dispositivo crea una coppia di chiavi (pubblica e privata) al momento della registrazione. Durante l’autenticazione, l’accesso alla chiave privata, utile al processo di firma, può essere effettuato solo utilizzando qualcosa che l’utente possiede (PIN) o che egli è (impronta digitale, retina, ecc).

Implementare un processo di autenticazione di tipo passwordless non è un compito da poco, soprattutto quando si ha a che fare con tante utenze, un numero considerevole di app, infrastrutture ibride e flussi di accesso complessi. Il raggiungimento di un ambiente completamente privo di password è un viaggio che implica un approccio graduale che tuttavia deve tenere il passo con l’inarrestabile evoluzione tecnologica. Sebbene l’eliminazione completa delle password sia ancora lontana, è già possibile ridurre la dipendenza da esse.

Noi di Athesys ti consigliamo di avere alcuni esperti assegnati specificamente al tuo percorso “zero trust”, in modo da poter risolvere eventuali problemi non appena si presentino; se eseguito correttamente, un approccio senza password riduce al minimo la probabilità di una violazione a causa del furto delle credenziali.

 

Fonti:

  1. 2020 Data Breach Investigations Report, Verizon
  2. 2019 Cost of a Data Breach Report,  IBM

Spesso siamo alla ricerca di risposte e soluzioni senza considerare che ciò che cerchiamo è già in nostro possesso.

In un’epoca che vede le imprese impegnate ad implementare soluzioni volte a facilitare l’organizzazione del lavoro in modalità smart, ma allo stesso tempo chiamate a tenere sotto controllo le voci di spesa, un’attenta disamina delle risorse disponibili è fondamentale.

Prendiamo ad esempio gli strumenti di project management.

Lo scenario commerciale pullula di soluzioni. Pratiche e funzionali, tuttavia spesso con la nota dolente della versione free che non offre sufficienti funzionalità per il mondo azienda o non supporta le integrazioni con altre applicazioni necessarie ad un’efficace gestione del business. In molte delle realtà enterprise l’adozione della versione a pagamento è praticamente d’obbligo.

A questo punto occorre riportare un dato importante: ad oggi Microsoft, rappresenta più del 70% dell’installato mondiale. Quindi un approfondimento delle funzionalità offerte è quanto mai doveroso, nell’ottica del taglio dei costi di licensing e dell’ottimizzazione degli investimenti.

Microsoft, ad esempio, mette a disposizione dei propri utenti Microsoft Planner, un tool per la gestione delle attività e dei progetti, compreso nelle licenze Microsoft 365 Business Basic:

  • Microsoft 365 Business Standard
  • Office 365 E1
  • Office 365 E3
  • Office 365 E5
  • Microsoft 365 A1

Considerando la percentuale di cui sopra, va da sé che molte imprese lo possiedono già.

Perché pagare costi di licenza ulteriori se si ha già a disposizione uno strumento efficace?

Planner è uno tool basato sulla metodologie Agile, votato a facilitare il lavoro dei team, coordinando progetti e condividendo files in modo facile ed efficace. Anch’esso è incentrato sulla visualizzazione delle schede kanban il che per gli utenti, rende il passaggio da altri strumenti praticamente indolore. E Creare le bacheche kanban con Planner è davvero semplice.

Ogni piano di progetto di Microsoft Planner ha una propria board contenente le schede attività. Ogni scheda contiene informazioni descrittive e la scadenza. Alle schede si possono allegare file, i membri del team possono lasciare commenti, mentre i project manager possono assegnare le attività ai membri del team che riceveranno la notifica via mail. La vista grafica consente inoltre un rapido colpo d’occhio sullo stato dei progetti.

 

Microsoft Planner dashboard – Microsoft

 

Uno dei punti di forza di Planner risiede nella sua integrazione con altri strumenti di Office 365 come Teams e Project. Ad esempio, è possibile collegare un’attività di Project Online a Planner permettendo così al project manager di affidare la gestione di un’attività ad un collega utilizzando Planner. I file condivisi sono archiviati in SharePoint per un facile accesso e ciascuna scheda è connessa a un blocco appunti di OneNote per consentire ai membri del team di visualizzarli.

Planner è integrato con i gruppi di Office 365, rendendo le conversazioni disponibili in Outlook: è infatti possibile creare attività direttamente dalle e-mail, contrassegnare i messaggi come attività, trascinare le attività al calendario di Outlook o contrassegnarle come completate.

Pur non essendo disponibile alcun processo integrato out-of-the-box per il porting dei dati da altre applicazioni ( Trello, Asana, Jira) a Planner, è comunque possibile trasferire tutte le attività.

 

Le attività di Planner su Outlook – Microsoft

 

Ad esempio, la versione free di alcuni popolari concorrenti di Planner, consentono di esportare i dati in JSON, mentre quelle premium anche in formato CSV. L’import può essere gestito con tool disponibili in commercio o con soluzioni, un po’ più macchinose, open-source.

Il team di Athesys è a disposizione dei propri clienti che intendono ottimizzare l’investimento di Microsoft 365 e mirano a tagliare i costi di licenza adottando Planner, offrendo un’implementazione vantaggiosa e veloce mediante un’integrazione degli strumenti Microsoft e con lo sviluppo di un workflow in Power Automate o C# per un porting dei dati rapido ed indolore.

Contattaci per scoprire di più!


Mai come in questo frangente, per garantire la continuità aziendale, è essenziale disporre di un piano per le emergenze. Oggi infatti, tutte le aziende sono chiamate ad essere pronte a reagire il più rapidamente possibile al fine di mitigare gli impatti e i rischi che inesorabilmente colpiranno verticalmente molteplici settori.

Investire nella gestione della continuità aziendale, significa mettersi al riparo dai rischi infrastrutturali, informatici, dei dipendenti, aziendali, operativi e di comunicazione, con l’obiettivo di costruire anche un’organizzazione pronta a reagire a situazioni straordinarie, garantendo la continuità dell’infrastruttura e della produzione in un futuro che vedrà lo smart working essere il mantra più recitato.

Per garantire una solida trasformazione digitale e prepararsi a rispondere efficacemente ai cambiamenti organizzativi e produttivi dettati dalla critica congiuntura in atto, Athesys ha scelto di completare la migrazione di tutta la sua infrastruttura legacy in Microsoft Azure, valutata una soluzione cloud completa in grado di integrare tutti i servizi mission critical.

In particolare, Athesys ambiva non solo a modernizzare il suo ambiente legacy, migliorando la qualità del servizio e riducendo i costi, ma soprattutto a creare un’infrastruttura flessibile in grado di rispondere meglio ai repentini scenari di business. “Grazie alla lunga esperienza sulle tecnologie Microsoft dei nostri professionisti abbiamo migrato tutta la nostra infrastruttura sul cloud Azure”, afferma Simone Albamonte, CEO di Athesys. “Utilizzavamo già da molti anni la suite MS Office 365, pertanto abbiamo trasferito tutti i nostri ambienti di produzione dal gestionale al centralino, gli applicativi critici e tutti i servizi forniti ai nostri Clienti inclusi gli ambienti di sviluppo e testing”. 

Altresì, con gli strumenti messi a disposizione dal cloud Azure è possibile configurare anche un sito di DR remoto collegandolo direttamente agli host in produzione con la possibilità di replicare tutte le funzionalità presenti sul sito principale. In questo modo, oltre a gestire l’emergenza in caso di fault è possibile intraprendere un percorso di migrazione dall’ on-site al cloud di una parte o di tutta l’infrastruttura server, in maniera tale da usufruire dell’alta affidabilità offerta. I costi dell’operazione sono stati opportunamente preventivati tramite un’apposita applicazione: in questa maniera è stato possibile calibrare le risorse al fine di ottimizzare la spesa. La soluzione ha apportato numerosi benefici, in primis:

  • Alta affidabilità (le macchine virtuali – server – sono replicati a livello geografico su diversi datacenter)
  • Alta diponibilità in virtù della replica geografica
  • Sicurezza (ogni server è automaticamente inserito in una policy di network la cui restrittività è gestita in base alle esigenze)
  • I servizi esposti dai server possono essere usufruiti dagli utenti in ogni luogo del pianeta in cui vi sia diponibilità di una connessione internet

Siamo sempre lieti di condividere il nostro know-how e di vedere come le nostre soluzioni possono facilitare il lavoro delle imprese. Se stai pensando al cloud ma hai molti dubbi, contattaci anche solo per un parere.


Dato il numero crescente di contagi registrati nelle ultime ore prevalentemente in Lombardia e Veneto e il trend in aumento dei possibili casi positivi al CoVid-19, è assolutamente doveroso per i cittadini attenersi alle misure cautelative di contenimento diramate dalle istituzioni.
Anche le aziende, in ottemperanza alle indicazioni Regionali e del Ministero della Salute, proprio nelle ultime ore stanno adottando policy di sicurezza sanitaria atte a fronteggiare il propagarsi dell’infezione che includono, oltre alla buona prassi igienica di lavare frequentemente ed accuratamente le mani, sanificare gli ambienti e detergere le superfici con prodotti idonei anche:

  • Limitazione degli incontri fisici in favore di strumenti informatici,
  • Annullamento di incontri, partecipazione a fiere e meeting,
  • Restrizione nell’accesso per i consulenti, invitati a lavorare da remoto
  • Smart Working per i dipendenti.

E’ doveroso chiedersi quali saranno le ripercussioni sociali del CoVid-19, dal momento che è sconsigliabile scambiarsi una calda stretta di mano ed è preferibile invece conversare ad una debita distanza di sicurezza.
Certo ciò dipenderà dalla durata del lasso di tempo in cui dovremo attenerci a questi accorgimenti e soprattutto dal sottofondo emotivo di ciascuno.

La speculazione del malware Emotet

Che un evento epocale e critico quale la diffusione del Coronavirus potesse fare gola agli hacker era prevedibile. Già da qualche mese il malware Emotet viene diffuso a mezzo di allegati spam che offrono informazioni circa la diffusione del coronavirus. Il contenuto delle mail è stato architettato ad arte, incentrato sui trend del contagio o sulle norme da tenere per evitarlo ed invogliano a cliccare diverse tipologie di file malevoli, compresi pdf, mp4 e docx per diffondere invece il malware.

Lo Smart Working e il dilagare di dispositivi non sicuri connessi alle reti aziendali

L’avvallo allo Smart Working che il Coronavirus comporta, si può raffigurare come un piede ben premuto sull’acceleratore dei rischi connessi alla Shadow IT: devices ed end-point di vario genere, magari personali, che utilizzano sistemi operativi non aggiornati, senza patch di sicurezza che si collegano in VPN e procedono a modifiche e sincronizzazioni degli asset aziendali.

Questo scenario, allarmante nei termini della salute dei cittadini, si prospetta invece come un prospero terreno di caccia per tutti i fautori di attacchi malevoli. Un numero crescente di macchine isolate e vulnerabili, al difuori del controllo diretto dell’IT, che si interfacciano con reti, applicazioni e databases aziendali.

Chi governa la sicurezza di un’azienda ora più che mai è chiamato non solo a rafforzare gli strumenti di prevenzione degli attacchi informatici in essere, a diffondere dei principi di buona condotta rispetto a contenuti sospetti, ma soprattutto è tenuto a seguire i trend sociologici e politici e ancor più epidemiologici in corso, maturando non solo consapevolezza ma anche lungimiranza e strategia, guardando a soluzioni innovative in grado di approcciare il tema della sicurezza informatica con strategie rivoluzionarie.


Oltre 160.000 notifiche di violazione di dati sono state inviate alle autorità nei 20 mesi successivi all’entrata in vigore del GDPR. 1886 sono stati i casi di “data breach” notificati al Garante italiano, collocando così l’Italia all’undicesimo posto nell’Unione Europea per il numero di notifiche. I Paesi Bassi, la Germania e il Regno Unito sono in cima alla graduatoria per il numero di violazioni di dati notificate alle autorità di regolamentazione con 40.647, 37.636 e 22.181 notifiche ciascuna.

L’analisi dello studio legale DLA Piper ha rilevato che dopo l’entrata in vigore del regolamento generale sulla protezione dei dati (GDPR) il 25 maggio 2018, i primi otto mesi hanno visto in media 247 notifiche di violazione al giorno. Da allora, si è passati ad una media di 278 notifiche al giorno.

“Il GDPR ha spinto il problema della violazione dei dati in modo chiaro e reale. Il tasso di notifica della violazione è aumentato di oltre il 12% rispetto al rapporto dell’anno scorso e i regolatori sono stati impegnati a testare i loro nuovi poteri per sanzionare le organizzazioni” ha affermato Ross McKean, partner di DLA Piper, specializzato in cyber security e protezione dei dati.
Dall’entrata in vigore del GDPR il 25 maggio 2018 a gennaio 2020, i Garanti per la privacy hanno imposto ammende pari a 114 milioni di euro. La Francia, Germania e Austria sono in cima alla classifica per il valore totale delle ammende, inflitte rispettivamente con poco più di 51 milioni di euro, 24,5 milioni di euro e 18 milioni di euro. L’Italia viene classificata al quarto posto con un valore totale di 11,55 milioni di euro.

La sanzione più alta imposta finora è pari a 50 milioni di euro, effettuata dal CNIL (il Garante privacy francese) a Google il 21 gennaio 2019, per presunte violazioni del principio di trasparenza e mancanza di un valido consenso relative alla pubblicità. Tuttavia, l’importo totale delle sanzioni di 114 milioni di euro finora imposte è relativamente basso rispetto alle potenziali sanzioni massime previste dal GDPR, il che indica che siamo ancora agli inizi.

Trovate qui la versione pdf: SCARICA



DESCRIZIONE PROGETTO

Il progetto è rivolto a lavoratori occupati presso quattro Aziende del territorio Veneto coinvolte in un processo di Digital Trasformation. Obiettivo generale è quello di potenziare, da un lato le competenze digitali dei partecipanti e, dall’altro, le competenze trasversali, al fine di generare un cambiamento culturale e organizzativo.

Nello specifico, il progetto prevede i seguenti interventi formativi:

Per potenziamento delle competenze trasversali

– Formazione indoor: La gestione del cambiamento – Athesys – 8 ore, replicato in 3 edizioni

– Formazione indoor: Da comunicatore a facilitatore – Athesys – 32 ore

– Formazione indoor: Cambiamento e Stress lavorativo – Athesys – 16 ore

– Formazione indoor: Tecnologie Mobile per la Digitalizzazione – Athesys – 32 ore

– Formazione esperienziale outdoor: Teambuilding e Focus verso gli obiettivi – Athesys -8 ore, replicato in 3 edizioni

– Formazione indoor: La metodologia Agile per la gestione del cambiamento – Esse Solution -16 ore

– Formazione esperienziale outdoor: Teambuilding e Focus verso gli obiettivi – Esse Solutions – 8 ore

– Formazione esperienziale outdoor: Teambuilding e Focus verso gli obiettivi – P-LAB – 8 ore, replicato in 4 edizioni

– Formazione esperienziale outdoor: Teambuilding e Focus verso gli obiettivi – SIAV – 8 ore, replicato in 5 edizioni

– Percorso individuale di Executive Coaching – Esse Solutions- 4 ore

– Percorso individuale di Executive Coaching – P-Lab – 4 ore

– Percorso individuale a supporto del cambiamento organizzativo “Il cliente al centro della Digital Transformation” – Athesys – 16 ore

Per il potenziamento delle competenze digitali

– Formazione indoor: IOT- Principi di architettura e funzionamento – Athesys – 32 ore

– Formazione indoor: Data Mining e Data Management – Athesys – 32 ore

– Formazione indoor: La metodologia Agile per la gestione del cambiamento – Athesys- 32 ore

– Formazione indoor: Digital Trasformation e Cyber security – Athesys – 40 ore

– Formazione indoor: Tecnologie per lo Sviluppo Front End – Athesys – 32 ore

– Formazione indoor: Tecnologie per lo Sviluppo Back End – Athesys – 32 ore

– Formazione indoor: Tecnologie per lo Sviluppo Back End – Athesys – 32 ore

– Formazione indoor: Tecnologie per lo Sviluppo Front End – Esse Solutions – 24 ore

– Formazione indoor: Tecnologie per lo Sviluppo Back End – Esse Solutions – 24 ore

– Formazione indoor: Data Mining e Data Management – P-LAB- 16 ore

– Formazione indoor: Tecnologie Mobile per la Digitalizzazione – P-LAB – 16 ore

– Formazione indoor: Tecnologie per lo Sviluppo Front End – P-LAB – 8 ore

– Formazione indoor: Fondamenti di Angular – P-LAB – 16 ore

– Formazione indoor: Fondamenti di React JS – P-LAB – 16 ore

– Formazione indoor: Fondamenti di CSS3- P-LAB – 16 ore

– Formazione indoor: Tecnologie per lo Sviluppo Front End – SIAV – 16 ore

– Formazione indoor: Competenze per la digital customer service – SIAV – 16 ore

– Innovation Camp: Formazione e-learning su DevOps, Google Cloud e Kubernetes, 4 edizioni

– Un Voucher per la partecipazione al corso “Manager della trasformazione digitale” – SIAV – 16 ore

– Workshop “Ottimizzare i processi aziendali nell’era della digitalizzazione” – 4 ore

Destinatari

I destinatari dell’intervento saranno 8 lavoratori dell’azienda Esse Solution, 21 lavoratori dell’azienda Athesys, 40 dipendenti dell’azienda Siav, 24 dipendenti dell’azienda P-lab.

 

Scarica la locandina ufficiale.


Un software obsoleto rappresenta un rischio potenziale per i sistemi informatici giacché, si sa, la mancanza di patch di sicurezza aumenta la vulnerabilità e la possibilità di cadere vittima di attacchi haker.

In base alle stime di una recente indagine messa a punto da Kaspersky, nota software house di antivirus, il 40% dei sistemi informatici presenta delle considerevoli falle in ambito sicurezza Internet in quanto il sistema operativo risulta obsoleto per via di mancati aggiornamenti.

Naturalmente non si tratta solo di mantenere adeguati ed aggiornati sistemi di sicurezza perimetrale, bensì di provvedere all’aggiornamento di tutto il software.

La fine del supporto di SQL Server 2008/R2 e di Windows Server 2008/R2, ad esempio, implicherà il termine degli aggiornamenti di sicurezza standard. Non sarà più possibile applicare eventuali patch correttive, correndo il rischio di rallentare o addirittura arrestare l’operatività.

Non avere la possibilità di applicare aggiornamenti di stabilizzazione, ottimizzazione e sicurezza renderà estremamente vulnerabili le applicazioni e i dati mission-critical, esponendoli al rischio di ransomware, phishing ed attacchi, dal momento che Il software fuori supporto può presentare vulnerabilità, che vengono velocemente intercettate e condivise tra i criminali informatici.

Stando ai dati riportati in recenti rapporti, sono soprattutto le PMI che manifestano la più alta vulnerabilità agli attacchi informatici, a causa dei ridotti investimenti per gli aggiornamenti di software, hardware e sistemi operativi oramai anacronistici.

Perdita di fatturato, perdita di dati mission-critical, riscatti e costi per il ripristino, rappresentano le principali voci di spesa cui tener conto quando si mantiene un sistema non aggiornato.

Altro tema rilevante è la mancata conformità alla normativa GDPR, che infatti prevede, una sanzione fino al 4% del fatturato globale annuo o pari a 2 milioni di euro, a seconda di quale dei due importi sia superiore per le imprese che agiscano in violazione del GDPR.

Anche il Garante della Privacy indica che:

“Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (articolo 31 del Codice). In particolare, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice e Allegato B al Codice) volte ad assicurare un livello minimo di protezione dei dati personali. L’omessa applicazione delle misure minime di sicurezza è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo  162, comma 2 bis del Codice) e con la sanzione penale dell’arresto fino a 2 anni (articolo 169 del Codice).” Fonte: Garante della Privacy

Non lasciare che tutto questo accada. I tecnici qualificati di Athesys possiedono le competenze per supportarti nella migrazione a sistemi più evoluti che ti garantiranno sicurezza ed efficienza.

SCOPRI LE NOSTRE SOLUZIONI >>


I primi nomi cui la blockchain viene associata nel corso della sua storia, sono quelli di Stuart Haber e W. Scott Stornetta e pur essendo salita alla ribalta solo in tempi recenti, soprattutto in riferimento al concetto di identità decentralizzata in ambito IoT, Smart Cities e Smart Landscape, ha in realtà alle spalle quasi un trentennio di storia.

Stuart Harber, laureato con lode ad Harvard, consegue un master in matematica presso l’Ecole normale supérieure, proseguendo poi gli studi con un dottorato di ricerca presso la Columbia University, conseguendo il titolo con una tesi dal titolo “Provably secure multi-party cryptographic computation: Techniques and applications”.

Scott Stornetta, si laurea in fisica presso la Stanford University, e presto diventa componente della Association for the Advancement of Artificial Intelligence.

Il sodalizio fra Harber e Scorbetta risale ai tempi della loro esperienza lavorativa presso Bell Communications Research, durante la quale iniziano a rilasciare pubblicazioni in ambito crittografia e blockchain, è infatti del 1991 la prima descrizione della catena di blocchi protetta crittograficamente.

Ma è solo nel 2008 che la blockchain inizia a suscitare interesse a seguito della pubblicazione di un white paper su un sistema di moneta decentralizzata (il ben noto Bitcoin), architettura che riprende molti aspetti della tecnologia di Haber e Scornetta.

La blockchain è una tecnologia basata su un registro pubblico in cui è possibile archiviare in modo sicuro, all’interno di blocchi crittografici, i dati relativi alle relazioni intercorse tra due edge.

La blockchain garantisce elevati livelli di sicurezza grazie ad un evoluto sistema di crittografia e alla struttura a catena di blocchi (per l’appunto) collegati in maniera gerarchica in cui i miner sono deputati al controllo delle transazioni.

Ma è soprattutto grazie all’implementazione degli smart contract che la blockchain può espandere i propri campi di applicazione ad ambiti sicurezza, finance, autenticazioni. Un ampio campo di applicazione è sicuramente rappresentato dall’ambito delle innovazioni in materia di Industria 4.0 e IoT, nonché nel sistema autenticativo e autorizzativo delle identità digitali.

Se vuoi conoscere in che modo la blockchain può aiutarti in ambito gestione delle identità decentralizzate e sicurezza del tuo business, contattaci!