Entra nella community

PaSsword%1_!

Ma servono davvero tutte queste password?

Quando la sicurezza sembra un eccesso… 

C’è una domanda che ritorna spesso, sottovoce, nelle aziende.
Una domanda che a volte si cela dietro un sospiro, una battuta tra colleghi, o una mail non letta fino in fondo:

“Ma tutte queste misure di sicurezza sono davvero necessarie? 

Password complesse… minimo 12 caratteri, numeri e segni speciali, lettere maiuscole e minuscole, cambiate almeno ogni 6 mesi. Implementazione di autenticazione multifattoriale (MFA) per tutti gli account di posta e sistemi cloud… autenticazione a due fattori, codici via SMS, verifica da app.

Implementazione dei sistemi di sicurezza, ISO e certificazioni varie.

… ogni giorno, in azienda, richiediamo sforzi tecnici e organizzativi per proteggere i dati.
Spesso ci si chiede: non stiamo esagerando?

Diciamolo: le misure di sicurezza vengono spesso percepite come ostacoli.
Qualcosa che rallenta il lavoro, che complica, che “non serve davvero”.
Spoiler: no!

Vediamo insieme un caso reale per capire che no, non stiamo affatto esagerando, leggi IL CASO.

Quando la sicurezza si “dà per scontata”

Molti associano la sicurezza informatica a virus, intrusioni o software complessi.
Ma spesso, le falle nascono dentro le mura aziendali, da routine poco controllate:

  • un file condiviso senza filtro,
  • un accesso lasciato aperto “per praticità”,
  • una password semplice usata da anni.

… da una cultura della sicurezza assente o sottovalutata.

Eppure, in un contesto lavorativo digitalizzato, ogni clic può fare la differenza.

La verità è che non basta un firewall per proteggere i dati aziendali.
Serve una strategia. Una visione. Una cultura.
E sĂŹ, servono anche:

  • Password robuste (almeno 12 caratteri, numeri, simboli)
  • Cambi periodici (almeno ogni 6 mesi)
  • MFA (autenticazione multifattoriale) per tutti gli account critici
  • Controllo costante dei permessi di accesso

La questione privacy: chi vede cosa, e perchĂŠ

Nel caso di cui parliamo oggi, la domanda giusta non è “chi ha sbagliato?”,
ma:

📌 Chi gestisce oggi i permessi di accesso nella tua azienda?
📌 Quando è stata fatta l’ultima revisione degli accessi alle cartelle condivise?
📌 Hai una mappatura aggiornata dei dati trattati e dei soggetti che vi accedono?
📌 Hai previsto procedure per intercettare configurazioni errate o anomalie comportamentali?

Il GDPR è chiaro: i dati personali vanno trattati solo se necessario e da chi ne ha titolo.
Non bastano buone intenzioni. Serve:

  • un sistema di gestione degli accessi,
  • tracciabilitĂ ,
  • revisione periodica delle autorizzazioni,
  • formazione continua.

In assenza di risposte chiare e documentate, il rischio non è solo tecnico, ma giuridico:
📍violazione dei principi ex art. 5 GDPR
📍obbligo di notifica al Garante ex art. 33
📍obbligo di comunicazione agli interessati ex art. 34
📍responsabilità contrattuale e reputazionale

E allora: servono davvero tutte queste password?

SĂŹ. Ma non solo.
Servono visione, cultura, procedure, consapevolezza.
Serve smettere di pensare che la protezione dei dati sia “cosa da tecnici”.

La sicurezza non è un vincolo. E’ un ecosistema fatto di persone, processi, tecnologie e cultura.

E’ una responsabilità diffusa.
E ogni scelta, anche quella apparentemente più semplice – come l’impostazione di una password o l’accesso a una cartella – ha un impatto sulla protezione della nostra identità, dei nostri clienti, del nostro lavoro.

La differenza la fa la consapevolezza

Investire in sicurezza significa proteggere relazioni, reputazione, know-how, competitività.

Non basta “essere a norma”.
Serve pensare in modo strategico e orientarsi a una compliance viva, che cresce con l’organizzazione.

PerchÊ la sicurezza è fatta anche di gesti minimi, ma significativi:
come la scelta di una password complessa.
Come dire no a un accesso generalizzato.
Come fermarsi a chiedere: “Questo dato, davvero mi serve?”

Perché la sicurezza non è una barriera. È un’opportunità.

Un’occasione per prenderci cura dei dati che ci sono affidati. Per costruire un ambiente di lavoro più consapevole.
Per evitare errori silenziosi, ma costosi.

E per cambiare la narrazione: la privacy non è burocrazia.
È cultura. È rispetto. È fiducia.

Crediamo che il primo passo sia iniziare a parlarne con esempi reali, parole comprensibili, strumenti pratici.
Per questo, se vuoi portare consapevolezza in azienda — senza tecnicismi, ma con efficacia — possiamo lavorarci insieme.

📬Contattaci info@competencelab.it


La sicurezza è una scelta quotidiana. Meglio farla bene.

Condividi:

IL CASO

Un caso vero. Silenzioso. Ma potenzialmente devastante.

Una societĂ  ben strutturata, attiva nel settore assicurativo, con oltre 300 dipendenti.

Niente attacchi hacker, nessuna sofisticata tecnica da film.

Solo un permesso di accesso lasciato “aperto a tutti” su una cartella condivisa in rete.

Una configurazione sbagliata dei permessi su una directory condivisa che ha portato ad un accesso non autorizzato a informazioni sensibili da parte di alcuni dipendenti junior.

Un’impostazione dimenticata sufficiente a configurare un rischio concreto di data breach e una possibile violazione delle regole sulla protezione dei dati personali.

Nessun controllo successivo. Nessuna revisione.
Il risultato?
Per mesi, alcuni collaboratori non autorizzati hanno avuto accesso libero a:

  • report di audit interni,
  • piani di budget e sviluppo,
  • dati anagrafici completi dei clienti.

Nessuna violazione dolosa, certo. Ma un accesso non autorizzato sistematico, costante, non monitorato.


Un classico caso di violazione del principio di limitazione dell’accesso e di minimizzazione del trattamento ai sensi del GDPR.

Cosa possiamo imparare da questo caso?

Che spesso i veri rischi non fanno rumore.
Non si presentano con un ransomware o un attacco DDoS. Si insinuano tra le abitudini, in quel “è sempre andata così”.

Ecco perchĂŠ ogni azienda dovrebbe porsi tre domande chiave:

🔍 I miei collaboratori sanno cosa vuol dire “dato sensibile”?
🔍 Le policy di accesso sono scritte, aggiornate e verificate?
🔍 Se oggi si verificasse un accesso improprio, riusciremmo ad accorgercene?

Da dove partire?

📌 Audit degli accessi: verifica chi può accedere a cosa, oggi.
📌 Policy chiare e condivise sulle credenziali, aggiornamenti, MFA.
📌 Formazione diffusa, con esempi reali e strumenti semplici.
📌 Verifica periodica delle configurazioni e logging degli accessi.

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra societĂ .
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it