contact@techway.ch
+41 44 585 23 09
TECHWAY Schweiz Logo
IT
DEFREN

Sicurezza delle password: fattori cruciali per le aziende

Le password restano il tallone d’Achille di molte aziende svizzere. Gli anni 2024–2025 hanno mostrato, con episodi come l’attacco di phishing a Zürich Insurance Group o le ondate di ransomware con Akira e Black Basta, quanto le credenziali compromesse possano portare a perdita di dati, interruzioni operative e danni reputazionali.

Perché la sicurezza delle password è una questione per i vertici

Le password restano una porta d’ingresso primaria per gli aggressori. Secondo il Trend Report 2024–2025, un’ondata di ransomware ha colpito molte aziende svizzere, con password rubate o deboli e l’assenza di autenticazione a più fattori (MFA) ripetutamente identificate come punti d’accesso. Anche il caso della Zürich Insurance Group all’inizio del 2024 lo evidenzia: il phishing basta a compromettere account di dipendenti e a esporre dati sensibili dei clienti. Per CISO, CTO e Security Engineer significa che politiche sulle password e misure di autenticazione vanno discusse a livello di consiglio e integrate nella gestione del rischio.

Le sole misure tecniche non bastano. Oltre a password robuste e uniche, i password manager automatizzati, la MFA, la gestione degli accessi privilegiati e il monitoraggio continuo sono elementi centrali. Le statistiche delle autorità e le analisi di settore mostrano che le organizzazioni che applicano coerentemente queste misure sono nettamente più resilienti agli attacchi basati su credenziali (NCSC/Statista).

Rischi concreti: SSO, gestione centralizzata e processi di backup

Le piattaforme centralizzate di identità e accesso semplificano l’operatività, ma comportano rischi sistemici. Il disservizio della piattaforma SSO Onelog nell’ottobre 2024 dimostra come un sistema di autenticazione compromesso o gestito in modo errato possa interrompere l’accesso per migliaia di utenti e portare alla cancellazione completa dei dati degli utenti. Per le imprese ciò significa: l’SSO deve essere accompagnato da solidi concetti di backup e recovery, da una gestione rigorosa degli accessi e da test di sicurezza regolari.

Inoltre, i volumi registrati di phishing e il crescente uso dell’IA per email verosimili mostrano che programmi di awareness e penetration test non sono opzionali. Il reporting inglese di SPIE e le segnalazioni su massicce ondate di phishing attestano che gli aggressori puntano deliberatamente alle password dei dipendenti per ottenere accesso iniziale.

Misure pratiche per le aziende: cosa funziona subito

Dagli incidenti del 2023–2025 emergono raccomandazioni operative chiare, realizzabili tecnicamente e integrabili a livello organizzativo:

1. Applicazione di policy robuste sulle password e riduzione del riuso. Adottate regole che impongano lunghezze minime, complessità e il divieto di riutilizzo, supportate da password manager. I manager automatizzati riducono l’errore umano e facilitano l’adozione in grandi platee di utenti.

2. Autenticazione a più fattori (MFA) obbligatoria per tutti gli accessi privilegiati e critici. Molti casi di ransomware ed esfiltrazione di dati si sarebbero potuti prevenire, o quantomeno rendere più difficili, con una MFA capillare. L’introduzione va completata con monitoraggio e piani di emergenza.

3. Gestione degli account privilegiati (PAM). Minimizziate i privilegi amministrativi permanenti, adottate privilegi just‑in‑time e abilitate il session logging. Ciò riduce la superficie d’attacco anche in caso di compromissione delle credenziali.

4. Penetration test regolari ed esercitazioni Red Team. Il caso Zürich Insurance lo dimostra: le compromissioni di account supportate dal phishing restano concrete. Gli attacchi simulati aiutano a individuare lacune nei processi e a rafforzare le misure di awareness (analisi Zerberos).

5. Strategie di backup e recovery per i dati di autenticazione. Il disservizio di Onelog evidenzia la necessità di mantenere resilienti dati di autenticazione e account utente. Backup regolari, piani di ripristino separati e la possibilità di attivare vie di autenticazione alternative sono essenziali.

Implementazione organizzativa: formazione, governance e misurabilità

La tecnologia deve essere accompagnata da una governance chiara. Definite le responsabilità per la sicurezza delle password, misurate la compliance con scansioni automatizzate e riportate regolarmente alla direzione. I programmi di awareness dovrebbero allenare la resilienza al phishing e promuovere l’uso dei password manager. Le misure combinate riducono il rischio di compromissione degli account e i danni correlati, come documentato nel 2024 in diversi casi (analisi SPIE).

Tendenza tecnologica: Zero Trust e strumenti automatizzati

Le architetture Zero Trust, che per impostazione predefinita non assumono fiducia né nelle reti né nelle identità, riducono l’impatto delle password compromesse. La combinazione di identity federation, accesso condizionale, MFA e PAM realizza una difesa in profondità. I password manager automatizzati e — dove opportuno — soluzioni predefinite di secrets management riducono gli interventi manuali e il rischio di errore umano.

La pratica inoltre dimostra: investire nei controlli tecnici paga. Studi e sondaggi, tra cui il Cisco Cybersecurity Readiness Index, indicano che circa il 45 percento delle aziende svizzere ha subito incidenti informatici negli ultimi dodici mesi — molti innescati da credenziali non sicure e assenza di MFA (riferimento Cisco / angestellte.ch).

Conclusione

La sicurezza delle password non è un tema puramente IT: è un fattore di rischio aziendale centrale. Gli episodi 2023–2025 in Svizzera (Zürich Insurance, disservizio SSO Onelog, ondate di ransomware) dimostrano che credenziali compromesse possono avere conseguenze operative e regolatorie rilevanti. Per CISO, CTO e Security Engineer è cruciale collegare misure tecniche (MFA, PAM, password manager, Zero Trust) a un ancoraggio organizzativo (governance, reporting, formazione). Solo così si possono contenere in modo duraturo gli attacchi basati su credenziali.

Rafforzare password e identità: il prossimo passo

Se la vostra organizzazione non dispone ancora di una strategia di identità consolidata, iniziate con un inventario degli account privilegiati, l’introduzione di un password manager e l’obbligo diffuso della MFA. Integrate il tutto con test di phishing regolari e un piano di incident response ben definito. Competenze esterne possono aiutare a chiudere rapidamente le lacune e a impostare processi di governance (analisi CMM360).

Contattate il vostro team di sicurezza o un fornitore esperto per elaborare una roadmap pragmatica — prima che gli account vengano compromessi e il danno superi l’investimento nella prevenzione. Ulteriori approfondimenti e statistiche si trovano nelle fonti collegate sul panorama delle minacce in Svizzera (SPIE, Zerberos, Netzwoche).

Key take-away – Agire subito

Rafforzate la vostra strategia per identità e password: MFA obbligatoria, uso di password manager e PAM, principi Zero Trust, penetration test regolari e formazione coerente del personale. Solo così si riduce il rischio di account compromessi e gli impatti correlati per la vostra azienda.

CISO – un ruolo chiave nell’era dei rischi digitali
Regolamento macchine UE: significato per la Svizzera
Die wichtigsten Faktoren zum Thema Passwortsicherheit und die Anwendbarkeit in Unternehmen

Inviaci un messaggio!

Compila questo campo
Compila questo campo
Inserisci un indirizzo email valido.
Compila questo campo

Di: 

Kris Kormany