Il primo passo da effettuare è quello di creare delle policies generali di protezione, a prescindere dalla piattaforma. Ovvero individuare le informazioni sensibili e quali utenti devono avere accesso alla Org e poi alle diverse informazioni.
Per quanto riguarda la specifica org bisogna individuare:
- Quanti utenti ci sono all’interno della org.
- Che tipo di informazioni bisogna proteggere.
- Quanti admin saranno in carico per gestire problemi di password o degli utenti che non riescono ad accedere.
É importante avere un piano di sicurezza più ampio che non preveda soltanto la gestione della password perchè, anche una volta entrati nel sistemi gli utenti dovranno poter vedere (e fare) soltanto il minimo, ovvero utilizzando sempre il principio del “least privilege”.
Una volta definiti gli obiettivi di sicurezza e accessibilitá del sistema, per modificare il tipo e la complessità delle password da Setup | Security | Password policies
Da questo pannello si possono modificare diversi aspetti delle password tra cui:
- Ogni quanto scade la password (che gli utenti dovranno poi rinnovare)
- Quante password vecchie salvare (quindi non potranno essere riutilizzate per un numero di volte)
- La complessità della password (se deve includere caratteri alfanumerici ecc.)
- Se le domande per recuperare la password possono o no contenere la password stessa
- Quanti tentativi di login si possono fare prima che l’utente venga bloccato
- Dopo quanto tempo di inattività all’interno della org di verrà espulsi dal sistema
- Si può specificare una pagina diversa dalla quella standard in caso si necessiti assistenza
0 commenti