5 способов, которыми малый бизнес может обновить управление паролями

Как ИТ-специалист, надзор за целостностью паролей, контролем доступа и управлением идентификацией может быть проблемой, независимо от того, работаете ли вы в малом бизнесе или крупном предприятии. Сотрудники всегда по той или иной причине представляют угрозу безопасности, используют ли они слабые пароли, щелкают сомнительные ссылки или получают доступ к внешним приложениям для получения рабочих данных, потому что это проще. В качестве доказательства посмотрите не более чем годовой список наихудших паролей SplashData, чтобы узнать, сколько утечек учетных данных для входа в систему все еще оказывается «паролем» и «123456.»

Во время недавнего саммита Национального альянса по кибербезопасности (NCSA) в Нью-Йорке PCMag встретился с Мэттом Капланом, генеральным директором LastPass, компании, которая предлагает решения для управления паролями и обеспечения безопасности для потребителей, малых предприятий и предприятий.

LastPass недавно опубликовал отчет совместно с агентством по исследованию рынка Ovum на тему «Закрытие пробела в защите паролем». В отчете было опрошено 355 ИТ-руководителей и 550 корпоративных сотрудников. Среди выводов было то, что 61% ИТ-специалистов полагаются исключительно на обучение сотрудников для обеспечения надежных паролей. В отчете также указывается, что четыре из 10 компаний по-прежнему используют полностью ручные процессы для управления паролями пользователей для облачных приложений. Каплан сказал, что самой большой проблемой для бизнеса является неэффективный подход к обеспечению безопасности в отношении того, как сотрудники работают в настоящее время.

«Сотрудники делают то, что они всегда делали, то есть удовлетворяют свои собственные потребности в производительности и удобстве, чтобы выполнять свою работу более эффективно. Они не являются злонамеренными или злонамеренными; они просто пытаются работать эффективно», - сказал он. Каплан.

«Таким образом, в конечном итоге сотрудники находят путь наименьшего сопротивления. Они используют общедоступный Wi-Fi, когда не должны. Они используют Dropbox, Google Drive и другие решения для синхронизации и обмена файлами, не санкционированные компанией, потому что это проще Они приносят другие приложения в организацию, потому что это делает их более продуктивными. В целом, то, чего не хватает руководителям ИТ, - это внимание человеческому фактору ».

Каплан сказал, что предприятиям необходимо заниматься некачественным управлением паролями на нескольких разных направлениях. Бремя ложится на ИТ, чтобы скорректировать свои ожидания и стратегию. LastPass считает, что вы можете изменить привычки сотрудников, не только обучая их гигиене паролей, но и предоставляя им такие технологии, как менеджеры паролей (и даже такие мотиваторы, как геймификация), чтобы заново определить, как компании и сотрудники смотрят на пароли.

1 Да, это ваша проблема

Одна из причин, по которой ИТ-специалисты часто не могут применять более строгие стандарты паролей в бизнесе, заключается в том, что они совершенно не могут контролировать их. Каплан сказал, что оправдание не достаточно хорошо в 2017 году.

«В ходе нашего исследования мы обнаружили, что почти 80 процентов ИТ-руководителей не имеют полного контроля над паролями в своих организациях», - сказал Каплан. «Большинство из них признают, что отсутствие контроля - это серьезный риск. Так почему? Многие из них считают, что вы не можете контролировать то, что вы не управляете. Пароли сотрудников находятся на усмотрении сотрудников, и в них нет никакой видимости».



2 Взять целостный взгляд

Рабочие приложения и учетные записи - далеко не единственные уязвимые конечные точки безопасности, которыми необходимо управлять, чтобы предотвратить компромисс в сети вашей компании. ИТ-менеджерам в малом бизнесе нужно выходить за рамки рабочего входа сотрудника и думать о более широкой картине, предоставляя инструменты и обучение для улучшения правил гигиены паролей и обеспечения безопасности.

«Злоумышленники используют социальную инженерию для проникновения в корпоративные учетные записи. Так что действительно важно, чтобы компании придерживались целостного взгляда на сотрудника и рассматривали как использование личного пароля, так и использование в бизнесе. Вы должны обратиться к обеим сторонам», - сказал Каплан. «Слишком долго ИТ-специалисты говорили:« Мы будем обращаться только к паролям, связанным с бизнесом компании ». Это уже не эффективно. Посмотрите на недавнее нарушение Yahoo, когда они недавно обнаружили, что три миллиарда паролей были украдены. Это явные точки входа для злоумышленников в бизнес ».



3 Образование и аутентификация

Согласно отчету Verizon по расследованию нарушений данных за 2017 год, более 80 процентов нарушений вызваны слабыми, взломанными или повторно используемыми паролями. Каплан сказал, что если ваш бизнес дает сотрудникам инструменты и обучение тому, как создавать и безопасно управлять паролями повсюду, то вы можете закрыть большую область угрозы компании.

«Есть несколько вещей, которые нужно сделать ИТ-отделам», - сказал Каплан. «Одним из них является обучение сотрудников тому, как иметь надежные, длинные и уникальные пароли на каждом сайте. Используйте менеджер паролей, потому что вы не можете запомнить все эти уникальные пароли на каждом сайте. Используйте многофакторную аутентификацию, чтобы убедиться, кто вы вы и следите за использованием пароля."



4 Gamify It

LastPass позволяет предприятиям видеть оценки паролей разных сотрудников. Каплан сказал, что геймификация может стать для бизнеса способом учета человеческого фактора. Геймификация - это способ дать пользователям кнут, а не кнут.

«Возможно, разыграйте ваши политики паролей. Таким образом, сотрудник с наивысшей оценкой пароля может получить очки, приз или что-то в этом роде», - сказал Каплан. «Это действительно другой подход по сравнению с блокированием« не может получить доступ к нашей сети », который традиционно используется для обеспечения безопасности. Это просто невозможно сделать, потому что все открыто. Мы должны предположить, что злоумышленники находятся на Сеть где-то скрывается ".



5 Учитывайте современное поведение

В отчете также говорится, что у 76 процентов сотрудников были постоянные проблемы с использованием пароля. И выяснилось, что почти 70 процентов сказали, что будут использовать менеджер паролей, если он им будет предоставлен. Каплан сказал, что предприятия должны признать, как сотрудники работают сегодня, и адаптировать ИТ-политики и управление паролями к современному поведению пользователей.

«Люди хотят работать с мобильных устройств, и они хотят работать где угодно. Они хотят свободы работать из дома отдыха или футбольной игры своего ребенка, и ИТ-отдел должен уважать это. Граница между работой и размытостью дома, и ИТ-руководителями нужно это учитывать », - сказал Каплан. «Аппетит налицо. Нет разницы, являетесь ли вы стартапом из 10 человек, небольшим бизнесом или компанией из 10 000 человек; мы видим, что решение работает так же эффективно».