Sommario:
- 1 Sì, è il tuo problema
- 2 Prendi una vista olistica
- 3 Istruzione e autenticazione
- 4 Gamify It
- 5 Prendi in considerazione il comportamento moderno
Video: Gestione Password- Risolviamo il problema una volta per tutte! (Novembre 2024)
Come professionista IT, monitorare l'integrità delle password, il controllo degli accessi e la gestione delle identità può essere una seccatura se lavori in una piccola impresa o in una grande impresa. I dipendenti sono sempre un rischio per la sicurezza per un motivo o per l'altro, sia che utilizzino password deboli, facendo clic su collegamenti discutibili o accedendo ad applicazioni esterne per i dati di lavoro perché è più semplice. Per la prova, non guardare oltre l'elenco delle peggiori password annuali di SplashData per vedere quante credenziali di accesso trapelate risultano ancora "password" e "123456."
Durante un recente vertice della National Cyber Security Alliance (NCSA) a New York City, PCMag ha incontrato Matt Kaplan, General Manager di LastPass, una società che offre soluzioni di gestione delle password e sicurezza per consumatori, piccole imprese e imprese.
LastPass ha recentemente pubblicato un rapporto in collaborazione con l'agenzia di ricerche di mercato Ovum su "Colmare il divario di sicurezza delle password". Il rapporto ha esaminato 355 dirigenti IT e 550 dipendenti aziendali. Tra i risultati, il 61% dei dirigenti IT si affida esclusivamente alla formazione dei dipendenti per applicare password complesse. Il rapporto ha anche scoperto che quattro aziende su 10 fanno ancora affidamento su processi interamente manuali per gestire le password degli utenti per le app cloud. Kaplan ha affermato che il problema più grande per le aziende sta avendo un approccio di sicurezza inefficace al modo in cui i dipendenti lavorano oggi.
"I dipendenti stanno facendo ciò che hanno sempre fatto, ovvero affrontando le proprie esigenze di produttività e praticità per svolgere il proprio lavoro in modo più efficace. Non sono mal intenzionati o maliziosi; stanno solo cercando di lavorare in modo efficace", ha detto Kaplan.
"Quindi, ciò che i dipendenti finiscono per fare è trovare il percorso di minor resistenza. Usano il Wi-Fi pubblico quando non dovrebbero. Usano Dropbox, Google Drive e altre soluzioni di sincronizzazione e condivisione dei file non sanzionate dall'azienda perché è più facile Portano altre app nell'organizzazione perché le rendono più produttive. Nel complesso, ciò che manca ai dirigenti IT è l'attenzione sul fattore umano ".
Kaplan ha affermato che le aziende devono occuparsi della gestione scadente delle password su alcuni fronti diversi. L'onere grava sull'IT per adeguare le proprie aspettative e strategia. LastPass ritiene che sia possibile modificare le abitudini dei dipendenti non solo istruendoli sull'igiene delle password, ma fornendo loro tecnologie come i gestori di password (e persino motivatori come la gamification) per ridefinire il modo in cui le aziende e i dipendenti guardano le password.
1 Sì, è il tuo problema
Uno dei motivi per cui i professionisti IT spesso non possono applicare standard di password più forti in un'azienda è la percezione che è completamente fuori dal loro controllo. Kaplan ha detto che la scusa non è abbastanza buona nel 2017.
"Ciò che abbiamo scoperto attraverso la nostra ricerca è che quasi l'80% dei dirigenti IT non ha il controllo totale sulle password nelle loro organizzazioni", ha affermato Kaplan. "La maggior parte di loro riconosce che la mancanza di controllo è un grave rischio. Quindi, perché? Molti di loro credono che tu non possa controllare ciò che non gestisci. Le password dei dipendenti dipendono dai dipendenti e non vi è visibilità."
2 Prendi una vista olistica
Le app e gli account di lavoro sono tutt'altro che gli unici endpoint di sicurezza vulnerabili che devono essere gestiti per prevenire un compromesso nella rete della tua azienda. I responsabili IT di una piccola impresa devono guardare oltre il login del lavoro di un dipendente e pensare al quadro più ampio quando forniscono strumenti e formazione per migliorare l'igiene delle password e le pratiche di sicurezza.
"Gli aggressori usano il social engineering per accedere agli account aziendali. Quindi, ciò che è veramente importante è che le aziende abbiano una visione olistica di un dipendente e guardino sia l'uso personale delle password sia l'uso aziendale. Devi affrontare entrambe le parti", ha affermato Kaplan. "Per troppo tempo, i dirigenti IT hanno dichiarato:" Affronteremo solo le password relative al business aziendale ". Non è più efficace. Guarda la recente violazione di Yahoo in cui hanno recentemente scoperto che sono stati rubati tre miliardi di password. Questi sono chiari punti di accesso per gli aggressori in un'azienda."
3 Istruzione e autenticazione
Secondo il Data Verizon Investigations Report 2017 di Verizon, oltre l'80% delle violazioni è causato da password deboli, compromesse o riutilizzate. Kaplan ha affermato che se la tua azienda fornisce ai dipendenti gli strumenti e la formazione su come creare e gestire in sicurezza password ovunque, allora puoi chiudere una vasta area della superficie delle minacce di un'azienda.
"Ci sono un paio di cose che i dipartimenti IT devono fare", ha affermato Kaplan. "Uno è educare i dipendenti su come avere password forti, lunghe e uniche su ogni sito Web. Utilizzare un gestore di password perché non è possibile ricordare tutte quelle password uniche su ogni sito. Utilizzare l'autenticazione a più fattori per assicurarsi di essere chi e monitora l'utilizzo della password ".
4 Gamify It
LastPass consente alle aziende di visualizzare i punteggi delle password di diversi dipendenti. Kaplan ha affermato che la gamification potrebbe essere un modo per le aziende di considerare l'elemento umano. La gamification è un modo per dare agli utenti una carota anziché un bastone.
"Forse gamify le tue politiche password. Quindi, un dipendente con il punteggio più alto password potrebbe ottenere punti o un premio o qualcosa del genere", ha detto Kaplan. "Sta davvero prendendo una virata diversa rispetto all'approccio" impossibile accedere alla nostra rete "di blocco che è stato tradizionalmente utilizzato per garantire la sicurezza. Non si può più fare tutto perché tutto è aperto. Dobbiamo presumere che gli aggressori siano sul rete da qualche parte, in agguato ".
5 Prendi in considerazione il comportamento moderno
Il rapporto ha inoltre rilevato che il 76% dei dipendenti ha avuto problemi regolari con l'utilizzo della password. E ha scoperto che quasi il 70% ha dichiarato che avrebbe utilizzato un gestore di password se gli fosse stato fornito. Kaplan ha affermato che le aziende devono riconoscere il modo in cui i dipendenti lavorano oggi e adattare le politiche IT e la gestione delle password al comportamento degli utenti moderni.
"Le persone vogliono lavorare da dispositivi mobili e vogliono lavorare da qualsiasi luogo. Vogliono la libertà di lavorare da una casa per le vacanze o il gioco di calcio dei loro figli, e l'IT deve rispettarlo. Il confine tra lavoro e sfocatura della casa e dirigenti IT bisogna tenerne conto ", ha detto Kaplan. "L'appetito è lì. Non c'è alcuna differenza che tu sia in una startup di 10 persone o in una piccola impresa o in una società di 10.000 persone; vediamo che la soluzione funziona nel modo più efficace."