Taula de continguts:
- 1 Sí, és el vostre problema
- 2 Fes una visió holística
- 3 Educació i autenticació
- 4 Gamifica-ho
- 5 Teniu en compte la conducta moderna
Vídeo: Capítol 16 - Intocables - Nit i dia (De novembre 2024)
Com a professional informàtic, supervisar la integritat de la contrasenya, el control d’accés i la gestió de la identitat pot ser un dolor tant si es treballa en una petita empresa com en una gran empresa. Els empleats sempre són un risc per a la seguretat per un motiu o altre, tant si utilitzen contrasenyes febles, fent clic en enllaços qüestionables o si accedeixen a aplicacions externes per a dades de treball perquè és més fàcil. Com a prova, no busqueu la llista de contrasenyes pitjors anuals de SplashData per veure quantes credencials d’inici de sessió filtrades encara resulten ser "contrasenya" i "123456."
Durant una recent cimera de la National Cyber Security Alliance (NCSA) a la ciutat de Nova York, PCMag va assabentar-se de Matt Kaplan, director general de LastPass, una empresa que ofereix solucions de gestió de contrasenyes i seguretat per a consumidors, petites empreses i empreses.
LastPass ha publicat recentment un informe conjuntament amb l’agència d’investigació de mercat Ovum sobre "Tancament del passaport de seguretat de contrasenyes". L’informe va enquestar a 355 executius informàtics i 550 empleats corporatius. Entre els descobriments es trobava que el 61 per cent dels executius de TI es basen exclusivament en l'educació dels empleats per aplicar contrasenyes fortes. L’informe també va descobrir que quatre de cada deu empreses encara confien en processos completament manuals per gestionar contrasenyes d’usuari per a aplicacions al núvol. Kaplan va dir que el problema més gran per a les empreses és tenir un enfocament de seguretat ineficaç sobre el funcionament dels empleats avui dia.
"Els empleats estan fent el que sempre han fet, és a dir, atenen les seves pròpies necessitats de productivitat i la seva comoditat per fer la seva feina amb més eficàcia. No estan mal intencionats ni malintencionats; només intenten treballar de manera eficaç", va dir Kaplan.
"Per tant, el que acaben fent els empleats és trobar el camí de la mínima resistència. Utilitzen wifi públic quan no haurien de fer-ho. Utilitzen Dropbox, Google Drive i altres solucions de sincronització i compartir fitxers no sancionats per l'empresa perquè és més fàcil "Porten altres aplicacions a l'organització perquè les fa més productives. En general, el que els executius de TI falten és el focus humà".
Kaplan va dir que les empreses han de fer front a la gestió de contrasenyes poc exigents en alguns fronts diferents. La càrrega recau en les TI per ajustar les seves expectatives i estratègia. LastPass creu que podeu canviar els hàbits dels empleats no només educant-los en la higiene de les contrasenyes, sinó donant-los tecnologia com ara gestors de contrasenyes (i fins i tot motivadors com la gamificació) per tornar a definir la forma en què les empreses i els empleats miren les contrasenyes.
1 Sí, és el vostre problema
Una de les raons que els professionals de les TI sovint no poden aplicar normes de contrasenya més sòlides en un negoci és a causa de la percepció que està completament fora del seu control. Kaplan va dir que l'excusa no és prou bona el 2017.
"El que vam descobrir a través de la nostra investigació és que gairebé el 80 per cent dels executius de TI no tenen control total sobre les contrasenyes de les seves organitzacions", va dir Kaplan. "La majoria d'ells reconeixen que la manca de control és un risc greu. Aleshores, per què? Molts d'ells creuen que no es pot controlar el que no gestiona. Les contrasenyes dels empleats són responsabilitat dels empleats i no hi ha visibilitat".
2 Fes una visió holística
Les aplicacions i els comptes de treball estan lluny dels únics punts finals de seguretat vulnerables que s’han de gestionar per evitar un compromís a la xarxa de la vostra empresa. Els gestors d’informàtica d’una petita empresa han de mirar més enllà del registre de treball d’un empleat i pensar en la imatge més gran quan proporcionen eines i formació per millorar les pràctiques d’higiene i seguretat de les contrasenyes.
"Els atacants utilitzen l'enginyeria social per entrar en comptes corporatius. Així que el que és realment important és que les empreses tinguin una visió holística d'un empleat i es fixin tant en l'ús de la contrasenya personal com en l'ús de les empreses. Heu d'adreçar-vos a les dues parts", va dir Kaplan. "Durant massa temps, els executius informàtics han dit:" Només adreçarem les contrasenyes relacionades amb el negoci de l'empresa. " Això ja no és eficaç. Mireu el recent incompliment de Yahoo on recentment van descobrir que es van robar tres mil milions de contrasenyes. Aquests són punts clars d’entrada per als atacants a una empresa ".
3 Educació i autenticació
Segons l’informe d’investigacions d’informació de dades de Verizon 2017, més del 80 per cent de les infraccions són causades per contrasenyes febles, compromeses o reutilitzades. Kaplan va dir que si la vostra empresa proporciona als empleats les eines i la formació sobre com crear i gestionar contrasenyes de forma segura a tot arreu, llavors podeu tancar una gran zona de la superfície d’amenaça d’una empresa.
"Hi ha dues coses que han de fer els departaments informàtics", va dir Kaplan. "Un és educar els empleats sobre com tenir contrasenyes fortes, llargues i úniques a tots els llocs web. Utilitzeu un gestor de contrasenyes perquè no podeu recordar totes aquestes contrasenyes úniques a tots els llocs. Utilitzeu l'autenticació multi-factor per assegurar-vos que sou qui? estàs, i supervisa l’ús de la contrasenya."
4 Gamifica-ho
LastPass permet a les empreses veure les puntuacions de contrasenya de diferents empleats. Kaplan va dir que la gamificació podria ser una manera que les empreses puguin considerar l’element humà. La gamificació és una manera de donar als usuaris una pastanaga més que un pal.
"Potser gamifiqueu les vostres polítiques de contrasenya. Així doncs, un empleat amb una puntuació de contrasenya més alta pot obtenir punts, premi o alguna cosa", va dir Kaplan. "Realment es pren un altre enfront respecte al bloqueig" no es pot accedir a la nostra xarxa "que tradicionalment s'ha utilitzat per garantir la seguretat. Això no es pot fer ja perquè tot està obert. Hem d'assumir que els atacants són xarxa en algun lloc, aterrador ".
5 Teniu en compte la conducta moderna
L’informe també va trobar que el 76 per cent dels empleats tenien problemes habituals amb l’ús de contrasenya. I es va trobar que gairebé el 70 per cent van dir que utilitzarien un gestor de contrasenyes si se’ls proporcionés. Kaplan va dir que les empreses han de reconèixer el funcionament dels empleats en l'actualitat i adaptar les polítiques de TI i la gestió de contrasenyes al comportament modern dels usuaris.
"La gent vol treballar des de dispositius mòbils i vol treballar des de qualsevol lloc. Volen la llibertat de treballar des de casa de vacances o el joc de futbol dels seus fills i la tècnica informàtica ha de respectar-ho. La línia entre el treball i el desdibuix de casa i els executius informàtics. Cal tenir-ho en compte ", va dir Kaplan. "La gana és que hi ha. No hi ha diferència tant si esteu en una empresa de deu persones com en una petita empresa o una empresa de 10.000 persones; veiem que la solució funciona de manera eficaç".