5 måter små bedrifter kan oppgradere passordhåndtering

Som IT-profesjonell kan tilsyn med passordintegritet, tilgangskontroll og identitetshåndtering være smertefullt uansett om du jobber i en liten bedrift eller et stort foretak. Ansatte er alltid en sikkerhetsrisiko av en eller annen grunn, enten de bruker svake passord, klikker på tvilsomme lenker eller får tilgang til eksterne applikasjoner for arbeidsdata fordi det er enklere. For bevis, kan du ikke se lengre enn SplashDatas årlige liste over verste passord for å se hvor mange påloggingsopplysninger som er lekket fremdeles viser seg å være "passord" og "123456."

Under et nylig toppmøte i National Cyber ​​Security Alliance (NCSA) i New York City, fanget PCMag opp med Matt Kaplan, daglig leder for LastPass, et selskap som tilbyr passordstyring og sikkerhetsløsninger for forbrukere, små bedrifter og bedrifter.

LastPass ga nylig ut en rapport i forbindelse med markedsundersøkelsesbyrået Ovum om "Closing the Password Security Gap." Rapporten kartla 355 IT-ledere og 550 bedriftsansatte. Blant funnene var at 61 prosent av IT-eksekutivene utelukkende er avhengige av ansattes utdanning for å håndheve sterke passord. Rapporten fant også at fire av ti selskaper fremdeles er avhengige av helt manuelle prosesser for å administrere brukerpassord for skyapper. Kaplan sa at det største problemet for virksomheter er å ha en ineffektiv sikkerhetsmetode til hvordan ansatte jobber i dag.

"Ansatte gjør det de alltid har gjort, det vil si, dekker sine egne produktivitetsbehov og bekvemmeligheter for å gjøre jobben sin mer effektivt. De blir ikke dårlig ment eller skadelige; de ​​prøver bare å jobbe effektivt, " sa Kaplan.

"Så det ansatte ender med å gjøre er å finne veien til minst motstand. De bruker offentlig Wi-Fi når de ikke skulle gjort det. De bruker Dropbox, Google Drive og andre filsynkroniserings- og delingsløsninger som ikke er sanksjonert av selskapet fordi det er enklere De bringer andre apper inn i organisasjonen fordi det gjør dem mer produktive. Samlet sett er det IT-ledere mangler fokus på den menneskelige faktoren."

Kaplan sa at bedrifter må ta seg opp med uklare passordhåndtering på noen få forskjellige fronter. Byrden faller på IT for å justere forventningene og strategien. LastPass mener at du kan endre ansattes vaner ved ikke bare å utdanne dem til passordhygiene, men ved å gi dem teknologi som passordledere (og til og med motivatorer som gamification) for å definere om hvordan bedrifter og ansatte ser på passord.

1 Ja, det er problemet ditt

En grunn til at IT-fagfolk ofte ikke kan håndheve sterkere passordstandarder i en virksomhet, er på grunn av oppfatningen om at det helt er utenfor deres kontroll. Kaplan sa at unnskyldning ikke er god nok i 2017.

"Det vi oppdaget gjennom vår forskning, er at nesten 80 prosent av IT-ledere ikke har total kontroll over passord i organisasjonene sine, " sa Kaplan. "Flertallet av dem erkjenner at mangel på kontroll er en alvorlig risiko. Så hvorfor er det? Mange av dem mener at du ikke kan kontrollere det du ikke klarer. Ansattes passord er opp til ansatte og det er ingen synlighet i det."



2 Ta et helhetlig syn

Arbeidsapper og -kontoer er langt fra de eneste sårbare sikkerhetsendepunktene som må administreres for å forhindre et kompromiss i bedriftens nettverk. IT-ledere i en liten bedrift må se utover en ansattes arbeidspålogging og tenke på det større bildet når de gir verktøy og opplæring for å forbedre passordhygiene og sikkerhetsrutiner.

"Angripere bruker sosialteknikk for å komme inn på bedriftskontoer. Så det som virkelig er viktig, er at bedrifter tar et helhetlig syn på en ansatt og ser på både personlig passordbruk og forretningsbruk. Du må ta opp begge sider, " sa Kaplan. "For lenge har IT-administratorer sagt: 'Vi vil bare adressere passordene relatert til selskapets virksomhet.' Det er ikke lenger effektivt. Se på det nylige bruddet på Yahoo der de nylig oppdaget at tre milliarder passord ble stjålet. Dette er klare inngangspunkter for angripere i en virksomhet."



3 Utdanning og autentisering

I følge Verizons 2017 Data Breach Investigations Report 2017 er mer enn 80 prosent av bruddene forårsaket av svake, kompromitterte eller gjenbrukte passord. Kaplan sa at hvis virksomheten din gir de ansatte verktøy og opplæring i hvordan du oppretter og trygt administrerer passord overalt, kan du lukke et stort område på et selskaps trusseloverflate.

"Det er et par ting IT-avdelinger trenger å gjøre, " sa Kaplan. "Det ene er å utdanne ansatte om hvordan de skal ha sterke, lange og unike passord på hvert nettsted. Bruk en passordbehandler fordi du ikke kan huske alle de unike passordene på hvert nettsted. Bruk autentisering med flere faktorer for å sikre at du er hvem du er, og overvåke passordbruk."



4 Gamify It

LastPass lar bedrifter se passordpoengene til forskjellige ansatte. Kaplan sa at gamification kan være en måte for bedrifter å vurdere det menneskelige elementet. Gamification er en måte å gi brukerne en gulrot fremfor en pinne.

"Kanskje gamify passordpolicyene dine. Så en ansatt med høyest passordpoeng kan få poeng eller en pris eller noe, " sa Kaplan. "Det er virkelig å ta en annen anstrengelse i forhold til at" ikke får tilgang til vårt nettverk "-tilnærming som tradisjonelt har blitt brukt for å sikre sikkerhet. Dette kan bare ikke gjøres lenger fordi alt er åpent. Vi må anta at angripere er på nettverk et sted, lurer."



5 Ta hensyn til moderne atferd

Rapporten fant også at 76 prosent av de ansatte hadde regelmessige problemer med passordbruk. Og den fant ut at nesten 70 prosent sa at de ville bruke en passordbehandling hvis det ble gitt dem. Kaplan sa at virksomheter må erkjenne måten ansatte jobber i dag, og skreddersy IT-policyer og passordstyring til moderne brukeratferd.

"Folk vil jobbe fra mobile enheter, og de vil jobbe hvor som helst. De vil ha friheten til å jobbe fra et feriehus eller barnas fotballkamp, ​​og det må det respekteres. Linjen mellom jobb og hjemmeskarphet og IT-ledere trenger å ta hensyn til det, "sa Kaplan. "Appetitten er der. Det er ingen forskjell om du er i en 10-personers oppstart eller en liten bedrift eller et 10.000-personers selskap; vi ser løsningen fungere like effektivt."