Menedżer haseł: czy warto mieć w firmie i go jak wdrożyć bez oporu?
Żółte karteczki przyklejone do monitora to wciąż biurowy standard, bo przy dziesiątkach logowań ludzka pamięć po prostu może zawieść. Jednak one - podobnie jak korzystanie z jednego hasła w wielu miejscach - otwierają drzwi cyberprzestępcom. Zamiast liczyć na łut szczęścia, uporządkuj ten chaos systemowo. Aby odzyskać kontrolę nad dostępami, wystarczy zrobić pierwszy krok. Wybierz narzędzie, zrób 30-minutowe szkolenie i włącz je od przyszłego tygodnia.
Czy trzymanie wszystkich haseł w jednym miejscu jest bezpieczne?
Decyzja, by trzymać firmowe "sekrety" w jednej bazie, naturalnie budzi niepokój. Skoro wszystko jest w jednym „sejfie", czy jeden błąd nie otworzy hakerom wszystkich drzwi? Przestaniesz się wahać, gdy zrozumiesz architekturę „zero-knowledge".
W profesjonalnych rozwiązaniach dane są szyfrowane lokalnie, na urządzeniu użytkownika, jeszcze przed wysłaniem do chmury. Dzięki temu usługodawca otrzymuje jedynie zaszyfrowany blob - ciąg znaków, którego nie może odczytać bez Twojego klucza. Nawet jeśli hakerzy przejmą serwery dostawcy, bez hasła głównego (Master Password) niczego nie ukradną. Bezpieczeństwo zależy więc od tego, jak silne jest to jedno hasło i czy zespół dba o higienę pracy.
Jednak nawet najlepsze szyfrowanie nie pomoże, jeśli konfiguracja systemu będzie wadliwa. Zewnętrzne audyty bezpieczeństwa wyłapią takie błędy i słabe punkty, zanim zrobią to hakerzy. Pokażą też, czy wdrożone rozwiązanie rzeczywiście chroni zasoby, czy tylko stwarza pozory.
Co, gdy pracownik zapomni hasła głównego?
Jeśli pracownik zgubi hasło główne, może trwale stracić dostęp do służbowego sejfu. Właśnie lęk, że dostęp do danych zostanie zablokowany, często niesłusznie powstrzymuje firmy przed wdrożeniem menedżera haseł.
Problem ten rozwiązują polityki, dzięki którym można bezpiecznie odzykać dostęp (Admin Recovery). To nowoczesne systemy, które pozwalają wyznaczyć administratorów, którzy zresetują konto w kontrolowany sposób, bez podglądania jego zawartości. Skonfiguruj tę opcję na samym początku, a nie dopiero wtedy, gdy wybuchnie kryzys.
Jednak narzędzia to tylko połowa sukcesu. Czasem utrata dostępu nie jest przypadkiem, a celowym działaniem nielojalnego członka zespołu. W artykule Insider threats. Jak zminimalizować ryzyko zagrożeń wewnętrznych przeczytasz, jak przygotować się na scenariusze, w których technologia musi ustąpić miejsca procedurom HR.
Koniec z przesyłaniem haseł komunikatorem
W zespołach często trzeba dzielić się dostępem do narzędzi marketingowych czy księgowych. Gdy przesyłasz te dane e-mailem lub na Slacku, zostawiasz ślad, który łatwo przejąć. Menedżer haseł pozwala uporządkować ten proces i bezpiecznie udostępniać dane.
Zamiast dyktować koledze ciąg znaków, dajesz mu dostęp do konkretnego wpisu w bazie. Pracownik loguje się (często nie widząc hasła), ale nie może zmienić danych. A gdy ktoś odchodzi, jednym kliknięciem odbierasz mu uprawnienia w panelu administracyjnym. Nie musisz już zmieniać haseł we wszystkich serwisach, bo dana osoba nigdy ich nie poznała lub straciła dostęp w momencie blokady konta.
Jak wdrożyć narzędzie bez oporu zespołu?
Dlaczego ludzie stawiają opór przed nowym oprogramowaniem? Rzadko wynika to ze złej woli, a częściej z lęku, że dojdą im nowe obowiązki. Aby wdrożenie się udało, pokaż pracownikom, że menedżer haseł to ułatwienie codziennej pracy, a nie narzędzie kontroli.
Na szkoleniu startowym warto przede wszystkim pokazać funkcję auto-uzupełniania (autofill). Gdy pracownik zobaczy, że system sam wpisuje loginy i nie trzeba co miesiąc resetować zapomnianych haseł, chętnie zacznie korzystać z aplikacji. Jednak sam instruktaż nie wystarczy - trzeba sprawdzać, czy ludzie stosują się do zasad na co dzień. Pomogą w tym regularne testy socjotechniczne - sprawdzą, czy pracownicy nie wpisują danych na fałszywych stronach, mimo że mają menedżera haseł.
Wdróż odpowiednie narzędzia i przeszkol ludzi. Dzięki temu technologia zacznie pracować na rzecz Twojego zespołu, a nie przeciwko niemu.
