Un'app di autenticazione è un metodo di autenticazione a più fattori (MFA) che aggiunge un ulteriore livello di sicurezza ai tuoi account online. Keeper® può essere
Una sfida IT vecchia come il Software as a Service (SaaS) esiste in ogni angolo dell’organizzazione, sia che si tratti di un singolo fornitore di tecnologia o di più soluzioni. In alcune organizzazioni, questo è il caso dei password manager.
E poiché le funzionalità software variano, ci sono ragioni convincenti che portano un’organizzazione ad avere una singola soluzione o più di una.
In questo blog, daremo un’occhiata al motivo per cui i password manager dovrebbero essere implementati con un approccio a livello aziendale e come i team IT possono consentire alle loro organizzazioni di uniformare la protezione delle password in un’unica piattaforma.
Soluzione singola o soluzioni multiple
Una soluzione unica e uniforme di gestione delle password può risolvere la maggior parte delle esigenze di funzionalità in un’organizzazione o soddisfare la voce più forte nella stanza. Tuttavia, se la soluzione non è completa, alcuni gruppi potrebbero desiderare funzionalità critiche.
Quindi perché non utilizzare più fornitori? Ciò può certamente soddisfare i singoli dipartimenti e team. Tuttavia, rendere tutte le parti felici comporta una spesa extra e incongruenze nei processi, nel controllo e nella reportistica.
Il dibattito sulle soluzioni singole o multiple può avere un peso per alcuni software, come le soluzioni di elaborazione testuali. Tuttavia, i password manager, come le politiche di gestione dell’identità e degli accessi (IAM) che applicano, sono su scala aziendale.
Una soluzione di gestione delle password dovrebbe coprire ogni utente, applicazione e dispositivo.
Perché le organizzazioni hanno più soluzioni in atto
Innanzitutto, esaminiamo alcuni motivi comuni per cui le organizzazioni utilizzano più password manager e perché questo ragionamento non regge al controllo.
Voci forti e mancanza di buy-in
La mancanza di buy-in da parte del senior management o della cultura organizzativa, combinata con le voci forti che soffocano le preoccupazioni del personale IT e della sicurezza, può portare alla mancanza dell’autorità da parte dell’IT per guidare le decisioni importanti. Ciò include l’uniformità nella gestione delle password e di altri software critici.
In altre parole, se Bob nella divisione Finanza ama il Password Manager A, ma Suzy nella divisione Marketing preferisce il Password Manager B e la C-suite ha adottato un atteggiamento di laissez-faire nei confronti dell’utilizzo del software, l’IT non sa dove appoggiarsi. Sia Bob che Suzy potranno continuare a utilizzare il software che preferiscono, e, forse, qualcun altro nelle vendite preferisce un altro password manager ancora e potranno continuare a utilizzare anche quello.
Non è difficile immaginare quanto velocemente “Utilizza qualsiasi cosa che porti a termine il lavoro” possa andare fuori controllo, in particolare perché l’organizzazione media utilizza oltre 100 app SaaS.
L’amore degli utenti finali per le soluzioni legacy
Ciò è spesso legato ai problemi di voci forti e alla mancanza di buy-in.
Prima che la gestione delle password aziendali diventasse una priorità, i singoli dipartimenti o unità aziendali potrebbero aver adottato in modo indipendente soluzioni diverse per gestire le loro password. Ancora peggio, alcune di queste soluzioni possono essere altamente non sicure, inclusi i password manager integrati nei browser, i fogli di calcolo e persino le note.
Gli esseri umani sono naturalmente riluttanti al cambiamento. Quando un team ha utilizzato una particolare soluzione per anni, la prospettiva di passare a un altro strumento può sembrare scoraggiante. Tuttavia, i vantaggi a lungo termine di avere una singola soluzione sono difficili da ignorare, dalla sicurezza più forte e dalla reportistica della conformità efficiente a una migliore allocazione delle risorse IT e a una collaborazione senza soluzione di continuità tra i dipendenti.
Preoccupazioni relative al lock-in dei fornitori e alle vulnerabilità di sicurezza
In alcuni casi, le organizzazioni preferiscono utilizzare più soluzioni per paura di un lock-in dei fornitori. Hanno paura che, se utilizzano una sola soluzione, sarà quasi impossibile cambiarla e saranno sposati con quel fornitore per sempre. Tuttavia, finché un fornitore selezionato consente una facile esportazione delle password, il lock-in non è un problema.
Inoltre, alcune aziende e persino i responsabili IT possono temere le implicazioni di sicurezza dell’utilizzo di un solo password manager, in particolare alla luce delle recenti violazioni. In alcuni casi, un’organizzazione può mantenere le sue credenziali in una soluzione e i suoi codici di backup, le risposte alle domande di sicurezza e così via in una soluzione diversa.
La loro logica è che se un password manager viene violato, allora l’organizzazione avrà almeno la protezione di un altro password manager. Tuttavia, la coesistenza di più password manager in un’organizzazione non offre necessariamente una maggiore protezione e, di fatto, degrada la sicurezza.
Ogni programma SaaS che un’organizzazione aggiunge al suo ambiente dati è un ulteriore endpoint potenziale da sfruttare per un malintenzionato. Maggiore è il numero di password manager con cui gli utenti finali devono avere a che fare, più è probabile che qualcuno, da qualche parte lungo la linea, commetta un errore.
Le organizzazioni sono vulnerabili quanto i loro endpoint non protetti. In combinazione con l’architettura di sicurezza della particolare soluzione e la capacità del team IT di applicare politiche forti, l’adozione di un singolo password manager da parte dei dipendenti è un garante molto più forte della sicurezza aziendale.
I vantaggi di sicurezza di un singolo Password Manager
Anche quando mettiamo da parte le considerazioni sulla sicurezza di base delle singole soluzioni, che dovrebbe essere una priorità in qualsiasi procedura di approvvigionamento IT, rimangono comunque una serie di motivi per cui l’utilizzo di una singola soluzione di gestione delle password in tutta l’azienda è di gran lunga superiore alla combinazione di più soluzioni.
Visibilità e controllo IT
Secondo il Data Breach Investigations Report di Verizon, il 74% degli attacchi coinvolge l’elemento umano: password, segreti e credenziali rubate o deboli. Nelle moderne organizzazioni digitali, ogni utente finale deve accedere al software, il che vuol dire che tutti devono utilizzare le password. Pertanto, la gestione delle identità e degli accessi deve essere olistica e uniforme in tutta l’azienda.
Una singola soluzione di gestione delle password uniforma la visibilità e consente ai team IT di controllare le password da una piattaforma.
Molte soluzioni frammentano il monitoraggio su funzionalità e piattaforme diverse, che a volte sono incompatibili tra loro. La compatibilità tra i sistemi, o la loro mancanza, rende difficile per l’IT riconciliare i dati di diversi password manager e assimilare il rischio in modo olistico.
Igiene di sicurezza dei dipendenti
Proprio come avere più password manager frammenta la visibilità dall’alto verso il basso dei team IT, ciò mina anche la missione dell’IT di proteggere l’organizzazione garantendo l’adesione dei dipendenti alle politiche sulle password.
Senza uno standard per la gestione delle password che l’IT può implementare, spesso con l’aiuto delle risorse umane (HR), l’organizzazione rischia attacchi informatici legati alle password ed eventualmente la mancata conformità con HIPAA, GDPR e altri standard di settore e normativi.
Una singola soluzione di gestione delle password centralizza il controllo delle abitudini e dei comportamenti relativi alle password, consentendo agli amministratori IT di garantire che tutti i dipendenti utilizzino password forti e uniche per ogni account; consentendo l’autenticazione a più fattori (MFA) ovunque sia supportata e rispettando altre politiche di sicurezza.
Conformità e reportistica
La capacità di esaminare e controllare in modo efficiente gli accessi alle credenziali e alle informazioni sensibili è fondamentale per mantenere la conformità e prevenire le violazioni. Una singola soluzione ottimizza la conformità a normative come HIPAA, FedRAMP, StateRAMP, ISO 27001, PCI DSS, GDPR e Sarbanes-Oxley (SOX), che richiedono tutte la segnalazione del controllo degli accessi.
Più soluzioni richiedono ai team di audit e finanza di riconciliare diversi metodi di archiviazione e reportistica dei dati. Con l’aumento dei costi della conformità normativa, nonché il lavoro da remoto che aggiunge complessità alla conformità e l’espansione delle superfici di attacco delle organizzazioni, una procedura di audit efficiente è più importante che mai.
La scienza forense da un singolo punto di vista
Se avviene un incidente di sicurezza, gli analizzatori forensi devono ricreare le scadenze degli eventi per capire come il malintenzionato ha attaccato l’organizzazione. Gli account di livello inferiore compromessi, come gli account dei social media, spesso forniscono un punto di ingresso per i cybercriminali per aumentare i privilegi una volta entrati.
In modo simile alla procedura ottimizzata per il controllo IT e gli audit di conformità, una singola soluzione di gestione delle password centralizza le scadenze degli eventi e rimuove gli standard di reportistica isolati.
I vantaggi aziendali dell’utilizzo di un password manager aziendale
Oltre alle considerazioni in materia di sicurezza, ci sono una serie di vantaggi aziendali nel passare a un solo password manager. Una singola soluzione offre anche un’opzione molto più economica, supportabile e reattiva per proteggere le password e le informazioni sensibili.
Risparmi sui costi di una singola soluzione
Con tutta probabilità, è più conveniente per un’azienda acquistare software tramite un fornitore piuttosto che multipli. E dato che il budget IT tipico diminuirà in termini reali nel 2023, i CFO e i responsabili IT possono rivolgersi ai password manager, insieme ad altri software, per consolidare le funzionalità e controllare la spesa.
Maggiore capacità di supportare gli utenti finali
Un password manager dovrebbe ridurre il numero di ticket relativi alle password che arrivano sul service desk IT, ma inevitabilmente alcuni dipendenti avranno ancora bisogno di assistenza. Con un solo password manager e una serie di funzionalità da padroneggiare per gli amministratori di sistema, un team IT può dedicare più tempo ai progetti interni che guidano l’azienda.
Reattività dei fornitori
Analogamente a quanto avviene per ottimizzare il supporto interno per un solo strumento, avere un’unica soluzione fornisce un singolo punto di contatto esterno per supportare l’adozione di un password manager da parte dei dipendenti. Quando si inseriscono nuovi utenti in una soluzione, avere un singolo punto di contatto con il fornitore può aiutare a coordinare il lancio in un’organizzazione.
Come guidare un’iniziativa aziendale per la gestione delle password
A causa dei costi, dell’usabilità e della sicurezza, le organizzazioni sarebbero meglio servite con un singolo password manager piuttosto che con più soluzioni disparate e incompatibili.
Alcuni dipendenti potrebbero accettare unicamente il suggerimento di passare a un singolo password manager. Tuttavia, una strategia aziendale per la gestione delle password, supportata da un singolo strumento, promette maggiore efficienza, collaborazione e sicurezza.
Con la maggior parte degli attacchi informatici derivanti da password, credenziali e segreti rubati, deboli e riutilizzati, la sicurezza delle organizzazioni garantisce la protezione delle aziende. I dipartimenti IT e di conformità hanno bisogno di una singola soluzione per garantire visibilità e controllo sui loro sistemi e dati critici.
Sei pronto a uniformare la gestione delle password nella tua organizzazione? Parla oggi stesso con uno dei nostri esperti di sicurezza informatica di un lancio coordinato di Keeper Password Manager.