Aplikacja uwierzytelniająca to metoda uwierzytelniania wieloskładnikowego (MFA), która dodaje dodatkową warstwę zabezpieczeń do kont w Internecie. Zamiast aplikacji Google Authenticator można wykorzystać rozwiązanie Keep...
Wybór pomiędzy korzystaniem z jednego dostawcy technologii a używaniem kilku rozwiązań dotyczy każdego działu organizacji i jest powszechnym problemem z zakresu IT wszędzie tam, gdzie stosuje się oprogramowanie jako usługę (SaaS). W niektórych organizacjach dotyczy to menedżerów haseł.
Ponieważ funkcje oprogramowania różnią się pomiędzy sobą, wybór nie musi być oczywisty w zależności od organizacji.
W tym wpisie omówimy, dlaczego menedżery haseł powinny być wdrażane kompleksowo w całej organizacji i jak zespoły IT mogą zapewnić jednolitą ochronę haseł na pojedynczej platformie.
Pojedyncze rozwiązanie czy kilka rozwiązań
Pojedyncze ujednolicone rozwiązanie do zarządzania hasłami może spełniać potrzeby organizacji w większości przypadków. Jeśli jednak rozwiązanie nie jest kompleksowe, może nie zapewniać określonym grupom użytkowników niezbędnych funkcji.
Dlaczego więc nie korzystać z kilku dostawców? Umożliwi to spełnienie potrzeb wszystkich działów i zespołów. Jednak takie rozwiązanie wiąże się z dodatkowymi kosztami i niespójnościami w zakresie procesów, kontroli oraz raportowania.
Wybór kilku rozwiązań może mieć uzasadnienie w przypadku pewnych rodzajów oprogramowania, takich jak edytory tekstu. Jednak w przypadku menedżerów haseł oraz zasad zarządzania tożsamością i dostępem (IAM), które wprowadzają, wymagane jest kompleksowe wdrożenie w całym przedsiębiorstwie.
Jedno rozwiązanie do zarządzania hasłami powinno obejmować każdego użytkownika, aplikację i urządzenie.
Dlaczego organizacje stosują kilka rozwiązań
Najpierw przedstawimy kilka typowych powodów, dla których organizacje używają kilku menedżerów haseł i wyjaśnimy, dlaczego to podejście nie jest właściwe.
Ignorowanie argumentów i brak poparcia
Brak zaangażowania ze strony kierownictwa wyższego szczebla lub kultury organizacyjnej w połączeniu z ignorowaniem argumentów działu IT i bezpieczeństwa może uniemożliwić podejmowanie istotnych decyzji w tym zakresie. Obejmuje to ujednolicenie zarządzania hasłami oraz kluczowego oprogramowania.
Inaczej mówiąc, bez wsparcia kierownictwa dział IT może nie być w stanie przekonać poszczególnych działów organizacji do wdrożenia pojedynczego menedżera haseł. Brak ingerencji zarządu powoduje zezwolenie na wykorzystywanie różnych menedżerów haseł i programów w poszczególnych działach.
W ten sposób sytuacja może szybko wymknąć się spod kontroli, biorąc pod uwagę, że przeciętna organizacja wykorzystuje ponad 100 aplikacji SaaS.
Użytkownicy przyzwyczajają się do starszych rozwiązań
Jest to często związane z ignorowaniem argumentów i brakiem poparcia.
Zanim zarządzanie hasłami w przedsiębiorstwie stało się priorytetem, poszczególne działy lub jednostki biznesowe mogły niezależnie przyjąć różne rozwiązania do zarządzania hasłami. Co gorsza, niektóre z tych rozwiązań mogą być bardzo słabo zabezpieczone, w tym menedżery haseł wbudowane w przeglądarkach, arkusze kalkulacyjne, a nawet karteczki samoprzylepne.
Ludzie są z natury niechętni wszelkim zmianom. Jeśli zespół używa określonego rozwiązania od lat, perspektywa przejścia na inne narzędzie może wydawać się zniechęcająca. Jednak trudno zignorować długoterminowe korzyści związane z wykorzystaniem pojedynczego rozwiązania – od większego bezpieczeństwa i skutecznego raportowania zgodności, po lepszą alokację zasobów IT i płynną współpracę.
Obawy dotyczące uzależnienia od jednego dostawcy i luk w zabezpieczeniach
W niektórych przypadkach organizacje wolą korzystać z wielu rozwiązań z obawy przed uzależnieniem od jednego dostawcy. Wykorzystanie tylko jednego rozwiązania może praktycznie uniemożliwić zmianę dostawcy i trwałe uzależnienie od jego usług. Jednak nie stanowi to problemu, dopóki wybrany dostawca umożliwia łatwe eksportowanie haseł.
Ponadto niektóre firmy, a nawet kierownicy IT mogą obawiać się negatywnych dla bezpieczeństwa skutków używania pojedynczego menedżera haseł, szczególnie w świetle ostatnich naruszeń. W niektórych przypadkach organizacja może przechowywać dane uwierzytelniające w jednym rozwiązaniu, a zapasowe kody, odpowiedzi na pytania zabezpieczające i pozostałe informacje w innym.
W razie naruszenia jednego menedżera haseł organizacja będzie korzystać z ochrony drugiego menedżera. Jednak współistnienie kilku menedżerów haseł w organizacji niekoniecznie zapewnia większą ochronę – i prawdopodobnie zmniejsza bezpieczeństwo.
Każdy program SaaS, który organizacja dodaje do środowiska danych, stanowi kolejny punkt końcowy, który może zostać wykorzystany przez źródło zagrożenia. Im większa liczba menedżerów haseł udostępniona użytkownikom końcowym, tym większe prawdopodobieństwo popełnienia przez nich błędu.
Niechronione punkty końcowe stanowią lukę w zabezpieczeniach całej organizacji. Wdrożenie jednego menedżera haseł na potrzeby pracowników w połączeniu z architekturą zabezpieczeń określonego rozwiązania i zdolnością zespołu IT do egzekwowania silnych zasad jest znacznie lepszą gwarancją bezpieczeństwa przedsiębiorstwa.
Korzyści dla bezpieczeństwa wynikające z używania pojedynczego menedżera haseł
Niezależnie od kwestii bezpieczeństwa poszczególnych rozwiązań, które powinny stanowić priorytet w procesie zamówień IT, istnieje szereg innych powodów, dla których korzystanie z pojedynczego rozwiązania do zarządzania hasłami w przedsiębiorstwie jest znacznie lepsze niż łączenie wielu rozwiązań.
Widoczność i kontrola IT
Według raportu firmy Verizon dotyczącego dochodzeń w sprawie naruszeń danych, 74% ataków obejmuje element ludzki – skradzione lub słabe hasła, klucze tajne i dane uwierzytelniające. We współczesnych organizacjach cyfrowych każdy użytkownik końcowy wymaga dostępu do oprogramowania – co oznacza, że każdy musi używać haseł. Dlatego zarządzanie tożsamością i dostępem musi być całościowe i jednolite w całym przedsiębiorstwie.
Pojedyncze rozwiązanie do zarządzania hasłami ujednolica widoczność i umożliwia zespołom IT przeprowadzanie audytu haseł z jednej platformy.
Kilka rozwiązań wymaga monitorowania w obrębie różnych funkcji i platform, które czasami są ze sobą niezgodne. Brak zgodności pomiędzy systemami utrudnia działom IT uzgodnienie danych z różnych menedżerów haseł i całościową ocenę ryzyka.
Zachowanie bezpieczeństwa przez pracowników
Wykorzystanie kilku wielu menedżerów haseł ogranicza wgląd zespołów IT w zasoby na wszystkich szczeblach, a ponadto utrudnia realizację zadań w zakresie zapewnienia przestrzegania zasad dotyczących haseł przez pracowników.
Brak pojedynczego standardu zarządzania hasłami wdrażanego przez dział IT często we współpracy z działem zasobów ludzkich (HR) prowadzi do zagrożenia organizacji cyberatakami związanymi z hasłami i ewentualnym naruszeniem zgodności z HIPAA, RODO oraz innymi standardami branżowymi i przepisami.
Pojedyncze rozwiązanie do zarządzania hasłami centralizuje kontrolę nawyków i zachowań w zakresie haseł, umożliwiając administratorom IT skłonienie pracowników do używania silnych, unikatowych haseł do każdego konta oraz włączenie uwierzytelniania wieloskładnikowego (MFA) jeśli jest obsługiwane i wymagane przez inne zasady bezpieczeństwa.
Zgodność i raportowanie
Możliwość skutecznego przeprowadzenia audytu i kontroli dostępu do danych uwierzytelniających i poufnych informacji ma kluczowe znaczenie dla zachowania zgodności i zapobiegania naruszeniom. Pojedyncze rozwiązanie ułatwia zapewnienie zgodności z przepisami takimi jak HIPAA, FedRAMP, StateRAMP, ISO 27001, PCI DSS, RODO i Sarbanes-Oxley (SOX), które wymagają raportowania kontroli dostępu.
Wiele rozwiązań wymaga od zespołów audytu i finansów uzgodnienia różnych metod przechowywania i raportowania danych. Wraz z rosnącymi kosztami zapewnienia zgodności z przepisami, skomplikowaniem tego procesu przez pracę zdalną i rozszerzeniem narażonych na atak obszarów organizacji, skuteczny proces audytu jest ważniejszy niż kiedykolwiek.
Kryminalistyka z pojedynczej perspektywy
Po wystąpieniu incydentu bezpieczeństwa analitycy kryminalistyczni muszą odtworzyć oś czasu zdarzeń, aby zrozumieć, w jaki sposób przestępca zaatakował organizację. Naruszone konta niższego poziomu, takie jak konta w mediach społecznościowych, często stanowią punkt wejścia dla cyberprzestępców umożliwiający podniesienie uprawnień po uzyskaniu dostępu.
Podobnie jak usprawniony proces kontroli IT i audytów zgodności, pojedyncze rozwiązanie do zarządzania hasłami centralizuje osie czasu zdarzeń i eliminuje odrębne standardy raportowania.
Korzyści biznesowe wynikające z używania jednego menedżera haseł dla przedsiębiorstw
Oprócz względów bezpieczeństwa istnieje szereg innych korzyści biznesowych wynikających z wykorzystania pojedynczego menedżera haseł. Pojedyncze rozwiązanie zwiększa również opłacalność, możliwości wsparcia oraz elastyczność ochrony haseł i poufnych informacji.
Oszczędność kosztów pojedynczego rozwiązania
Prawdopodobnie zakup oprogramowania przez firmę za pośrednictwem jednego dostawcy będzie bardziej opłacalny. Biorąc pod uwagę, że typowy budżet IT zmniejszy się w ujęciu realnym w 2023 r., dyrektorzy finansowi i kierownicy IT mogą wykorzystać menedżery haseł oraz inne oprogramowanie, aby skonsolidować funkcje i ograniczyć wydatki.
Większe możliwości wsparcia użytkowników końcowych
Menedżer haseł prawdopodobnie ograniczy liczbę zgłoszeń do działu pomocy IT związanych z hasłami, ale wsparcie użytkowników będzie nadal wymagane. Dzięki jednemu menedżerowi haseł i jednemu zestawowi funkcji do opanowania przez administratorów systemu zespół IT może poświęcić więcej czasu na wewnętrzne projekty, które rozwijają firmę.
Elastyczność dostawcy
Podobnie jak w przypadku usprawnienia wsparcia dla pojedynczego narzędzia, wykorzystanie pojedynczego rozwiązania zapewnia jeden zewnętrzny punkt kontaktowy na potrzeby wsparcia wdrażania menedżera haseł u pracowników. Wykorzystanie pojedynczego punktu kontaktu z dostawcą rozwiązania podczas wdrażania nowych użytkowników do rozwiązania może ułatwić koordynację procesu w całej organizacji.
Jak wspierać działania przedsiębiorstwa na rzecz zarządzania hasłami
Wykorzystanie przez organizację pojedynczego menedżera haseł zamiast kilku odrębnych, niezgodnych ze sobą rozwiązań jest korzystniejsze ze względu na niższy koszt, większą użyteczność i bezpieczeństwo.
Sugestia przejścia do pojedynczego menedżera haseł może spotkać się z niechęcią pracowników. Jednak strategia przedsiębiorstwa w zakresie zarządzania hasłami wspierana przez pojedyncze narzędzie zapewnia zwiększenie wydajności, ułatwienie współpracy i poprawę bezpieczeństwa.
Większość cyberataków jest wynikiem skradzionych, słabych i ponownie używanych haseł, danych uwierzytelniających oraz wpisów tajnych, dlatego bezpieczeństwo organizacyjne gwarantuje ochronę przedsiębiorstwa. Działy IT i zgodności wymagają pojedynczego rozwiązania na potrzeby zwiększenia widoczności i kontroli nad kluczowymi systemami oraz danymi.
Czy chcesz ujednolicić zarządzanie hasłami w organizacji? Już dziś porozmawiaj z jednym z naszych ekspertów ds. cyberbezpieczeństwa o skoordynowanym wdrożeniu rozwiązania Keeper Password Manager.