Приложение для аутентификации — это способ многофакторной аутентификации, который обеспечивает дополнительную защиту учетных записей в Интернете. Keeper® можно использовать вместо Google Authenticator, поскольку оно хран...
С проблемой ИТ, которая существует столько же, сколько и программное обеспечение как услуга (SaaS), сталкиваются абсолютно в каждой организации: пользоваться услугами одного поставщика технологий или использовать несколько решений. В некоторых организациях это относится к менеджерам паролей.
А поскольку функции программного обеспечения различаются, существуют веские причины, по которым организация прибегает к использованию одного или нескольких решений.
В этом блоге мы рассмотрим, почему менеджеры паролей следует внедрять в масштабах всего предприятия и как ИТ-специалисты могут обеспечить защиту паролей на базе единой платформы.
Одно или несколько решений?
Одно единственное и унифицированное решение для управления паролями может обеспечить большую часть функциональных потребностей в организации или удовлетворить «самых громогласных». Однако если решение не будет универсальным, многие группы сотрудников могут остаться без критически важной функциональности.
Так почему бы не использовать несколько поставщиков? Это, безусловно, может удовлетворить потребности отдельных отделов и команд. Однако попытка угодить всем повлечет дополнительные расходы, а также вызовет несогласованность процессов, контроля и отчетности.
Дискуссия по поводу выбора одного или нескольких решений может быть актуальной в случае некоторых видов программного обеспечения, например текстовых редакторов. Однако менеджеры паролей, как и применяемые ими политики управления идентификацией и доступом (IAM), должны работать в масштабе предприятия.
Одно решение для управления паролями должно охватывать всех пользователей, все приложения и устройства.
Почему в организациях есть несколько решений?
Во-первых, давайте рассмотрим несколько распространенных причин, по которым организации используют несколько менеджеров паролей, и почему эти причины не выдерживают критики.
Громогласные сотрудники и отсутствие личной заинтересованности
Отсутствие поддержки со стороны высшего руководства или организационной культуры, а также мнение громогласных сотрудников, заглушающих опасения ИТ-специалистов и сотрудников службы безопасности, могут привести к тому, что ИТ-специалисты не будут иметь полномочий для управления важными процессами. В частности, это касается обеспечения единообразия в управлении паролями и другим важным программным обеспечением.
Другими словами, если Бобу из финансового отдела нравится менеджер паролей A, Сьюзи из отдела маркетинга предпочитает менеджер паролей B, а директору все равно, какое ПО использовать, то ИТ-отделу просто не на что будет опереться. Бобу и Сьюзи разрешат и дальше использовать программное обеспечение, которое им нравится, и, возможно, разрешат кому-то еще из отдела продаж, кому нравится другой менеджер паролей.
Нетрудно представить, как быстро все может выйти из-под контроля, если руководствоваться принципом «для работы все средства хороши», особенно если учесть, в организации в среднем используется более 100 приложений SaaS.
Тяга конечных пользователей к устаревшим решениям
Проблема часто связана с мнением громогласных сотрудников и отсутствием поддержки.
До того как управление паролями стало для предприятия приоритетной задачей, отдельные подразделения или бизнес-единицы могли самостоятельно использовать различные решения для управления паролями. Хуже того, некоторые из этих решений могут быть крайне небезопасными, включая менеджеры паролей, встроенные в браузеры, электронные таблицы и даже листочки с записями.
Люди по своей природе склонны противиться переменам. Если сотрудники годами используют определенное решение, то переход на другое может вызывать опасения. Однако в долгосрочной перспективе трудно не заметить преимущества единого решения — от усиления безопасности и эффективной отчетности о соответствии нормативным требованиям до более рационального распределения ИТ-ресурсов и удобного взаимодействия сотрудников.
Опасения по поводу привязки к поставщикам и уязвимостей в системе безопасности
В некоторых случаях организации предпочитают использовать несколько решений, опасаясь привязки к одному поставщику. Они боятся, что если будут использовать только одно решение, то перейти на другое будет практически невозможно и они будут связаны с этим поставщиком навсегда. Однако если выбранный поставщик позволяет легко экспортировать пароли, привязка к нему не является проблемой.
Кроме того, некоторые компании и даже ИТ-руководство, возможно, опасаются последствий для безопасности при использовании только одного менеджера паролей, особенно в свете недавних случаев утечки данных. В некоторых случаях организация может хранить свои учетные данные в одном решении, а резервные коды, ответы на вопросы безопасности и т. д. — в другом.
По их логике, если один менеджер паролей будет взломан, то организация, по крайней мере, будет защищена другим менеджером паролей. Однако сосуществование нескольких менеджеров паролей в организации не обязательно обеспечивает более надежную защиту — более того, это, скорее всего, может снизить уровень безопасности.
Каждая программа SaaS, которую организация добавляет в свою среду данных, — это еще одна потенциальная конечная точка, которую может использовать злоумышленник. Чем больше менеджеров паролей приходится использовать конечным пользователям, тем выше вероятность того, что кто-то из них допустит ошибку.
Организации настолько же уязвимы, насколько уязвимы их незащищенные конечные точки. В сочетании с архитектурой безопасности конкретного решения и способностью ИТ-специалистов обеспечить соблюдение строгих политик, использование сотрудниками одного менеджера паролей является гораздо более надежным фактором безопасности предприятия.
Преимущества для безопасности одного менеджера паролей
Даже если не принимать во внимание основополагающие аспекты безопасности конкретных решений, которые должны учитываться в первую очередь при выборе ИТ-продуктов, есть ряд причин, по которым использование единого решения для управления паролями в масштабах предприятия намного лучше, чем объединение нескольких решений.
Видимость и контроль ИТ
Согласно отчету Verizon о расследованиях утечек данных 74% атак обусловлены человеческим фактором — украденными или ненадежными паролями, секретами и учетными данными. В современных цифровых организациях каждый конечный пользователь должен иметь доступ к программному обеспечению, то есть каждый должен использовать пароли. Поэтому управление идентификацией и доступом должно быть целостным и единообразным по всей организации.
Единое решение для управления паролями унифицирует видимость и позволяет ИТ-специалистам проводить аудит паролей на одной платформе.
Несколько решений позволяют отслеживать различные функции и платформы, но иногда они несовместимы друг с другом. Совместимость систем (или ее отсутствие) затрудняет для ИТ-специалистов согласование данных из разных менеджеров паролей и оценку риска в целом.
Гигиена безопасности сотрудников
Наличие нескольких менеджеров паролей снижает видимость ситуации ИТ-сотрудниками в целом, а также препятствует выполнению их миссии по защите организации путем обеспечения соблюдения сотрудниками политик использования паролей.
Без единого стандарта управления паролями, который ИТ-отдел может укрепить, зачастую с помощью отдела кадров, организация рискует пострадать от кибератак, связанных с паролями, и, возможно, перестать соответствовать HIPAA, GDPR и другим отраслевым и нормативным стандартам.
Единое решение для управления паролями централизованно контролирует привычки и поведение пользователей при использовании паролей, что позволяет ИТ-администраторам обеспечить использование всеми сотрудниками надежных, уникальных паролей для каждой учетной записи, включить многофакторную аутентификацию (MFA) везде, где она поддерживается, и соблюдать другие политики безопасности.
Соответствие и отчетность
Возможность эффективно проводить аудит и контролировать доступ к учетным данным и конфиденциальной информации имеет решающее значение для обеспечения соблюдения стандартов и предотвращения утечек. Единое решение упрощает соблюдение таких нормативных актов, как HIPAA, FedRAMP, StateRAMP, ISO 27001, PCI DSS, GDPR и Sarbanes-Oxley (SOX), которые требуют отчетности по контролю доступа.
При использовании нескольких решений службам аудита и финансов приходится согласовывать различные методы хранения и учета данных. Поскольку расходы на соблюдение нормативных требований растут, а удаленная работа усложняет их соблюдение и увеличивает поверхность атак организаций, эффективный процесс аудита важен как никогда.
Компьютерная криминалистика с точки зрения использования одного решения
Если происходит инцидент, связанный с безопасностью, криминалистам необходимо заново создать временные рамки событий, чтобы понять, как злоумышленник совершил атаку на организацию. Скомпрометированные учетные записи нижнего уровня, например учетные записи в социальных сетях, часто служат для злоумышленников точкой входа, чтобы повысить привилегии после проникновения в систему.
Подобно оптимизации процесса аудита ИТ-контроля и соответствия нормативным требованиям, единое решение для управления паролями централизованно устанавливает временные рамки событий и позволяет отказаться от использования разрозненных стандартов отчетности.
Преимущества для бизнеса при использовании одного корпоративного менеджера паролей
Помимо соображений безопасности, использование только одного менеджера паролей дает массу преимуществ для бизнеса. Кроме того, единое решение — это гораздо более эффективный с точки зрения затрат, поддержки и быстродействия вариант защиты паролей и конфиденциальной информации.
Экономия затрат при использовании единого решения
В большинстве случаев компании выгоднее приобретать программное обеспечение у одного поставщика, а не у нескольких. Учитывая, что в реальном выражении в 2023 году средний ИТ-бюджет сократится, для консолидации функциональности и контроля расходов руководство в сфере финансов и ИТ может обратиться к менеджерам паролей среди прочего ПО.
Больше возможностей для поддержки конечных пользователей
Менеджер паролей должен сократить количество обращений, связанных с паролями, которые попадают в службу ИТ-поддержки, но некоторым сотрудникам все равно потребуется помощь. С помощью всего одного менеджера паролей и одного набора функций, которыми должны управлять системные администраторы, ИТ-специалисты могут уделять больше времени внутренним проектам, направленным на развитие бизнеса.
Оперативность поставщиков
Наличие одного решения упрощает внутреннюю поддержку, а также обеспечивает единую внешнюю точку контакта для внедрения менеджера паролей среди сотрудников. При подключении новых пользователей к решению наличие единой точки контакта с поставщиком поможет скоординировать внедрение решения в организации.
Как реализовать корпоративную инициативу по управлению паролями
С точки зрения стоимости, удобства использования и безопасности лучшим вариантом для организаций будет единый менеджер паролей, а не несколько разрозненных и несовместимых решений.
Некоторые сотрудники могут настойчиво возражать против перехода на единый менеджер паролей. Однако корпоративная стратегия управления паролями, подкрепленная единым инструментом, обещает повысить эффективность, удобство взаимодействия и безопасность.
Поскольку большинство кибератак связано с украденными, слабыми и повторно используемыми паролями, учетными данными и секретами, безопасность организации требует защиты со стороны предприятия. ИТ-отделам и отделам по соблюдению нормативных требований необходимо единое решение для обеспечения прозрачности и контроля над критически важными системами и данными.
Готовы внедрить единую систему управления паролями в своей организации? Пообщайтесь с одним из наших экспертов по кибербезопасности о скоординированном внедрении Keeper Password Manager уже сегодня.