Nykypäivän virtuaalimaailmassa salasanat ovat avaimia, joilla lukitaan tai avataan pääsy tärkeimpiin tietoihin ja minkä tahansa organisaation virtuaalisiin järjestelmiin. Työntekijöiden rutiininomaiset salasanavirheet antavat kuitenkin säännöllisesti pääsyn hakkereille ja rikollisille tuhon luomiseksi. Näin ollen vahvan salasanapolitiikan perusta on se, mistä jokainen yritys tai organisaatio on huolissaan, jos he haluavat tietonsa olevan turvassa.
Salasanakäytäntöjen relevanssi
Salasanat ovat ensimmäinen suojausvaihe luvattomalta tunkeutumiselta tietokantoihin, jotka sisältävät yritystietoja, asiakastietoja, taloustietoja ja muuta kriittistä omaisuutta. Heikkojen tai vanhojen salasanojen käyttäminen helpottaa hakkereiden toimintaa, koska he voivat tunkeutua ja varastaa tietoja menetelmillä, kuten raa’alla voimalla, salasanojen ruiskutuksella tai valtuustietojen täyttämisellä. Harkitse näitä hälyttäviä tilastoja:
On osoitettu, että 81 % hakkerointiin liittyvistä tietomurroista käyttää varastettuja tai heikkoja salasanoja.
Vaikka 59 % väestöstä käyttää samaa salasanaa kaikilla verkkosivustoilla.
65 % ihmisistä ei vaihtanut salasanaansa viimeisten 12 kuukauden aikana, kun taas 35 % ihmisistä vaihtoi salasanansa murron jälkeen.
Salasanakäytäntö on perusta, joka sanelee hyväksyttävän salasanan luomisen ja hallinnan käyttäjien kesken. Sen avulla ihmiset voivat ennakoida organisaation turvaamisprosessia. Kun teknisiä valvontatoimia sovelletaan tiukasti, hyvä käytäntö vähentää huomattavasti tietomurron vaaraa, joka voi vahingoittaa vakavasti yritystäsi.
Salasanapolitiikan pääkomponentit
Mutta kuinka tehokas salasanapolitiikka tekisi tämän?
- Salasanat, kuten “salasana123”, ovat menneisyydessä, eivätkä ne enää toimi. Käytännössäsi on vaadittava 8–12 merkin pituisia salasanoja, joissa on aina ylä-, ala- ja erikoismerkkejä. Vältä lisäksi usein käytettyjä sanoja ja lauseita.
- Työntekijät eivät saa käyttää samaa salasanaa eri verkkoresursseissa. Jos heidän oma sähköpostitilinsä on vaarantunut ja he käyttävät samaa salasanaa yrityskansioiden selaamiseen, myös arkaluontoiset yritystietosi voivat vaarantua. Käytä yksilöllisiä salasanoja kaikissa järjestelmissä.
- Uusimmassa NIST-suosituksessa ei enää painoteta pakotettuja salasanamuutoksia, mutta monet organisaatiot pitävät edelleen 60–90 päivän välein tehtävää muutosta arvokkaana askeleena riittävän suojan saavuttamiseksi. Se on helppo tapa estää pääsy näiltä shekkitilihakkereilta, joilla saattaa olla vanhat käyttöoikeustiedot.
- Monitekijätodennus (MFA) on yksi tehokkaimmista tavoista parantaa salasanakäytäntöäsi. Jos vaaditaan toinen tekijä, joka voi olla tunnus, mobiilisovellus tai biometrinen tekijä, se tarkoittaa, että salasana ei riitä sisäänpääsyyn. Ota MFA käyttöön kiinnittäen erityistä huomiota järjestelmänvalvojatileihin ja etäkäyttöön.
- On haastavaa muistaa monia ainutlaatuisia, monimutkaisia salasanoja. Tarjoa monimutkainen salasananhallintaratkaisu yritystasolla, jossa salasanojen hallintaohjelmat tallentavat tunnistetiedot turvallisesti ja voivat jopa luoda vahvoja salasanoja automaattisesti.
- Politiikka on yhtä hyvä kuin ihmiset, jotka sitä toteuttavat. Varmista, että henkilökunta ymmärtää politiikan ja heidän ensisijaisen asemansa organisaation tietoturvassa. Ennakoi kyberturvallisuustietoisuuskoulutusta ja lähetä usein myös salasanavinkkejä.
Turvallisuus vs. käytettävyys
Yksi salasanapolitiikan kysymyksistä on löytää täydellinen tasapaino työntekijöiden käyttökokemuksen ja turvallisuusvaatimusten välillä. Jos käytäntö osoittautuu liian monimutkaiseksi tai aiheuttaa kitkaa, työntekijät voivat löytää tavan kiertää se tai luoda uuden riskialtis kiertotavan.
Salaisuus on politiikoissa, jotka ovat tarpeeksi tehokkaita toimiakseen ja jotka eivät kuitenkaan muutu tarpeeksi monimutkaisiksi vähentämään tuottavuutta. SSO (Single Sign-on) sekä käyttäjäystävällisen salasananhallinnan tarjoaminen voidaan ottaa käyttöön henkilöstön taakan vähentämiseksi, koska nämä elementit säilyttävät edelleen korkean turvallisuustason.
Varmista myös, että myös organisaatiosi erityinen konteksti ja riskitaso otetaan asianmukaisesti huomioon asiaa koskevien politiikkojen laadinnassa. Esimerkiksi yritykset, kuten rahoituslaitokset tai sairaalat, jotka saattavat vaatia tiukempia standardeja kuin pienet vähittäiskaupat. Varmista, että työskentelet IT- ja turvallisuustiimin jäsenten kanssa määrittääksesi omat yksilölliset tarpeesi.
Salasanakäytäntösi toteuttaminen
Tehokas politiikka on jotain, jota pannaan täytäntöön johdonmukaisesti. määrittelemätön
- Määritä verkkoja vaatimaan vahvoja, monimutkaisia salasanoja ja lukitse tunnetut/vaarantuneet salasanat.
- Aseta salasanan iän rajoitukset ja vaihda salasana automaattisesti tietyn ajan kuluttua.
- Ota käyttöön tilisulkuja suojautuaksesi raakoja hyökkäyksiä vastaan aina, kun tietty määrä epäonnistuneita kirjautumisyrityksiä on saavutettu.
- Ota käyttöön etuoikeutetut käyttöoikeuksien hallintatyökalut, jotka olisivat vastuussa järjestelmänvalvojan tilien turvaamisesta ja valvonnasta erityisoikeuksin.
Mutta tekniikka ei ole kaikki kaikessa. On ratkaisevan tärkeää, että sinulla on sisäänosto johtoryhmältä ja kerrot käytännöstä työntekijöille. Anna jatkuvaa koulutusta ja ohjausta kouluttaaksesi heitä siihen, mitä heiltä odotetaan. Viimeinen, mutta ei vähäisin osa salasanojen turvaamisessa on muistaa näyttää esimerkkiä – johto- ja IT-henkilöstön tulee olla edelläkävijöitä hyvien salasanakäytäntöjen omaksumisessa.
Hyökkääjät parantavat jatkuvasti strategioitaan
Salasana, joka on “suojattu” tänään, ei välttämättä ole “turvallinen” huomenna. Tässä yhteydessä on tärkeää olla tietoinen uusista uhista ja tarkistaa ja päivittää salasanakäytäntösi säännöllisesti.
On tärkeää tarkkailla uusia teknologioita ja parhaita käytäntöjä, joita voit ottaa käyttöön, kuten salasanattomat todennusmenetelmät. Lisäksi, jos rikkomus on tapahtunut, tee siitä tutkimus ja tunnista syy, jotta se ei toistu.
Noudattamalla vahvaa salasanapolitiikkaa ja edistämällä tietoturvakulttuuria voit säilyttää organisaation immateriaaliomaisuuden ja maineen. Vaatii ponnisteluja ja on oltava valppaana, mutta henkinen rauhallisuus lopussa on kaiken vaivan arvoista.