Wiele organizacji walczy z politykami dotyczącymi haseł, które wyglądają na silne na papierze, ale zawodzą w praktyce. Głównie dlatego, iż są zbyt restrykcyjne, aby ich przestrzegać, zbyt niejasne, aby je egzekwować, lub oderwane od rzeczywistych potrzeb bezpieczeństwa.
Niektóre są tak żmudne i skomplikowane, iż pracownicy umieszczają hasła na karteczkach samoprzylepnych pod klawiaturami, monitorami lub szufladami biurek. Inne ustalają zasady tak luźne, iż równie dobrze mogłyby nie istnieć. A wiele po prostu kopiuje ogólne standardy, które nie odnoszą się do ich konkretnych wyzwań związanych z bezpieczeństwem.
Stworzenie polityki haseł, która działa w celu ochrony organizacji w świecie rzeczywistym, wymaga ostrożnej równowagi: musi być wystarczająco rygorystyczna, wystarczająco elastyczna do codziennej pracy i wystarczająco precyzyjna, aby można ją było egzekwować w sposób spójny. Przyjrzyjmy się kilku dobrym strategiom tworzenia polityki haseł, która spełni swoje zadanie w dzisiejszym świecie.
1. Zgodne z regulacjami praktyki dotyczące haseł
Czy Twoja organizacja działa w regulowanej branży, takiej jak opieka zdrowotna, administracja publiczna, rolnictwo lub usługi finansowe? jeżeli tak, jednym z priorytetów powinno być zapewnienie przestrzegania zasad zarządzania hasłami obowiązujących w Twoim sektorze. Aby zapewnić bezpieczeństwo i prywatność danych (oraz zgodność), Twoja organizacja musi przestrzegać standardów skoncentrowanych na hasłach, które mają zastosowanie do danej lokalizacji fizycznej i branży.
Przestrzegając branżowych wytycznych dotyczących zarządzania hasłami, wzmocnisz swoją pozycję bezpieczeństwa, jednocześnie wypełniając swoje zobowiązania prawne.
2. Przegląd istniejących zobowiązań dotyczących haseł
Przed opracowaniem nowych wymagań dotyczących haseł dokonaj przeglądu swoich zobowiązań i wewnętrznych przepisów.
Zacznij od przejrzenia umów z dostawcami, umów z klientami i dokumentów partnerskich – i pamiętaj, iż wymagania dotyczące haseł mogą być ukryte w klauzulach dotyczących przetwarzania danych lub załącznikach dotyczących bezpieczeństwa. Nie zapomnij sprawdzić wewnętrznych dokumentów, takich jak podręcznik pracownika, procedury bezpieczeństwa, a choćby wytyczne dotyczące poszczególnych działów. Identyfikując obszary, w których wymagania dotyczące haseł się pokrywają, a także obszary potencjalnego konfliktu, możesz określić, gdzie możesz potrzebować negocjować zmiany lub utrzymywać bardziej rygorystyczne standardy.
3. Utworzenie zasad opartych na prawdziwych danych
Zbyt wiele organizacji przechodzi od razu do ustalania zasad bez zrozumienia rzeczywistych wyzwań związanych z uwierzytelnianiem. Przed opracowaniem nowej polityki haseł uzyskaj jasny obraz swojej sytuacji bezpieczeństwa. Przeprowadź dokładny audyt usługi Active Directory, aby odkryć rzeczywistość swojego środowiska – od przestarzałych kont administratorów po w tej chwili używane zagrożone hasła.
Pomyśl o audycie usługi Active Directory jako o podstawie całej strategii haseł. Kiedy zrozumiesz, gdzie hasła są najsłabsze, które działy mają problemy ze zgodnością i jakie luki w zabezpieczeniach naprawdę istnieją, możesz opracować zasady, które rozwiążą rzeczywiste problemy, zamiast dodawać niepotrzebnej złożoności. Do przeprowadzenia audytu polecamy na przykład narzędzie Ping Castle, które w wersji podstawowej jest darmowe.
4. Wprowadzenie rygoru i egzekwowanie polityki haseł
Wszyscy wiemy, co dzieje się w ruchu drogowym: znak ograniczenia prędkości wskazuje 50 km/h, ale pojazdy regularnie jeżdżą 70 km/h. Zasady haseł są podobne: świetnie jest mieć udokumentowane zasady, ale bez skutecznego egzekwowania ludzie zignorują wytyczne i zrobią, co chcą – narażając w ten sposób bezpieczeństwo organizacji.
Podczas tworzenia polityki haseł określ, w jaki sposób możesz najskuteczniej ją egzekwować. Co stanowi naruszenie? Jak będziesz wykrywać naruszenia? Jakie są kary? I jak będą rozpatrywane odwołania? Następnie zakomunikuj swoje podejście do egzekwowania wszystkim interesariuszom. Kiedy pracownicy widzą, iż kierownictwo poważnie traktuje bezpieczeństwo haseł i sprawiedliwie stosuje konsekwencje, będą traktować zgodność poważniej.
5. Tworzenie sprawdzonych standardów
Daj polityce haseł osobne miejsce, zamiast ukrywać ją w ogólnej dokumentacji IT. Samodzielny dokument polityki ma większą wagę i przejrzystość, a jednocześnie ułatwia aktualizacje.
Dokumentacja powinna jasno mówić o tym, co jest ważne: które systemy są objęte tymi zasadami, kto musi ich przestrzegać i co muszą robić. Pomiń lanie wody i skup się na jasności – od minimalnej długości hasła po wymagane typy znaków.
Przed sfinalizowaniem przekaż swój projekt recenzentom w różnych jednostkach biznesowych.
Na przykład:
- zespoły techniczne powinny zweryfikować wykonalność,
- zespoły prawne powinny zapewnić zgodność z przepisami,
- zespoły HR powinny wziąć pod uwagę użyteczność i łatwość obsługi,
- kadra kierownicza powinna potwierdzić zgodność strategiczną.
Podsumowanie
Polityka haseł organizacji jest podstawą jej strategii bezpieczeństwa, ale jej skuteczność zależy całkowicie od tego, jak dobrze ją zaplanujesz i wykonasz. Zacznij od zrozumienia swoich wymagań regulacyjnych i istniejących zobowiązań. Następnie spójrz na swoją organizację i stwórz niestandardową listę słów powiązaną z marką, produktami, usługami itp., których używanie chcesz uniemożliwić użytkownikom w swoich hasłach. Następnie możesz budować na tym fundamencie dzięki prawdziwych danych ze swojego środowiska Active Directory.
