5 Möglichkeiten, wie kleine Unternehmen die Passwortverwaltung überarbeiten können

Als IT-Experte kann die Überwachung der Kennwortintegrität, der Zugriffskontrolle und des Identitätsmanagements ein Problem sein, unabhängig davon, ob Sie in einem kleinen Unternehmen oder einem großen Unternehmen arbeiten. Mitarbeiter sind aus dem einen oder anderen Grund immer ein Sicherheitsrisiko, unabhängig davon, ob sie schwache Passwörter verwenden, auf fragwürdige Links klicken oder auf externe Anwendungen für Arbeitsdaten zugreifen, da dies einfacher ist. Überprüfen Sie anhand der jährlichen Liste mit den schlechtesten Passwörtern von SplashData, wie viele Anmeldeinformationen immer noch "password" und "123456" sind.

Während eines kürzlichen Gipfeltreffens der National Cyber ​​Security Alliance (NCSA) in New York hat PCMag Matt Kaplan, General Manager von LastPass, getroffen, einem Unternehmen, das Passwortmanagement- und Sicherheitslösungen für Verbraucher, kleine Unternehmen und Unternehmen anbietet.

LastPass hat kürzlich in Zusammenarbeit mit dem Marktforschungsunternehmen Ovum einen Bericht zum Thema "Schließen der Sicherheitslücke bei Passwörtern" veröffentlicht. Der Bericht befragte 355 IT-Führungskräfte und 550 Unternehmensmitarbeiter. Unter anderem wurde festgestellt, dass 61 Prozent der IT-Verantwortlichen ausschließlich auf die Schulung der Mitarbeiter angewiesen sind, um sichere Passwörter durchzusetzen. Dem Bericht zufolge verlassen sich vier von zehn Unternehmen immer noch auf vollständig manuelle Prozesse, um Benutzerkennwörter für Cloud-Apps zu verwalten. Laut Kaplan besteht das größte Problem für Unternehmen darin, einen ineffektiven Sicherheitsansatz für die heutige Arbeitsweise der Mitarbeiter zu haben.

"Die Mitarbeiter tun das, was sie immer getan haben. Sie gehen auf ihre eigenen Produktivitätsanforderungen und ihre Bequemlichkeit ein, um ihre Arbeit effektiver zu erledigen. Sie sind nicht böswillig oder böswillig. Sie versuchen nur, effektiv zu arbeiten", sagte er Kaplan.

"Also, was die Mitarbeiter am Ende tun, ist, den Weg des geringsten Widerstands zu finden. Sie nutzen öffentliches WLAN, wenn sie es nicht sollten. Sie nutzen Dropbox, Google Drive und andere Dateisynchronisierungs- und Freigabelösungen, die vom Unternehmen nicht genehmigt wurden, weil es einfacher ist Sie bringen andere Apps in das Unternehmen, weil sie produktiver sind. Insgesamt fehlt es den IT-Managern an der Fokussierung auf den menschlichen Faktor."

Kaplan sagte, Unternehmen müssten sich an verschiedenen Fronten mit der Verwaltung von Passwörtern befassen. Die IT muss ihre Erwartungen und Strategien anpassen. LastPass ist der Ansicht, dass Sie die Angewohnheiten von Mitarbeitern ändern können, indem Sie sie nicht nur in Passworthygiene schulen, sondern ihnen auch Technologien wie Passwortmanager (und sogar Motivatoren wie Gamification) an die Hand geben, um neu zu definieren, wie Unternehmen und Mitarbeiter Passwörter betrachten.

1 Ja, es ist dein Problem

Ein Grund dafür, dass IT-Experten in einem Unternehmen häufig keine strengeren Kennwortstandards durchsetzen können, liegt in der Annahme, dass sie die Kontrolle nicht haben. Kaplan sagte, dass die Ausrede 2017 nicht gut genug sei.

"Bei unseren Nachforschungen haben wir festgestellt, dass fast 80 Prozent der IT-Manager in ihren Unternehmen keine vollständige Kontrolle über Passwörter haben", sagte Kaplan. "Die Mehrheit von ihnen räumt ein, dass mangelnde Kontrolle ein ernstes Risiko darstellt. Warum ist das so? Viele von ihnen glauben, dass Sie nicht kontrollieren können, was Sie nicht verwalten. Mitarbeiterpasswörter sind Sache der Mitarbeiter, und es gibt keinen Einblick in sie."



2 Nehmen Sie eine ganzheitliche Sichtweise

Arbeitsanwendungen und -konten sind bei weitem nicht die einzigen anfälligen Sicherheitsendpunkte, die verwaltet werden müssen, um eine Gefährdung des Unternehmensnetzwerks zu verhindern. IT-Manager in einem kleinen Unternehmen müssen über die Anmeldung eines Mitarbeiters hinausgehen und über das Gesamtbild nachdenken, wenn sie Tools und Schulungen zur Verbesserung der Kennworthygiene und der Sicherheitspraktiken bereitstellen.

"Angreifer nutzen Social Engineering, um in Unternehmenskonten einzusteigen. Was also wirklich wichtig ist, ist, dass Unternehmen eine ganzheitliche Sichtweise auf einen Mitarbeiter haben und sowohl die Verwendung persönlicher Kennwörter als auch die geschäftliche Nutzung untersuchen. Sie müssen beide Seiten ansprechen", sagte Kaplan. "Zu lange haben IT-Verantwortliche gesagt: 'Wir werden nur die Passwörter im Zusammenhang mit dem Geschäft des Unternehmens ansprechen.' Das ist nicht mehr effektiv. Schauen Sie sich die jüngste Verletzung von Yahoo an, bei der drei Milliarden Passwörter gestohlen wurden. Das sind eindeutige Einstiegspunkte für Angreifer in ein Unternehmen."



3 Bildung und Authentifizierung

Laut Verizons Bericht über Datenverletzungsuntersuchungen aus dem Jahr 2017 sind mehr als 80 Prozent der Verstöße auf schwache, kompromittierte oder wiederverwendete Kennwörter zurückzuführen. Laut Kaplan können Sie einen großen Teil der Bedrohungsfläche eines Unternehmens schließen, wenn Ihr Unternehmen Mitarbeitern Tools und Schulungen zum Erstellen und sicheren Verwalten von Kennwörtern zur Verfügung stellt.

"Es gibt ein paar Dinge, die IT-Abteilungen tun müssen", sagte Kaplan. "Eine besteht darin, die Mitarbeiter darin zu schulen, wie man sichere, lange und eindeutige Kennwörter auf jeder Website verwendet. Verwenden Sie einen Kennwort-Manager, da Sie sich nicht alle diese eindeutigen Kennwörter auf jeder Website merken können. Verwenden Sie die Multifaktorauthentifizierung, um sicherzustellen, dass Sie der richtige Benutzer sind." Sie sind und überwachen die Passwortverwendung."



4 Gamify It

Mit LastPass können Unternehmen die Passwortwerte verschiedener Mitarbeiter einsehen. Laut Kaplan könnte Gamification ein Weg für Unternehmen sein, das menschliche Element in Betracht zu ziehen. Gamification ist eine Möglichkeit, Benutzern eine Möhre anstatt eine Peitsche zu geben.

"Vielleicht spielen Sie Ihre Passwortrichtlinien aus. So kann ein Mitarbeiter mit der höchsten Passwortbewertung Punkte oder einen Preis oder so etwas bekommen", sagte Kaplan. "Es ist wirklich ein anderer Ansatz als der Lockdown-Ansatz" Ich kann nicht auf unser Netzwerk zugreifen ", der traditionell zur Gewährleistung der Sicherheit verwendet wird. Dies kann einfach nicht mehr durchgeführt werden, da alles offen ist. Wir müssen davon ausgehen, dass Angreifer im Spiel sind." Netzwerk irgendwo lauern."



5 Berücksichtigen Sie das moderne Verhalten

Der Bericht stellte auch fest, dass 76 Prozent der Mitarbeiter regelmäßig Probleme mit der Verwendung von Passwörtern hatten. Und es stellte sich heraus, dass fast 70 Prozent angaben, einen Passwort-Manager zu verwenden, wenn er ihnen zur Verfügung gestellt würde. Laut Kaplan müssen Unternehmen die heutige Arbeitsweise der Mitarbeiter anerkennen und die IT-Richtlinien und das Kennwortmanagement an das moderne Benutzerverhalten anpassen.

"Die Menschen möchten mit mobilen Geräten und von überall aus arbeiten. Sie möchten die Freiheit, in einem Ferienhaus oder im Fußballspiel ihres Kindes zu arbeiten, und die IT muss dies respektieren. Die Grenze zwischen Arbeit und Privatleben und die IT-Führungskräfte." müssen das berücksichtigen ", sagte Kaplan. "Der Appetit ist da. Es gibt keinen Unterschied, ob Sie in einem 10-köpfigen Start-up oder einem kleinen Unternehmen oder einem 10.000-köpfigen Unternehmen arbeiten. Wir sehen die Lösung als effektiv an."