Turvallinen salasanojen hallinta yrityksissä

Ongelma: Yritykset suhtautuvat salasanoihinsa aivan liian huolimattomasti.

ISACA:n vuonna 2013 Yhdistyneessä kuningaskunnassa julkaiseman Forsa-tutkimuksen mukaan 49,7 prosenttia vastaajista käytti samoja kahta tai kolmea salasanaa useilla tileillä/verkkosivustoilla. Etenkin yritysten kannalta näiden lukujen pitäisi olla hälyttäviä, sillä luottamukselliset liike- ja asiakastiedot sekä myynnin takuut, kuten yrityksen verkkosivusto, voivat vaarantua. Jos esimerkiksi työntekijä lähtee yrityksestä eikä salasanoja vaihdeta sen jälkeen, hän voi edelleen - teoriassa - käyttää kaikkia tilejä. Pahimmassa tapauksessa useiden tiimin jäsenten käyttämille tunnuksille on jopa oletussalasana. Tämä saattaa kuulostaa loogiselta, koska yritykset omistavat yleensä kymmeniä tunnuksia ja tilejä. Mutta yrityksen tietoturvan kannalta tämä on todellinen katastrofi.

Mutta: Monet yritykset eivät yksinkertaisesti ajattele tarpeeksi salasanojen hallintaa tai uskovat, että asianmukaisten toimenpiteiden toteuttaminen on liian aikaa vievää. Vaikka työntekijät lähtevät yrityksestä huonoissa olosuhteissa, se ei useinkaan johda siihen, että tärkeät tunnukset vaihdetaan keskitetysti. Salasanakäytäntöjä, jotka neuvoisivat työntekijöitä valitsemaan salasanansa mahdollisimman turvallisesti, ei ole olemassa tai niitä ei panna täytäntöön.

Lisäksi hyväksytään, että ihmiset käyttävät samoja salasanoja yksityis- ja yritystileillä. Yhteisten tilien salasanoja lähetetään salaamattomina sähköpostitse tai Skypen kaltaisten viestintävälineiden kautta muille. Salasanaluetteloita luodaan yhteisiin kansioihin yrityksen palvelimilla tai esimerkiksi Google Drivessa - usein myös salaamattomina! Näyttää siltä, että yritykset yksinkertaisesti toivovat pääsevänsä helpolla. On kuitenkin helposti mahdollista hallita salasanoja tiimeissä turvallisesti ja tehokkaasti.

Ratkaisu: Miten salasanojen hallinta yrityksissä saadaan kuntoon

Yritysten, jotka suhtautuvat vakavasti salasanojen tietoturvaan, tulisi ottaa seuraavat asiat asialistalleen:

Herkistää ja tiedottaa työntekijöille

On tärkeää, että kaikki yrityksen työntekijät tietävät, miksi heikot ja toistuvat salasanat ovat uhka tietoturvalle. Yrityksen koosta riippuen olisi laadittava opas salasanojen käsittelyä varten, ja työntekijöille olisi kerrottava asiasta kokouksissa tai heille olisi järjestettävä erityisiä koulutuksia.

Ilmoita yhteyshenkilö

Jokaisen yrityksen olisi päätettävä vähintään yhdestä henkilöstä, joka toimii yhteyshenkilönä kaikissa salasanasuojaukseen ja tietoturvaan liittyvissä kysymyksissä ja ongelmatilanteissa, ja ilmoitettava siitä työntekijöille.

Turvallisia salasanoja koskevien käytäntöjen asettaminen ja noudattaminen

Katso vinkit vahvojen salasanojen luomiseen, jotta voit rakentaa pituudeltaan ja monimutkaisuudeltaan vahvoja salasanoja. Yritysten on tärkeää laatia ja tiedottaa yritysten väliset käytännöt. Tällainen käytäntö voi esimerkiksi vaatia, että salasanojen on oltava vähintään 12 merkkiä pitkiä ja niiden on sisällettävä sekä pieniä että isoja kirjaimia ja numeroita. Erittäin tärkeää: Tarkista, että työntekijäsi noudattavat ohjeita.

Aseta ja ota käyttöön käytännöt salasanojen vaihtamista varten

Salasanat on vaihdettava säännöllisesti. Salasanojen tärkeydestä riippuen tämä voi tapahtua kuukausittain tai kerran vuodessa. Työntekijöitä varten olisi myös luotava asianmukaiset käytännöt, jotka ohjaavat heitä. Tämä on erityisen tärkeää, kun työntekijät lähtevät yrityksestä. Kaikille tileille, joihin heillä oli pääsy, olisi annettava uusi salasana mahdollisimman pian.

Tuottavuuden lisääminen

Loppujen lopuksi turvallisuuden ei pitäisi heikentää työntekijöidesi tuottavuutta. Sen sijaan, että lähetät muistutuksia manuaalisesti tai vaihdat salasanoja itse ja lähetät ne kaikille, sinun pitäisi tehdä työstä heille mahdollisimman helppoa, varsinkin jos otat huomioon, kuinka monta tiliä ja salasanaa yritys yleensä omistaa. Muuten työntekijöilläsi menee paljon aikaa salasanojen vaihtamiseen tai niiden muistamiseen tai - mikä vielä pahempaa - niiden kirjoittamiseen Post-it-lapuille ja niiden kiinnittämiseen näyttöön. Vaihtoehtoisesti he saattavat etsiä kiertoteitä käytäntöjesi kiertämiseksi. Sen sijaan sinun pitäisi tarjota työntekijöillesi helppokäyttöisiä salasanatyökaluja, jotka voivat tehdä suurimman osan työstä heidän puolestaan.

Salasanojen hallinta yrityksissä Password Depot Serverin avulla

Password Depot Serverin avulla kaikki salasanatiedostosi tallennetaan salattuna ja keskitetysti yrityksen palvelimelle. Kaikki työntekijät pääsevät salasanoihin käsiksi ja käyttävät niitä heille annettujen oikeuksien mukaisesti helppokäyttöisen käyttöliittymän (Password Depot Client) kautta. Ainoa asia, joka heidän tarvitsee muistaa, on heidän henkilökohtainen pääsalasanansa. Tämän keskitetyn hallinnan ansiosta kaikkien salasanojen vaihtaminen, salasanakäytäntöjen määrittäminen ja niiden noudattamisen valvonta on paljon helpompaa. Lisäksi salasanan uusinta versiota ei tarvitse enää etsiä sähköposteista tai palvelimelta.

Jos työntekijä lähtee yrityksestä, järjestelmänvalvoja voi estää hänen pääsynsä ohjauspaneelin kautta ja vaihtaa salasanat, joihin hänellä oli pääsy. Muille työntekijöille ei tarvitse edes ilmoittaa asiasta: He pääsevät aina käsiksi salasanan uusimpaan versioon ja voivat jatkaa työskentelyä keskeytyksettä.

Kaikkien tietojen kattava salaus ja oikeuksien yksityiskohtainen määrittäminen lisäävät turvallisuutta: Voit määrittää jokaiselle käyttäjälle erikseen, mitä muutoksia hän voi tehdä mihinkin tiedostoon ja mitä mahdollisuuksia hänellä on esimerkiksi viedä tai tulostaa salasanoja.

Johtopäätökset: Password Depot Server -palvelimen käyttö yrityksessäsi ei ainoastaan lisää huomattavasti turvallisuutta vaan myös tuottavuutta. Pääsytietojen muuttamista ei enää tarvitse välittää sähköpostitse. Kaikkia kirjautumistietoja voidaan hallita keskitetysti ja hyvin jäsennellysti.

Lisätietoja Password Depot Serveristä.