Gestão segura de palavras-passe nas empresas

O problema: as empresas tratam as suas palavras-passe de forma demasiado descuidada

De acordo com um inquérito Forsa de 2010 publicado pela ISACA no Reino Unido em 2013, 49,7% dos inquiridos utilizavam as mesmas 2 ou 3 palavras-passe em várias contas/sítios Web. Especialmente para as empresas, estes números devem ser alarmantes, uma vez que os dados confidenciais do negócio e dos clientes, bem como os garantes das vendas, como o sítio Web da empresa, podem ser comprometidos. Por exemplo, se um funcionário sair da empresa e as palavras-passe não forem alteradas depois disso, ainda pode - teoricamente - aceder a todas as contas. No pior dos casos, existe mesmo uma palavra-passe predefinida para os logins utilizados por vários membros de uma equipa. Isto pode parecer lógico, porque as empresas normalmente possuem dezenas de logins e contas. Mas em termos de segurança dos dados da empresa, isto é uma verdadeira catástrofe.

Mas: Muitas empresas simplesmente não pensam o suficiente na gestão de palavras-passe ou acreditam que é demasiado moroso tomar as medidas adequadas. Mesmo que os empregados deixem a empresa em más condições, muitas vezes isso não leva a que os logins importantes sejam alterados de forma centralizada. As políticas de palavras-passe que instruiriam os empregados a selecionar as suas palavras-passe com um mínimo de segurança não existem ou não são aplicadas.

Além disso, é aceite que as pessoas utilizem as mesmas palavras-passe para contas privadas e profissionais. As palavras-passe de contas comuns são enviadas a outras pessoas sem en criptação por correio eletrónico ou através de mensageiros como o Skype. As listas de palavras-passe são criadas em pastas comuns nos servidores da empresa ou, por exemplo, no Google Drive - muitas vezes também não encriptadas! Parece que as empresas esperam simplesmente safar-se sem problemas. Mas é facilmente possível gerir as palavras-passe nas equipas de forma segura e eficiente.

A solução: Como fazer a gestão correcta das palavras-passe nas empresas

As empresas que levam a sério a segurança das palavras-passe devem incluir os seguintes pontos na sua agenda:

Sensibilize e informe os empregados

É importante que todos os funcionários da empresa saibam porque é que as palavras-passe fracas e repetitivas são uma ameaça à segurança dos dados. Dependendo da dimensão da empresa, deve ser criado um guia para lidar com as palavras-passe e os funcionários devem ser informados em reuniões ou mesmo receber formação específica.

Forneça uma pessoa de contacto

Cada empresa deve decidir e comunicar pelo menos uma pessoa que actue como pessoa de contacto para todas as questões de proteção de palavras-passe e segurança de dados para os empregados, em caso de dúvidas ou problemas.

Defina e aplique políticas para palavras-passe seguras

Para o ajudar a criar palavras-passe fortes em termos de comprimento e complexidade, consulte as nossas sugestões para criar palavras-passe fortes. É importante que as empresas definam e comuniquem políticas transversais às empresas. Por exemplo, uma política deste tipo pode exigir que as palavras-passe tenham, pelo menos, 12 caracteres e contenham letras minúsculas, maiúsculas e um número. Muito importante: verifique se os seus empregados cumprem as directrizes.

Defina e aplique políticas de alteração de palavras-passe

As palavras-passe devem ser alteradas regularmente. Dependendo da sua importância, pode ser todos os meses ou uma vez por ano. Também devem ser criadas políticas adequadas de acompanhamento para orientar os funcionários. Isto é especialmente importante quando os empregados deixam a empresa. Todas as contas a que teve acesso devem receber uma nova palavra-passe o mais rapidamente possível.

Aumente a produtividade

No fim de contas, a segurança não deve diminuir a produtividade dos seus empregados. Em vez de enviar lembretes manualmente ou de alterar você mesmo as palavras-passe e enviá-las a toda a gente, deve facilitar-lhes ao máximo o trabalho, especialmente se tiver em conta o número de contas e palavras-passe que uma empresa normalmente possui. Caso contrário, os seus empregados passarão muito tempo a mudar as palavras-passe ou a tentar lembrar-se delas ou - pior ainda - a escrevê-las em post-its e a colá-las no monitor. Em alternativa, poderão procurar soluções alternativas para contornar as suas políticas. Em vez disso, deve fornecer aos seus empregados ferramentas de palavras-passe fáceis de utilizar que podem fazer a maior parte do trabalho por eles.

Gestão de palavras-passe em empresas com o Password Depot Server

Com o Password Depot Server, todos os seus ficheiros de palavras-passe serão armazenados de forma encriptada e centralizada num servidor da empresa. Todos os funcionários acedem e utilizam as palavras-passe de acordo com os direitos que lhes foram atribuídos através de uma interface de utilizador fácil de utilizar (Password Depot Client). A única coisa que terá de memorizar é a sua palavra-passe mestra pessoal. Devido a esta gestão central, é muito mais fácil alterar as palavras-passe de todos, definir políticas de palavras-passe e aplicá-las. Além disso, já não é necessário procurar a versão mais recente de uma palavra-passe em mensagens de correio eletrónico ou no servidor.

Se um empregado sair da empresa, um administrador pode bloquear o seu acesso através do painel de controlo e alterar as palavras-passe a que tinha acesso. Os outros funcionários nem sequer precisam de ser informados sobre isso: Podem sempre aceder à versão mais recente de uma palavra-passe e podem continuar a trabalhar sem interrupções.

A encriptação abrangente de todos os dados, bem como a atribuição detalhada de direitos, aumentam a segurança: Pode definir individualmente para cada utilizador quais as alterações que pode fazer em que ficheiro e quais as possibilidades que tem de exportar ou imprimir palavras-passe, por exemplo.

Conclusão: A utilização do Password Depot Server na sua empresa não só aumentará consideravelmente a segurança, como também a produtividade. A alteração dos dados de acesso já não tem de ser comunicada por correio eletrónico. Todos os dados de início de sessão podem ser geridos de forma centralizada e bem estruturada.

Mais informações sobre o Password Depot Server.