5 cách doanh nghiệp nhỏ có thể tân trang quản lý mật khẩu

Là một chuyên gia CNTT, giám sát toàn vẹn mật khẩu, kiểm soát truy cập và quản lý danh tính có thể là một vấn đề khó khăn cho dù bạn đang làm việc trong một doanh nghiệp nhỏ hay một doanh nghiệp lớn. Nhân viên luôn có nguy cơ bảo mật vì lý do này hay lý do khác, cho dù họ đang sử dụng mật khẩu yếu, nhấp vào liên kết đáng ngờ hoặc truy cập các ứng dụng bên ngoài để lấy dữ liệu công việc vì điều đó dễ dàng hơn. Để chứng minh, đừng tìm đâu xa ngoài danh sách mật khẩu tồi tệ hàng năm của SplashData để xem có bao nhiêu thông tin đăng nhập bị rò rỉ vẫn hóa ra là "mật khẩu" và "123456."

Trong hội nghị thượng đỉnh Liên minh an ninh mạng quốc gia (NCSA) gần đây tại thành phố New York, PCMag đã bắt gặp Matt Kaplan, Tổng giám đốc LastPass, một công ty cung cấp các giải pháp quản lý và bảo mật mật khẩu cho người tiêu dùng, doanh nghiệp nhỏ và doanh nghiệp.

LastPass gần đây đã phát hành một báo cáo kết hợp với cơ quan nghiên cứu thị trường Ovum về "Đóng khoảng cách bảo mật mật khẩu". Báo cáo đã khảo sát 355 giám đốc điều hành CNTT và 550 nhân viên công ty. Trong số các phát hiện có 61% nhân viên thực thi CNTT chỉ dựa vào giáo dục nhân viên để thực thi mật khẩu mạnh. Báo cáo cũng cho thấy bốn trong số 10 công ty vẫn dựa vào các quy trình hoàn toàn thủ công để quản lý mật khẩu người dùng cho các ứng dụng đám mây. Kaplan cho biết vấn đề lớn nhất đối với các doanh nghiệp là có một cách tiếp cận bảo mật không hiệu quả đối với cách làm việc của nhân viên hiện nay.

"Nhân viên đang làm những gì họ luôn làm, đó là, giải quyết nhu cầu năng suất và sự thuận tiện của chính họ để thực hiện công việc hiệu quả hơn. Họ không có ý định xấu xa hay độc hại; họ chỉ đang cố gắng làm việc hiệu quả", nói. Kaplan.

"Vì vậy, những gì nhân viên cuối cùng làm là tìm ra con đường ít kháng cự nhất. Họ sử dụng Wi-Fi công cộng khi họ không nên. Họ sử dụng Dropbox, Google Drive và các giải pháp đồng bộ hóa và chia sẻ tệp khác không bị công ty xử phạt vì dễ dàng hơn Họ mang các ứng dụng khác vào tổ chức vì nó giúp chúng hoạt động hiệu quả hơn. Nhìn chung, điều mà các nhà quản trị CNTT đang thiếu là sự tập trung vào yếu tố con người. "

Kaplan cho biết các doanh nghiệp cần giải quyết việc quản lý mật khẩu kém chất lượng trên một vài mặt khác nhau. Gánh nặng rơi vào CNTT để điều chỉnh kỳ vọng và chiến lược của họ. LastPass tin rằng bạn có thể thay đổi thói quen của nhân viên bằng cách không chỉ giáo dục họ về vệ sinh mật khẩu, mà bằng cách cung cấp cho họ công nghệ như trình quản lý mật khẩu (và thậm chí cả những người thúc đẩy như chơi game) để xác định lại cách các doanh nghiệp và nhân viên nhìn vào mật khẩu.

1 Vâng, đó là vấn đề của bạn

Một lý do khiến các chuyên gia CNTT thường không thể thực thi các tiêu chuẩn mật khẩu mạnh hơn trong một doanh nghiệp là do nhận thức rằng nó hoàn toàn nằm ngoài tầm kiểm soát của họ. Kaplan nói rằng lý do không đủ tốt trong năm 2017.


"Những gì chúng tôi phát hiện ra thông qua nghiên cứu của chúng tôi là gần 80 phần trăm các giám đốc CNTT không có toàn quyền kiểm soát mật khẩu trong các tổ chức của họ", Kaplan nói. "Phần lớn trong số họ thừa nhận rằng thiếu kiểm soát là một rủi ro nghiêm trọng. Vậy tại sao vậy? Nhiều người trong số họ tin rằng bạn không thể kiểm soát những gì bạn không quản lý. Mật khẩu của nhân viên phụ thuộc vào nhân viên và không thể nhìn thấy được."



2 Nhìn toàn diện

Các ứng dụng và tài khoản làm việc cách xa các điểm cuối bảo mật dễ bị tổn thương duy nhất phải được quản lý để ngăn chặn sự thỏa hiệp trong mạng của công ty bạn. Các nhà quản lý CNTT trong một doanh nghiệp nhỏ cần nhìn xa hơn đăng nhập công việc của nhân viên và suy nghĩ về bức tranh lớn hơn khi cung cấp các công cụ và đào tạo để cải thiện các biện pháp bảo mật và vệ sinh mật khẩu.


"Những kẻ tấn công sử dụng kỹ thuật xã hội để vào tài khoản của công ty. Vì vậy, điều thực sự quan trọng là các doanh nghiệp có cái nhìn toàn diện về nhân viên và xem xét cả việc sử dụng mật khẩu cá nhân và sử dụng kinh doanh. Bạn phải giải quyết cả hai mặt", Kaplan nói. "Quá lâu, các giám đốc CNTT đã nói, 'Chúng tôi sẽ chỉ giải quyết các mật khẩu liên quan đến kinh doanh của công ty.' Điều đó không còn hiệu quả nữa. Hãy nhìn vào vi phạm gần đây của Yahoo, nơi gần đây họ phát hiện ra ba tỷ mật khẩu đã bị đánh cắp. Đó là những điểm vào rõ ràng cho những kẻ tấn công vào một doanh nghiệp. "



3 Giáo dục và Chứng thực

Theo Báo cáo Điều tra Vi phạm Dữ liệu năm 2017 của Verizon, hơn 80 phần trăm các vi phạm là do mật khẩu yếu, bị xâm phạm hoặc sử dụng lại. Kaplan cho biết nếu doanh nghiệp của bạn cung cấp cho nhân viên các công cụ và đào tạo về cách tạo và quản lý mật khẩu an toàn ở mọi nơi, thì bạn có thể đóng một khu vực rộng lớn trên bề mặt mối đe dọa của công ty.


"Có một vài điều mà bộ phận CNTT cần phải làm", Kaplan nói. "Một là hướng dẫn nhân viên cách có mật khẩu mạnh, dài và duy nhất trên mỗi trang web. Sử dụng trình quản lý mật khẩu vì bạn không thể nhớ tất cả các mật khẩu duy nhất đó trên mỗi trang web. Sử dụng xác thực đa yếu tố để đảm bảo bạn là ai bạn là, và theo dõi sử dụng mật khẩu. "



4 Gamify nó

LastPass cho phép các doanh nghiệp xem điểm mật khẩu của các nhân viên khác nhau. Kaplan cho biết gamification có thể là một cách để các doanh nghiệp xem xét yếu tố con người. Gamification là một cách để cung cấp cho người dùng một củ cà rốt chứ không phải là một cây gậy.


"Có thể áp dụng chính sách mật khẩu của bạn. Vì vậy, một nhân viên có điểm mật khẩu cao nhất có thể nhận được điểm hoặc giải thưởng hoặc thứ gì đó", Kaplan nói. "Nó thực sự có một chiến thuật khác so với cách khóa 'không thể truy cập vào mạng của chúng tôi' vốn được sử dụng theo truyền thống để đảm bảo an ninh. Điều đó không thể được thực hiện nữa vì mọi thứ đều mở. Chúng tôi phải giả định rằng những kẻ tấn công đang ở trên mạng ở đâu đó, rình rập. "



5 Đưa hành vi hiện đại vào tài khoản

Báo cáo cũng cho thấy 76 phần trăm nhân viên có vấn đề thường xuyên với việc sử dụng mật khẩu. Và nó phát hiện ra rằng gần 70 phần trăm cho biết họ sẽ sử dụng trình quản lý mật khẩu nếu nó được cung cấp cho họ. Kaplan cho biết các doanh nghiệp cần phải thừa nhận cách làm việc của nhân viên ngày nay và điều chỉnh chính sách CNTT và quản lý mật khẩu theo hành vi người dùng hiện đại.


"Mọi người muốn làm việc từ các thiết bị di động và họ muốn làm việc ở bất cứ đâu. Họ muốn tự do làm việc từ một nhà nghỉ hoặc trò chơi bóng đá của con họ, và CNTT cần phải tôn trọng điều đó. Sự khác biệt giữa công việc và làm mờ nhà và các giám đốc CNTT cần phải tính đến điều đó ", Kaplan nói. "Sự thèm ăn là có. Không có sự khác biệt cho dù bạn ở một công ty khởi nghiệp 10 người hay doanh nghiệp nhỏ hoặc một công ty 10.000 người; chúng tôi thấy giải pháp hoạt động hiệu quả."