TeamDo рекомендует: как подойти к хранению паролей и доступов в компании

В наше время данные становятся все более ценными. Вопрос безопасности паролей и учетных записей приобретает все большую. Как лучше подойти к этой задаче? Как обеспечить надежную защиту конфиденциальных данных? 

Запоминать или записывать 

Небольшие компании часто не беспокоятся о том, чтобы организовать отдел информационной безопасности. Если руководство и заботит безопасность информационного контура, то этим занимаются один-два человека. Иногда в качестве подрядчиков выступают сторонние компании. 

В таком случае самым безопасным решением кажется хранение паролей у сотрудников. Кто-то записывает их на листках, кто-то запоминает, кто-то использует для этого плагины в браузере. 

В таком случае компания не соблюдает базовых требований по безопасности. Например, 65% паролей россиян можно взломать за 1 минуту (исследование RTM Group).

С нашей точки зрения большая проблема в небрежности и отсутствии правил: сотрудники сами придумывают пароли и решают где их хранить и с кем можно делиться. Пароли могут быть забыты, удалены и намеренно изменены сотрудниками. 

Есть и проблемы с доступами без паролей. Например, ссылки на google-документы, фотобанки, базы клиентов и пр. Такие ссылки дают право на чтение, что позволяет получить копии или скриншоты информации.

Что сделать, чтобы пароли и доступы не терялись

Чтобы обеспечить надежную информационную безопасность, в первую очередь нужно понять, в каком объеме компания использует цифровые активы. 

Шаг 1. Соберите учетные записи информационных систем, узнайте, кто конкретно ими пользуется и как часто. Это поможет понять, чем и кто пользуется в вашей компании.

Шаг 2. Назначьте человека, который будет отвечать за хранение этих данных.

Шаг 3. Подберите подходящий цифровой инструмент. 

Если у вас есть ИТ-отдел, то наверняка у вас уже внедрена процедура по безопасному хранению данных и все сотрудники прошли обучение и знают правила. Если у вас нет ИТ-службы или специалиста по информационной безопасности, подберите корпоративный менеджер паролей. 

Менеджеры паролей решают часть проблем информационной безопасности, но не являются стопроцентной защитой. Какой бы инструмент не использовался, требуется дисциплина и выполнение правил.

Менеджер паролей и доступов

Менеджер паролей — информационная система, в которой хранятся все доступы, учетные записи с логинами и паролями. Пользуются менеджером паролей сотрудники и подрядчики компании.

Все российские менеджеры паролей, как правило, зарегистрированы в реестре российского ПО. 

Особенности 

1. Генерация паролей. Человек обычно придумывает простые пароли, которые легко запомнить. Такие пароли легко взломать. Во всех современных менеджерах паролей встроена генерация сложных и надежных паролей. Во многих есть проверка «скомпрометированных» паролей и рекомендация по смене пароля.

2. Шифрование данных. Данные, которые хранятся в менеджере паролей шифруются. Разработчики используют надежные алгоритмы шифрования, например, RSA с 1024-битным ключом. 

3. Удобство использования. Большинство менеджеров паролей удобны для неподготовленного пользователя и работают на любых устройствах.

Для компании важна стоимость инструмента. Можно сказать, что облачные решения дешевле, чем «коробочные версии». На сегодня «коробку» предлагают: Passwork, BearPass, TeamDo.