Как организовать хранение паролей и доступов в компании

Категории
Категории
Вячеслав Крампец
  • 4 мин
  • 402

Еще год назад у одной небольшой компании было 11-35 доступов, сейчас их количество увеличилось с 15 до 58. Большинство — доступы к облачным сервисам. Как подойти к хранению этих данных?

Учетные записи и прочие доступы

Все учетные записи, облачные доступы, аккаунты в соцсетях и прочее — цифровые активы. Некоторые из них являются частью вашей интеллектуальной собственности и имеют денежную стоимость — например, домен, сайт или мобильное приложение. 

Другие необходимы, чтобы эффективно вести бизнес. Например, частные медицинские компании используют МИС — медицинские информационные системы. Как правило, это облачные сервисы, с которыми работают врачи. У каждого врача есть свой логин и пароль для входа в МИС.

Есть и другая группа ресурсов для рекламы компании и бренда — социальные сети, маркетинговые платформы или сервисы для рассылок. У компаний есть учетные записи в этих системах.

Отдельно можно выделить группу ссылок на документы: брендбуки, обучающие материалы, фотобанки, инструкции. Как правило, такие данные хранятся во внешних хранилищах: на Яндекс.Диске или Google-диске.

С этими данными работают люди: постоянные сотрудники организации, подрядчики и фрилансеры. Логины и пароли, ссылки передаются хаотично: по почте, в мессенджерах.

Если пароль был у одного сотрудника, он уволился, отключил все телефоны и не поделился этим паролем (забыл или сделал это специально) — что тогда делать?

Есть ли у вас процедура

Для любого устойчивого процесса нужны правила. В крупных организациях есть специалисты по информационной безопасности, которые формируют правила хранения и управления логинами, пароля и доступами. 

Если у вас небольшая команда, нет своего IT-специалиста, но хочется навести порядок, начните с простой процедуры. 

Шаг 1. Проведите инвентаризацию

Составьте список всех ресурсов, которыми пользуется ваша команда. Используйте для проверки список с примерами:

  • Домены;
  • Сертификаты;
  • Лицензии на цифровые продукты;
  • Логотип;
  • Брендбук;
  • Конфигурации программного обеспечения;
  • Криптовалюты, подтвержденные ключом;
  • Учетные записи к банковским приложениям;
    • ответы на контрольные вопросы
  • Учетные записи к Saas-сервисам;
  • Учетные записи к корпоративной почте;
  • Учетные записи к внутренним системам;
  • Учетные записи к серверам;
  • Атрибуты цифровой идентификации;
  • Устройства, авторизованные к корпоративным аккаунтам;
  • Электронные книги, инструкции, руководства;
  • Заказные материалы: тексты, фото, видео;
  • Патенты, свидетельства о регистрации.

Шаг 2. Рационализируйте свои активы

Выясните, какие из ресурсов используются редко или не используются вообще. 

Все площадки оцените по критериям: надежность, польза, и безопасность. Так вы определите самые ценные доступы. Возможно, вы поймете, что какие-то активы на самом деле не имеют смысла. 

Шаг 3. Составьте единый реестр

Соберите все пароли и доступы в одном месте и подумайте о том, как обезопасить его от стороннего вмешательства. Сделайте так, чтобы доступы никто не мог отредактировать или скопировать без вашего ведома. 

Шаг 4. Составьте внутреннюю политику безопасности

Пропишите, какие активы ваша компания использует, кто имеет доступ к тем или иным активам, кто может их редактировать и с ними взаимодействовать. Важно, чтобы доступы были у тех, кому это действительно необходимо. У собственника должны быть доступы ко всем ресурсам.

Где хранить пароли и доступы

Есть рекомендации ведущих компаний мира, занимающихся информационной безопасностью о том как нужно подходить к созданию паролей. Хороший генератор паролей создает сложные пароли, которые возможно создать, но невозможно запомнить:

  • с высокой сложностью — не менее 10-14 символов;
  • пароль включает буквы, цифры и символы.

При этом пароль нужно использовать для 1 учетной записи. Человеку сложно запоминать несвязанные наборы символов, поэтому люди записывают свои пароли. 

Посмотрите, как коллеги хранят пароли на рабочем месте: на стикерах, прилепленных к монитору, на бумажках под клавиатурой. Или в файлах на рабочем компьютере или в гугл-доке. Эти способы ненадежны и имеют много рисков.

Альтернативный вариант — менеджер паролей и доступов. С ним все будет на виду: кто к чему имеет доступ, кто что отредактировал. А главное — ни один пароль или доступ не потеряются.