Правила безопасности паролей для компании

Категории
Категории
Администратор
  • 4 мин
  • 647

По нашим исследованиям (на начало 2022 г.) на 1 небольшую компанию приходится 28 учётных записей к «Личным кабинетам» в облачных системах. Это — корпоративная почта, дисковые хранилища (Яндекс.Диск, Google Disck, Dropbox и пр.), группы в соцсетях, хостинг-сервера, доступы к доменам, к сервисам, специализированным CRM и т.д. и т.п. 

Данные (логины и пароли) пересылаются в файлах, в сообщениях, в мессенджерах. Доступ к «Личным кабинетам» в итоге имеют как сотрудники, так и подрядчики. 

После увольнения сотрудника или завершения договора с подрядчиком доступ к «Личному кабинету» может остаться прежним — потому что его забыли поменять.

Зачем заботиться о безопасности данных?

Причин несколько:

  1. Защита важных корпоративных данных и учётных записей от конкурентов.
  2. Защита персональных данных от разглашения (Федеральный закон «О персональных данных» №152-ФЗ).

Рекомендации

Будьте осторожны при удалённой работе

Если вы или люди, с которыми вы работаете, выполняют свою работу удалённо, убедитесь, что они получили временный доступ к «Личному кабинету». Отключите доступ после того, как контракт с сотрудником или подрядчиком завершился.

Следите за тем, кто и к чему имеет доступ

Вы должны ограничить круг лиц, имеющих доступ к вашим Saas-сервисам: чем больше вы пускаете людей, тем более уязвимы ваши данные. Чем меньше людей будет иметь доступ, тем лучше.

Все ваши пользователи должны быть чётко идентифицированы. Убедитесь, что вы ограничиваете доступ. Если кто-то покидает вашу компанию или отсутствует в течение длительного времени, вы должны остановить доступ к вашим системам.

Установите правила и придерживайтесь их

  • Обеспечьте ответственное лицо по защите паролей и безопасности данных.
  • Установите и внедрите политику безопасных паролей и смены паролей.
    • например, 15-20-значных паролей с верхним, нижним регистром, цифрами и символами, например #! @ $% ^
    • запретите использовать в пароле имя, фамилию, название компании, слово “password”, слово, произносимое целиком, или общеупотребительную фразу, клавиатурные последовательности.
  • Изменяйте пароль также: если у вас есть основания полагать, что ваш пароль был украден, вам следует изменить его и убедиться, что вы изменили его во всех своих учётных записях, где вы используете тот же или похожий пароль; если вы поделились своим паролем; если кто-то видел, как вы вводили пароль; если вы думаете, что дали пароль фишинговому сайту.
  • Не используйте одни и те же пароли для личных и корпоративных аккаунтов.
  • Не давайте сотрудникам приклеивать к монитору пароли.
  • Убедитесь, что пользователи обновили свои контактные данные и сведения для обеспечения безопасности, такие как: запасной адрес электронной почты, номер телефона или устройство, зарегистрированное для получения push-уведомлений, чтобы они могли отвечать на запросы защиты и получать уведомления о событиях, касающихся безопасности. Это позволит им подтвердить свою личность, если они когда-нибудь забудут свой пароль или если кто-то попытается воспользоваться их учётной записью. Кроме того, наличие таких сведений позволяет использовать альтернативный канал для получения уведомлений о таких событиях, как попытки входа или изменение пароля.
  • Используйте генератор надёжных паролей.

В менеджере паролей TeamDo

  • Назначайте различные права доступа — какие изменения может вносить сотрудник или подрядчик, какие возможности имеет.
  • Смотрите отчёты об активности — особенно в отношении важных учётных записей, с помощью отчетов, включающих данные о том, к какой учётной записи, каким пользователем и когда был получен доступ. Если возникнет проблема, вы будете знать о ней и сможете определить, кто именно в это время получал доступ к аккаунту.
  • Создавайте отдельные группы для разного типа доступов. Например, можно сделать:
    • группу «Маркетинг» — собрать все доступы к соцсетям, сайту
    • группу «Безопасность» — собрать доступы к серверам, корпоративной почте
    • группу «Финансы» — собрать доступы к бугалтерским программам, клиент-банку
  • Не пересылайте пароли по незащищённым каналам, таким как почта или мессенджеры, даже если они временные — используйте одноразовые ссылки.
  • Не храните пароли в незащищённых общих папках — например, в Google Drive.
  • Не заставляйте сотрудников менять пароли самим.
  • Меняйте пароли — после ухода сотрудника (заблокируйте его доступ через панель управления).
  • Научите сотрудников правильно пользоваться менеджером паролей TeamDo.

Тип

Опасно

Безопасно

Создание паролей Использование знакомых имён, номеров, одинаковых паролей для нескольких учётных записей. Менять пароль по процедуре, периодически. Использовать сложные пароли с символами, пользоваться генераторами паролей.
Хранение паролей Записывать на стикеры, хранить в гугл-доках, на странице в экселе. Хранить в менеджере паролей.
Передача паролей Отправлять по электронной почте, в мессенджере, в файлах, на листочках. Передавать из менеджера паролей по процедуре только те данные, которые разрешены уровнем доступа к информации.