GDPR Q2. Ποιες μέθοδοι ελέγχου ταυτότητας χρησιμοποιούνται για τον έλεγχο της πρόσβασης στα συστήματα και δεδομένα;
Η χρήση του κωδικού πρόσβασης αυξάνεται λόγω της αύξησης των online υπηρεσιών στην καθημερινή ζωή. Οι κωδικοί πρόσβασης είναι ένα εύκολα εφαρμοσμένο, χαμηλού κόστους μέτρο ασφάλειας, με πρωτοφανή αποτελέσματα για τους διαχειριστές στα συστήματα των επιχειρήσεων. Ωστόσο, οι κωδικοί πρόσβασης μπορούν να είναι μια σχετικά αδύναμη μέθοδος για την εξακρίβωση της ταυτότητας των χρηστών, οπότε η πολιτική κωδικού πρόσβασης πρέπει να συμπληρώνεται από άλλα στοιχεία ελέγχου για την προστασία της επιχείρησής σας. Για παράδειγμα, μπορεί να θέλετε να περιορίσετε τον αριθμό των προσπαθειών σύνδεσης που μπορεί να κάνει ένας χρήστης πριν ο χρόνος του λογαριασμού του παραμείνει κλειστός για κάποιο χρονικό διάστημα ή ανασταλεί.
Είναι επίσης σημαντικό να σημειωθεί ότι ο πολλαπλασιασμός της χρήσης κωδικού πρόσβασης (και οι όλο και πιο περίπλοκες απαιτήσεις κωδικού πρόσβασης) θέτει μια μη ρεαλιστική ζήτηση στους περισσότερους χρήστες, αποδυναμώνοντας περαιτέρω τη συνολική ασφάλεια του συστήματος. Για το λόγο αυτό, θα πρέπει να εισάγετε μόνο τα στοιχεία ελέγχου κωδικού πρόσβασης, όπου χρειάζονται.
1. Λαμβάνουμε μέτρα για να ενθαρρύνουμε τη χρήση λογικών κωδικών πρόσβασης.
Οι προεπιλεγμένοι κωδικοί πρόσβασης μπορεί να είναι ευρέως γνωστοί και ίσως είναι εύκολο για έναν εισβολέα να το εκμεταλλευτεί. Θα πρέπει να αλλάξετε όλους τους προεπιλεγμένους κωδικούς πρόσβασης και να διασφαλίσετε ότι το προσωπικό θα αλλάξει τον κωδικό πρόσβασης που έχει εκδοθεί για την πρώτη σύνδεση, σε κάτι μοναδικό για αυτούς.
Όπου χρειάζεστε τη χρήση κωδικών πρόσβασης, θα πρέπει να είναι εύκολο να τους θυμόμαστε, αλλά να είναι δύσκολο για κάποιον άλλο. Ένα παράδειγμα στρατηγικής, είναι τρεις τυχαίες λέξεις (για παράδειγμα, dogbluetree). Δεν πρέπει να χρησιμοποιείτε άσκοπα περίπλοκες ρυθμίσεις για το προσωπικό, καθώς αυξάνει το φόρτο εργασίας και σπανίως αυξάνει την ασφάλεια. Για παράδειγμα, πολλοί χρήστες απλά ανταλλάσσουν ένα I για 1 ή! σύμβολο και οι χάκερ το γνωρίζουν αυτό.
Οι κωδικοί πρόσβασης δεν πρέπει να επαναχρησιμοποιούνται μεταξύ διαφορετικών λογαριασμών ή μεταξύ εργασίας και οικίας. Αυτό περιορίζει την επίδραση ενός κωδικού πρόσβασης που χρησιμοποιείτε σε έναν συγκεκριμένο λογαριασμό. Παρομοίως, θα πρέπει να διασφαλίσετε ότι δεν θα χρειαστεί ποτέ να κάνετε κοινή χρήση λογαριασμών μεταξύ χρηστών.
2. Διασφαλίστε ότι οι κωδικοί πρόσβασης δεν επιβαρύνονται δυσανάλογα με το προσωπικό.
Το προσωπικό σας έχει δεκάδες κωδικούς πρόσβασης που δεν σχετίζονται με την εργασία, για να θυμούνται. Επομένως, να δίνετε τον κωδικό πρόσβασης σε μια υπηρεσία, μόνο εάν είναι πραγματική ανάγκη. Όπου χρησιμοποιείτε κωδικούς πρόσβασης για μια υπηρεσία ή συσκευή, μην επιβάλλετε τις τακτικές αλλαγές στον κωδικό. Οι κωδικοί πρόσβασης πρέπει να αλλάξουν μόνο σε ένδειξη ή υποψία επίθεσης.
Θα πρέπει επίσης να παρέχετε ασφαλείς αποθηκευτικούς χώρους, έτσι ώστε το προσωπικό να μπορεί να καταγράφει τους κωδικούς πρόσβασης και να τους κρατά ασφαλείς. Το προσωπικό θα ξεχάσει τους κωδικούς πρόσβασης, οπότε βεβαιωθείτε ότι μπορούν να επαναφέρουν τους κωδικούς τους εύκολα. Εξετάστε τη χρήση των διαχειριστών κωδικών πρόσβασης, τα οποία είναι εργαλεία που μπορούν να δημιουργήσουν και να αποθηκεύσουν κωδικούς πρόσβασης για εσάς στους οποίους έχετε πρόσβαση μέσω ενός "μοναδικού" κωδικού πρόσβασης.
Για τις εσωτερικές υπηρεσίες, προσπαθήστε να χρησιμοποιήσετε τις πιο σύγχρονες τεχνολογίες ελέγχου ταυτότητας που είναι όλο και περισσότερο διαθέσιμες με τα προϊόντα πληροφορικής. Ο καλός σχεδιασμός του συστήματος μπορεί να ελαχιστοποιήσει την πολυπλοκότητα των απαιτούμενων κωδικών πρόσβασης και τον αριθμό των φορών που πρέπει να χρησιμοποιηθούν, διατηρώντας παράλληλα την ασφάλεια. Προκαλέστε τον ΙΤ σας, εάν οι κωδικοί πρόσβασης είναι πάρα πολλοί και πολύπλοκοι.
3. Εφαρμόστε δύο παράγοντες επαλήθευσης ταυτότητας (2FA) όπου είναι δυνατόν.
Οι λογαριασμοί που έχουν ρυθμιστεί για χρήση του 2FA θα απαιτήσουν επιπλέον έλεγχο (για παράδειγμα έναν κωδικό που αποστέλλεται σε ένα smartphone ή έναν που δημιουργήθηκε από μια εφαρμογή), οπότε ακόμα και αν ο εγκληματίας γνωρίζει τον κωδικό πρόσβασής σας, δεν θα έχει πρόσβαση στο λογαριασμό σας. Η δημιουργία του 2FA είναι το μοναδικό πιο χρήσιμο πράγμα που μπορείτε να κάνετε για να προστατεύσετε σημαντικούς λογαριασμούς και, όπου αυτό είναι δυνατόν, πρέπει να μεταφερθεί στο προσωπικό και στους λογαριασμούς των πελατών σας.
Διαβάστε ακόμη: GDPR Q3. Πώς διασφαλίζουμε ότι οι συνεργάτες και οι προμηθευτές μας προστατεύουν τις πληροφορίες που μοιραζόμαστε μαζί τους?
Το GDPR δεν είναι ο απέραντος ωκεανός οπου τα τεράστια κύματα του παραμονεύουν να τσακίσουν το πλοίο / επιχείρηση σας, αλλά ....
θα σας δείξει τον δρόμο για να φτάσετε με ασφάλεια στο λιμάνι του προορισμού σας.
Εμείς με συνεχή ενημέρωση και την παροχή E-BOOK, GUIDE, NEWSLETTER, αλλά και απευθείας απαντήσεων στα ερωτήματα σας μέσω του support@benefitfs.gr, μπορούμε να σας παρέχουμε κάθε δυνατή ενημέρωση και βοήθεια για τον περιορισμό του κόστους.
"Από τις 9/11/2018 ξεκινάει ένας εκπαιδευτικός κύκλος για την ΕΦΑΡΜΟΓΗ ΤΟΥ GDPR ΣΤΙΣ ΜΙΚΡΟΜΕΣΑΙΕΣ ΕΠΙΧΕΙΡΙΣΕΙΣ.. Κάθε Παρασκευή θα λαμβάνετε στο e-mail σας ένα newsletter οπου θα κατανοήσετε την εφαρμογή του GDPR στην εταιρεία σας και την διαχείρηση της ασφάλειας των πληροφοριών"
Εγγραφείτε τώρα για να λαμβάνετε κάθε εβδομάδα Βήμα Βήμα τον ΟΔΗΓΟ ΣΥΜΜΟΡΦΩΣΗΣ στα newsletter μας!
Σχόλια
Δημοσίευση σχολίου