Polityka haseł w firmie – zasady, o których należy pamiętać

Kwestie bezpieczeństwa danych przetwarzanych przez firmy ma elementarne znaczenie. Wiele wątpliwości wśród przedsiębiorców budzi w tym zakresie polityka haseł w firmie – związanych chociażby z ustaleniem tego, jak często zmieniać hasło do komputera lub systemu firmowego czy też w jaki sposób stosować zasady tworzenia haseł (RODO). Mimo poświecenia odpowiedniej uwagi takim zagadnieniom, nawet precyzyjna i wyczerpująca polityka haseł w firmie, zawierająca dokładne wskazania co do częstotliwości oraz zasad ich zmiany może nie spełniać swojej roli. Dlaczego? O aspektach ochrony danych związanych z polityką haseł w firmie przeczytasz więcej w naszym artykule.

RODO – polityka haseł

Polityka haseł w firmie odnosi się tak do sposobu ich układania, jak i kwestii tego, jak często zmieniać hasło lub też jak bezpiecznie przechowywać hasła. Zadania tego nie ułatwiają przy tym różnorodne regulacje odnoszące się do bezpieczeństwa danych. Ogólne Rozporządzenie o Ochronie Danych Osobowych, w skrócie „RODO”, nie wskazuje bezpośrednio konieczności tworzenia polityki haseł, ale powinnością administratora jest przeprowadzenie analizy ryzyka, dzięki której możliwe będzie, m.in. ustalenie częstotliwości zmiany haseł oraz ich długości (a także sposobu ich tworzenia, chociażby z wykorzystaniem znaków specjalnych czy też przechowywania haseł w optymalny, bezpieczny sposób).

Omawiając tematykę haseł w firmie warto odwołać się także do standardów ISO oraz wywodzących z nich dobrych praktyk rynkowych.

5 powodów, dla których polityka haseł w firmie nie spełnia swojej roli

1. Hasła tworzone są ze słów powszechnie używanych, składają się z danych osobowych: imion, nazwisk, dat urodzenia członków rodziny użytkownika.
2. Użytkownicy wszędzie używają takiego samego hasła, także w sytuacjach i w przypadku sprzętu komputerowego o charakterze prywatnym.
3. Podczas zmiany hasła podawane są już wcześniej używane hasła lub zmiana ma charakter jedynie kosmetyczny – na końcu dodawana jest kolejna liczba, usuwany znak specjalny.
4. Hasła zapisywane są w notatnikach, na karteczkach umieszczanych w pobliżu komputera, w zeszytach, co stanowi kompletne przeciwieństwo zasad dotyczących tego, jak bezpiecznie przechowywać hasła.
5. W przypadku odejścia z pracy pracownika nie dochodzi do usunięcia jego konta w systemie lub też aktywne pozostaje jego hasło na serwerach, do których udzielany jest dostęp grupowy.

Jak wynika z powyższych spostrzeżeń, nawet bardzo częste zmienianie haseł, np. co tydzień, nie przyniesie zamierzonych efektów, jeśli nowe hasła będą łatwe do rozszyfrowania.

Kilka wskazówek dotyczących budowy polityki haseł w firmie

Przyjęcie kilku dość prostych zasad może sprawić, że polityka haseł w firmie stanie się nie tylko jasna dla pracowników, ale też skuteczna w odniesieniu do prawidłowego zabezpieczania danych wrażliwych. Poniżej znajdziesz istotne rady, których wprowadzenie w życie może okazać się dobrym rozwiązaniem.

1. Wykorzystuj menagera haseł do generowania loginów oraz haseł. Jest to narzędzie bezpieczne, pomaga użytkownikowi stworzyć nowe hasło oraz przechowuje je w formie zaszyfrowanej.
2. Wprowadź konfigurację zapamiętywania użytych haseł, dzięki czemu użytkownik podczas zmiany hasła nie będzie mógł wprowadzić poprzednio używanego hasła. Tego rodzaju działanie można poprzeć komendą „zaproponuj silne hasło”, co przypomni w danej chwili o konieczności utworzenia unikalnej kombinacji.
3. Wprowadź odgórny czas na zmianę haseł tymczasowych. Często użytkownicy nie zmieniają haseł tymczasowych i przez długi czas z nich korzystają. Ustal, jak często zmieniać hasło tego rodzaju (na przykład w ciągu tygodnia od jego nadania).
4. Wprowadź blokadę konta w przypadku kilkukrotnego podania błędnego hasła. Ustal, komu użytkownik komputera może podać swoje hasło do systemu w takiej sytuacji (na przykład oddelegowanemu do tego informatykowi).

Zachowanie bezpieczeństwa haseł w firmie

Polityka haseł w firmie i związaną z nią po części ochrona danych osobowych i wrażliwych jest tematem bardzo obszernym i wymaga uwzględnienia wielu kwestii. Niezaprzeczalnie jednak, dla bezpieczeństwa danych wewnętrznych, warto wdrożyć konkretne rozwiązania, uniemożliwiające użytkownikom stosowanie negatywnych praktyk w trakcie zmiany haseł. W przypadku systemu informatycznego w firmie, uzyskanie przez osobę trzecią dostępu do danych może nieść ze sobą niepowetowane straty, którym można zapobiec, stosując odpowiednie praktyki w firmie – ustalając na przykład, w jakiej sytuacji i komu użytkownik komputera może ujawnić swoje hasło dostępu.

Opracowując zasady polityki haseł w firmie nie można pominąć kwestii związanych z wystąpieniem sytuacji awaryjnej. Wystarczy kilka prostych kroków, aby zapobiec dużym szkodom. Jednym z nich jest zapisanie w formie papierowej głównego hasła, które posiada administrator i zamknięcie go w miejscu, do którego dostęp będzie miała wyłącznie określona grupa osób. Dzięki temu, w przypadku nieobecności administratora, w razie wystąpienia owej sytuacji awaryjnej, możliwe będzie wykorzystanie hasła do rozwiązania problemu.

Polityka haseł w firmie jest tylko jednym elementem z wielu, wpływającym na bezpieczeństwo danych. Obecnie przedsiębiorcy działający w różnych branżach coraz bardziej doceniają rolę IT w rozwoju biznesu i decydują się na wdrażanie zaawansowanych rozwiązań. Nie w każdej firmie funkcjonuje rozbudowany dział informatyczny. W takim przypadku wsparcie informatyczne zewnętrznej firmy (outsourcing IT) to najlepsze rozwiązanie, ze względu na efektywność działań i profesjonalizm, a także stosunkowo niskie koszty, w porównaniu ze stworzeniem i zatrudnieniem specjalistów z branży IT. Dbając o bezpieczeństwo danych, tak naprawdę dbasz o całą firmę.

Umów się na bezpłatna konsultacje z członkiem zespołu ITCenter aby dowiedzieć się więcej.