Chiedi se hanno una politica di sicurezza. In caso contrario, scoprire se qualcuno sarebbe responsabile della creazione di uno. Altrimenti ... pensa di proporre una politica, qualcosa di simile, ma modificalo ... ha alcuni problemi: link
Fai attenzione che quando la politica è in conflitto con una politica esistente, come PCI, vince la politica più strong.
Aggiungi una clausola di revisione (ad es. Annualmente) a un avviso di domande-diretto, un processo di eccezione e il controllo delle versioni con una data. Se qualcuno ha delle domande, suggerisci di partecipare alla tua riunione annuale.
Introducilo con un annuncio e un periodo di revisione, ad es. 3 mesi. Consenti feedback. Tieni il tuo primo incontro. Passa alla gestione e speriamo che abbia dichiarato una politica.
Quindi sviluppa un processo per il tuo team per gestire le password. Suggerisci il processo come linea guida per gli altri team per creare un processo conforme alle norme.
Una volta sul posto, prendi in considerazione gli strumenti per controllare la validità della password.
modifica: btw, sono d'accordo con @webtoe su questo. Questo è un IMHO di area in cui le vecchie policy sulle password come quella di SANS necessitano di un tweaking. Ad esempio, 8 caratteri, lettere maiuscole, caratteri alfanumerici, caratteri speciali, parole senza dizionario, richiedono ciecamente politiche di modifica della password di 30 giorni, vietando ssh-to-root, non richiedendo la scrittura di password in basso, ecc. OTOH, se si dà troppa flessibilità, le persone diventeranno sciatte. Ogni aspetto della gestione delle password richiede una motivazione e dovrebbe essere in grado di essere sfidato.
Una delle più stupide norme per le password che ho riscontrato richiedeva una scansione automatica utilizzando uno strumento che controllasse la validità della password. I miei ID di automazione per SSH sono stati colpiti ripetutamente perché l'autenticazione della password era disabilitata, era consentita solo la chiave pubblica / privata. Sfortunatamente ciò significava che dovevo creare un cron job per creare una password casuale ogni 90 giorni. Non lo comunicherà, ma la politica ha effettivamente ridotto la sicurezza della soluzione.