Lavoro con una piccola startup all'inizio del suo ciclo di vita. Di recente ho sollevato alcuni problemi di sicurezza che riguardano la continuità aziendale e la preparazione alle emergenze.
Ho cercato di dimostrare l'importanza di avere un piano per la risposta agli incidenti, come la possibilità di avere accessi e password critici o altre credenziali accessibili in caso di incidente o catastrofe di sicurezza (incluso documenti o procedure contenenti informazioni sensibili per coprire aspetti come la necessità di ridistribuire il nostro ambiente) o avere accesso a determinati servizi o account critici senza fare affidamento sulla disponibilità di individui specifici che possiedono tali account poiché siamo un gruppo multinazionale. Al momento, non abbiamo molte organizzazioni riguardo quest'area. Ci sono account con proprietari che non partecipano più ai team e molti esempi di "se si rompe, dobbiamo sperare che questo ragazzo di inserire il paese qui sia disponibile nel cuore della notte."
Ho esaminato alcune opzioni e i gestori di password sembrano adattarsi al conto almeno per alcuni di questi. Alcune persone hanno raccomandato KeePassX in domande correlate, ma non posso dire se sarebbe utile per più membri del team e dovrei fare una ricerca per vedere se è qualcosa che sarebbe facilmente portabile. Non sembra esserci molta documentazione e parti del loro sito web sono inattive e mi chiedo quanto sia legittimo. Personalmente uso 1Password e sembrano avere un piano focalizzato sul team che include un dashboard dell'amministratore per gestire le autorizzazioni e l'accesso ma manca di opzioni di controllo come i registri di modifica / accesso senza l'aggiornamento al piano aziendale al doppio del costo. Il costo è un fattore determinante in qualsiasi soluzione, dal momento che qualsiasi aumento di budget (anche piccolo) è difficile da negoziare a questo punto, ma se c'è una soluzione costosa che è il migliore, posso spingerla e sperare per il meglio.
Qualcuno conosce qualche opzione migliore?
Sto pensando nella giusta direzione o mi sto concentrando troppo sui gestori di password in cui un'altra soluzione potrebbe essere più adatta?
Sto creando ulteriori problemi di sicurezza cercando di mettere tutte queste informazioni sensibili in un unico punto?
È meglio prendere in considerazione una soluzione fisica (ad esempio, acquistare una cassastrong) anche se nessuno di noi si trova nella stessa posizione?
Il mio obiettivo è capire quali sono le mie opzioni, quale opzione / servizio / prodotto si adatta meglio alle nostre esigenze, a cercare come utilizzare le migliori opzioni e a presentare questa decisione finale ai miei superiori.