Gestione di password e dati importanti in una piccola azienda con particolare attenzione alla business continuity

3

Lavoro con una piccola startup all'inizio del suo ciclo di vita. Di recente ho sollevato alcuni problemi di sicurezza che riguardano la continuità aziendale e la preparazione alle emergenze.

Ho cercato di dimostrare l'importanza di avere un piano per la risposta agli incidenti, come la possibilità di avere accessi e password critici o altre credenziali accessibili in caso di incidente o catastrofe di sicurezza (incluso documenti o procedure contenenti informazioni sensibili per coprire aspetti come la necessità di ridistribuire il nostro ambiente) o avere accesso a determinati servizi o account critici senza fare affidamento sulla disponibilità di individui specifici che possiedono tali account poiché siamo un gruppo multinazionale. Al momento, non abbiamo molte organizzazioni riguardo quest'area. Ci sono account con proprietari che non partecipano più ai team e molti esempi di "se si rompe, dobbiamo sperare che questo ragazzo di inserire il paese qui sia disponibile nel cuore della notte."

Ho esaminato alcune opzioni e i gestori di password sembrano adattarsi al conto almeno per alcuni di questi. Alcune persone hanno raccomandato KeePassX in domande correlate, ma non posso dire se sarebbe utile per più membri del team e dovrei fare una ricerca per vedere se è qualcosa che sarebbe facilmente portabile. Non sembra esserci molta documentazione e parti del loro sito web sono inattive e mi chiedo quanto sia legittimo. Personalmente uso 1Password e sembrano avere un piano focalizzato sul team che include un dashboard dell'amministratore per gestire le autorizzazioni e l'accesso ma manca di opzioni di controllo come i registri di modifica / accesso senza l'aggiornamento al piano aziendale al doppio del costo. Il costo è un fattore determinante in qualsiasi soluzione, dal momento che qualsiasi aumento di budget (anche piccolo) è difficile da negoziare a questo punto, ma se c'è una soluzione costosa che è il migliore, posso spingerla e sperare per il meglio.

Qualcuno conosce qualche opzione migliore?
Sto pensando nella giusta direzione o mi sto concentrando troppo sui gestori di password in cui un'altra soluzione potrebbe essere più adatta? Sto creando ulteriori problemi di sicurezza cercando di mettere tutte queste informazioni sensibili in un unico punto?
È meglio prendere in considerazione una soluzione fisica (ad esempio, acquistare una cassastrong) anche se nessuno di noi si trova nella stessa posizione?

Il mio obiettivo è capire quali sono le mie opzioni, quale opzione / servizio / prodotto si adatta meglio alle nostre esigenze, a cercare come utilizzare le migliori opzioni e a presentare questa decisione finale ai miei superiori.

    
posta J.Long 15.05.2018 - 20:05
fonte

1 risposta

2

Poiché il costo è una preoccupazione del genere, è necessario essere in grado di calcolare il costo del tempo di inattività in una varietà di scenari. È necessario eseguire prima tale calcolo, quindi è possibile confrontare i costi degli strumenti e determinare se sono "ne vale la pena".

Potresti scoprire che non ci sono costi per i tempi di inattività, anche tempi di inattività prolungati, ma piuttosto i boss o le parti interessate potrebbero diventare scontrosi se il tempo di inattività fosse più lungo della loro zona di comfort. Sono stato in piccole start-up dove era vero.

Se non ci sono costi per i tempi di inattività, non hai bisogno di risolvere questo problema perché non ci sono problemi. Se i padroni / le parti interessate saranno scontrosi, allora li farai pagare per lo strumento che risolverà la loro irritabilità.

Hai due soluzioni di base:

  1. condividi / memorizza le password
  2. utilizza uno strumento che funge da servizio di accesso a ombrello che consente l'accesso a chiunque ne abbia bisogno

Puoi mettere le password in una cassastrong online o fisica, scriverle in fogli di calcolo, ecc. Questo è economico, facile ed efficace. Paghi i controlli di sicurezza per mantenere le password al sicuro da accessi non autorizzati. Per questa opzione, è necessario solo decidere costi, caratteristiche e sicurezza. È un'analisi piuttosto di base per determinare la migliore linea d'azione. (Per la sicurezza fisica, chi ha la combinazione? Speri che siano disponibili nel cuore della notte.Se crittografate un file di password, chi detiene la chiave di decodifica? E così via ...)

L'altra opzione è avere un servizio ombrello (IAM, Cloud Services Broker, ecc.) che può accedere a tutto e gli utenti si autenticano su questo strumento per accedere a tutti gli account di cui hai bisogno. Se il tuo team ha improvvisamente bisogno di accedere a qualcosa in caso di emergenza, devi semplicemente dire allo strumento di cambiare i tuoi livelli di accesso e sei sulla buona strada. Questo è l'approccio più flessibile e più sicuro. È anche il più costoso (secondo la mia esperienza).

Quindi, non ti mancano le opzioni. Hai solo bisogno di determinare i costi dei tempi di inattività, i livelli di comfort dei tuoi stakeholder e quali delle due opzioni soddisfano al meglio le tue esigenze.

    
risposta data 15.05.2018 - 21:16
fonte

Leggi altre domande sui tag