Posilnite svoju politiku hesiel dodržiavaním GDPR

Pevná politika hesiel je prvou líniou obrany vašej podnikovej siete. Ochrana vašich systémov pred neoprávnenými používateľmi môže znieť na prvý pohľad jednoducho, no v skutočnosti môže byť dosť komplikovaná. Musíte vyvážiť bezpečnosť hesla s použiteľnosťou a zároveň dodržiavať rôzne regulačné požiadavky.

Spoločnosti v EÚ musia mať zásady týkajúce sa hesiel, ktoré sú v súlade so všeobecným nariadením o ochrane údajov (GDPR). Aj keď vaša spoločnosť nemá sídlo v EÚ, tieto požiadavky platia, ak máte zamestnancov alebo zákazníkov s bydliskom v EÚ alebo zákazníkov, ktorí tam nakupujú.

V tomto príspevku sa pozrieme na požiadavky GDPR na heslá a poskytneme praktické tipy, ako navrhnúť politiku hesiel. Pamätajte, že aj keď sa od vás GDPR teraz nevyžaduje, základy plánu regulácie ochrany údajov môžu pomôcť posilniť bezpečnosť vašej organizácie.

Požiadavky na heslo pre súlad s GDPR

Možno vás prekvapí, že zákony GDPR v skutočnosti vôbec nespomínajú pravidlá týkajúce sa hesiel. Ak si tento text jednoducho prečítate, môžete si spočiatku myslieť, že spoločnosť môže implementovať akúkoľvek politiku týkajúcu sa hesiel bez toho, aby mala obavy z dodržiavania GDPR.

Zákony GDPR však ovplyvnia politiku hesiel pod záštitou prevencie.

Zabránenie neoprávnenému prístupu k informáciám

Všetky informácie, ktoré spoločnosť zhromažďuje od zákazníkov alebo iných zdrojov, musia byť riadne chránené v súlade s GDPR. To znamená mať prísne bezpečnostné opatrenia, ktoré zabránia hackerom a iným neoprávneným osobám získať prístup k týmto údajom.

Ako všetci vieme, jedným z najdôležitejších krokov digitálnej bezpečnosti pri ochrane akýchkoľvek údajov sú heslá.

Tipy na vytvorenie politiky hesiel v súlade s GDPR

Nasleduje niekoľko osvedčených postupov, ktoré je potrebné zvážiť pri vytváraní politiky silných hesiel, ktorá udrží vaše systémy v bezpečí a priblíži vás k dodržiavaniu predpisov.

Na blokovanie prelomených hesiel použite zoznam hesiel

Dobré heslo musí byť ťažké hacknúť alebo uhádnuť. Dnes sú ukradnuté a hrubo vynútené prihlasovacie údaje hlavnou príčinou narušenia bezpečnosti údajov. Na ochranu vašich údajov pred týmito útokmi by politika hesiel mala zakázať bežné a porušené heslá.

Vďaka opätovnému použitiu hesla mnohé útoky založené na povereniach využívajú zoznamy narušených hesiel z jedného systému na zacielenie na iný. Vládne agentúry ako NIST a NCSC odporúčajú úplne zablokovať používanie kompromitovaných a ľahko uhádnuteľných hesiel. Toto je jeden z mála spôsobov ochrany účtov, aj keď sú vynútené silnejšie nastavenia hesiel.

Nepoužívajte tajné otázky

Bežnou praxou je nastavenie „tajných otázok“, na ktoré je možné odpovedať, aby ste odomkli alebo resetovali heslo účtu.

Tajné otázky by boli veci ako „aké je rodné meno vašej matky“ alebo „aký bol váš školský maskot“. Keďže tieto typy otázok môžu byť náchylné na útoky sociálneho inžinierstva, je najlepšie sa im úplne vyhnúť.

Zvážte MFA

Jedným z najlepších spôsobov, ako môžete zlepšiť zabezpečenie hesla, je implementácia viacfaktorovej autentifikácie. Tu sa okrem používateľského mena a hesla používajú na overenie používateľa aj ďalšie faktory.

Môže to byť napríklad jednorazové heslo, ktoré sa vygeneruje špeciálne pre používateľa na jeho mobilnom zariadení počas overovania.

Zjednodušenie dodržiavania nariadenia GDPR

Implementácia GDPR pre vaše podnikanie mimo EÚ sa môže zdať ako bolesť hlavy, ale súlad a dodatočná bezpečnostná ochrana pokryje vaše základy z právneho hľadiska a z hľadiska prevencie kybernetických útokov. Tento článok zhŕňa ako, prečo a kedy súlad s GDPR, ak hľadáte ďalšie informácie.

Keď implementujete politiku hesiel pre vašu reklamu s ohľadom na súlad s GDPR, je dobré použiť a 3-rd party nástroj, ktorý pomôže vašej politike hesiel dosiahnuť celý váš adresár koncového používateľa.

Moja obľúbená je Specops Password Policy, ktorá vám môže pomôcť zablokovať prelomené a iné kompromitované heslá z Active Directory. Počas zmeny hesla v Active Directory táto služba zablokuje a upozorní používateľov, ak sa heslo, ktoré si zvolili, nájde v zozname uniknutých hesiel, a poskytne dynamickú spätnú väzbu o dodržiavaní hesla. Zásady hesiel Specops zjednodušujú ochranu pred zraniteľnými heslami a dodržiavajú najnovšie pokyny pre heslá.

Zásady hesla Specops udržujú vaše zásady organizované a ľahko konfigurovateľné

Používanie nástroja politiky hesiel nielen pomáha pri dodržiavaní nariadenia GDPR pri predchádzaní neoprávnenému prístupu k informáciám, ale udržiava vaše interné infraštruktúry AD organizované a bezpečné. Specops Password Policy rozširuje funkčnosť skupinovej politiky a zjednodušuje správu jemne štruktúrovaných politík hesiel pre jednoduchší prístup k bezpečnosti hesiel a ich dodržiavaniu.

Či už používate nástroj politiky hesiel alebo manuálne vzdelávate koncových používateľov Súlad s GDPR môže byť prínosom pre akúkoľvek bezpečnostnú infraštruktúru bez ohľadu na umiestnenie a nezabudnite, že je to povinné, ak ukladáte údaje občanov EÚ.