2024-11-16T08:34:00+03:00
הטמעת מדיניות סיסמאות חדשה ללא תוכנית תקשורת היא מתכון לצרות. חשוב להימנע ממצב שבו כל המשתמשים מתבקשים להחליף סיסמאות ללא הבנה ברורה מה הם עושים ולמה, שכן הדבר יגרום לכאוס ב-Help Desk או במחלקת IT. המפתח להצלחה הוא לקיים תוכנית תקשורת מפורטת בעת עדכון מדיניות אבטחת הסיסמה שלך.
השקה חד פעמית או הדרגתית של שינויים במדיניות סיסמאות?
כאן הבחירה נותרה בידי הארגון, אך עדיין מומלץ לפצל את ה-Active Directory ולבצע פריסה מדורגת. זה ימנע מצב שבו כל המשתמשים מחליפים סיסמאות בו-זמנית, מה שעלול לגרום לגל של פניות לתמיכה טכנית.
אם קבוצה מסוימת של סיסמאות של משתמשים מוגדרת לפוג בימים או בשבועות הקרובים, מדוע לא להחיל עליהן קודם את המדיניות החדשה? משתמשים ששינו לאחרונה את הסיסמאות שלהם עלולים להגיב בשלילה על הצורך לשנות שוב – הם יכולים להישאר קרוב יותר למועד היעד של הפריסה.
קבוצה ידועה של סיסמאות שנפרצו מספקת הזדמנות מצוינת לבדוק את הפריסה שלך. חשבונות אלה יכולים לשמש כקבוצת פיילוט כדי לפנות תחילה למשתמשים בסיכון גבוה ולספק משוב על תהליך הפריסה.
ליידע את המשתמשים על מדיניות הסיסמאות החדשה
הודעה מראש למשתמשים באמצעות דואר אלקטרוני תבטיח את ההשקה החלקה ביותר. ההודעה צריכה להסביר:
-
סיבות לשינויים;
-
דרישות מדיניות סיסמאות חדשות;
-
תזכורת לשיטות עבודה מומלצות: אל תשתף סיסמאות, אל תכתוב אותן, אל תעשה בהן שימוש חוזר;
-
למי לפנות בשאלות.
כדאי גם לשקול לבדוק את הגישה לאימון משתמשים. חשוב לשמור על דברים פשוטים וברורים. אם חל שינוי ממדיניות של סיסמאות קצרות ומורכבות (לדוגמה, שמונה תווים בשילוב של מספרים, אותיות קטנות, רישיות ותווים מיוחדים) לביטויי סיסמה פשוטים אך ארוכים יותר, ייתכן שזה יהיה שינוי משמעותי מהדרישות הקודמות.
תבנית מכתב חדשות
הנה דוגמה למסר שניתן להתאים לצרכים הספציפיים שלך:
"משתמש יקר,
בֵּין XX/XX/XX מאת XX/XX/XX מדיניות סיסמאות חדשה תיושם בארגון. זה ישפר את האבטחה הן עבורך והן עבור הארגון שלך מפני פריצת סיסמאות או ניחוש על ידי תוקפים. במהלך התקופה שצוינה, תקבל הודעה כי עליך ליצור סיסמת Active Directory חדשה.
דרישות מדיניות הסיסמאות החדשה:
– אורך. מינימום 15 תווים.
– קושי. לפחות אות גדולה אחת, מספר ותו מיוחד.
– שימוש חוזר. סיסמאות חוזרות או שהשתנו מעט יידחו אוטומטית.
– בדוק אם יש פשרה. גם סיסמאות ידועות שנפרצו יידחו אוטומטית.
מומלץ ליצור "ביטוי סיסמה" מכיוון שזו הדרך הקלה ביותר ליצור סיסמה ארוכה, מאובטחת וקלה לזכור.
זכור שיטות עבודה מומלצות לאבטחת סיסמאות. אל תעשה:
– שתף סיסמה;
– רשום את הסיסמה (למעט אחסונה במקום בטוח);
– השתמש שוב בסיסמה שלך במכשירים, אפליקציות ואתרי אינטרנט אחרים;
אם יש לך שאלות, אנא צור קשר [email].
בְּכֵנוּת, [Подпись]»
קבוצות משתמשים אחרות לתקשורת
ישנן קבוצות משתמשים נוספות בארגון שעבורן ייתכן שיהיה צורך להתאים את ההודעה לעיל.
דלפק עזרה/תמיכה ב-IT/צוותי אבטחה
צוותי תמיכה חייבים להיות מוכנים להגדלת נפח השיחות במהלך יישום מדיניות חדשה. הם צריכים לדעת את כל הדרישות ביסודיות ולהיות בעלות תוכנית פעולה ברורה אם יתעוררו בעיות. חשוב לספק מערכת אמינה לזיהוי משתמשים בעת בקשת איפוס סיסמה. גם עם תכנון יישום אידיאלי, צצים אתגרי הסתגלות, ולכן צוות התמיכה צריך להיות מוכן ככל האפשר.
מנהיגות/מנהלים. חשוב למנהלים להבין את הסיבות והמטרות ליישום מדיניות חדשה. מתן נתונים סטטיסטיים ודוגמאות ספציפיות של סיכונים יעזור להשיג את תמיכתם. מנהלים ממלאים תפקיד מפתח בתקשורת עם הכפופים ויכולים להשפיע באופן משמעותי על הצלחת היישום על ידי הסבר על חשיבות השינוי ותמיכה בעובדים במהלך המעבר.
חשבונות שירות. הם דורשים גישה מיוחדת, שכן הם מבטיחים את פעולתן של מערכות קריטיות. לסיסמאות בדרך כלל אין תאריך תפוגה, והסיסמאות עבורן נשמרות באחסון מאובטח. מומלץ להגדיר דרישות מורכבות גבוהות יותר (64 תווים ומעלה) ולנתח הגנה מפני התקפות מניעת שירות באמצעות מדיניות החסימה.
מנהלים. משתמשים בעלי זכויות יתר דורשים אבטחה משופרת. עבורם, מומלץ ליישם דרישות אורך סיסמה מחמירות יותר ולשמור על מדיניות רוטציה קבועה, גם אם היא לא ניתנת למשתמשים רגילים. יש צורך ליידע אותם בנפרד על דרישות הבטיחות המוגברות והסיבות להכנסתן.
העובדים בחופשה. בעת התכנון, חשוב לקחת בחשבון עובדים בחופשה ממושכת שאולי אין להם גישה למערכות כדי לאפס את הסיסמה שלהם. יש לברר נושא זה מראש עם מנהלים ומחלקת משאבי אנוש, תוך פיתוח הנחיות ונהלים מיוחדים. יש לספק אמצעי תקשורת חלופיים ושינוי סיסמה מאובטח בעת החזרה.
כיצד להפוך יישום מדיניות סיסמאות לידידותי למשתמש?
בנוסף לתוכנית תקשורת ברורה, ישנם מספר אלמנטים שניתן להוסיף למדיניות סיסמאות כדי להקל על חווית המשתמש:
-
כניסה יחידה (SSO);
-
מנהלי סיסמאות;
-
אימות חומרה (למשל YubiKeys).
מעקב והעריך את האפקטיביות של מדיניות הסיסמאות החדשה
לאחר הטמעת מדיניות סיסמאות חדשה, חשוב לעקוב אחר יעילותה והשפעתה על אבטחת הארגון.
מומלץ לשים לב למדדים הבאים:
– מספר אירועי אבטחה הקשורים להתפשרות בסיסמה;
– מספר שיחות לתמיכה בנוגע לבעיות סיסמאות;
– הזמן המושקע בעיבוד בקשות לאיפוס סיסמה;
– רמת שביעות רצון המשתמשים מהמדיניות החדשה;
– אחוז הניסיונות הראשונים המוצלחים ליצור סיסמה לפי דרישות חדשות.
לניטור יעיל כדאי:
– הגדר איסוף אוטומטי של נתונים סטטיסטיים על אירועי סיסמאות;
– עריכת סקרי משתמשים קבועים;
– ניתוח יומנים של ניסיונות כניסה ואיפוסי סיסמה;
– עקוב אחר הזמן בין שינויי סיסמה חובה;
– אסוף משוב מהתמיכה.
מַסְקָנָה
הטמעת מדיניות סיסמאות חדשה אינה רק תהליך טכני, אלא שינוי ארגוני מורכב הדורש התייחסות מדוקדקת של גורמים אנושיים. הצלחת הפרויקט תלויה לא כל כך בדרישות הטכניות לסיסמאות עצמן, אלא באיזו יעילות הארגון הצליח להכין ולתמוך בעובדיו במהלך תהליך המעבר.
הלקח המרכזי שניתן ללמוד מהניסיון ביישום מדיניות סיסמאות הוא שאבטחה וחווית משתמש לא צריכים להיות סותרים זה את זה. גישה מודרנית לניהול סיסמאות מאפשרת לך למצוא איזון בין דרישות אבטחה קפדניות לנוחות המשתמש.
כאשר העובדים מבינים את הסיבות לשינוי ומקבלים את התמיכה הדרושה, הם הופכים למשתתפים פעילים בתהליך אבטחת המידע בארגון, ולא רק לאוכפי כללים שנכפו.
השקעה בתקשורת נכונה ובתמיכה במשתמשים בעת יישום מדיניות סיסמאות חדשה משתלמת פי כמה – באמצעות צמצום סיכוני האבטחה, הפחתת עומס העבודה של דלפק העזרה והגברת האוריינות הדיגיטלית של העובדים.
