Definire il ciclo di vita del dipendente per la gestione delle password
Ogni giorno emergono nuovi tipi di sfide di sicurezza, o exploit da mitigare, portando a uno stack di information technology (IT) in continua evoluzione. Fortunatamente, alcuni strumenti di sicurezza possono integrarsi facilmente nello stack esistente della tua azienda, migliorando al contempo produttività e sicurezza dei dipendenti.
Quando aggiungi nuovi strumenti al tuo parco applicativo, considera come gestirai gli accessi lungo tutto il ciclo di vita del dipendente. Ad esempio, un nuovo dipendente dovrebbe ottenere l'accesso a sistemi specifici fin dal primo giorno, mentre altri potranno essere introdotti in seguito. All'estremo opposto, l'accesso deve essere revocato immediatamente per un dipendente licenziato.
Una gestione completa delle password migliora la sicurezza dell'azienda e dei singoli individui, favorendo collaborazione e maggiore produttività. Questa guida illustra come la gestione delle password interessi ogni fase del ciclo di vita del dipendente.
Fasi del ciclo di vita del dipendente
La gestione delle password riguarda quasi ogni aspetto della tua attività ed è particolarmente importante in tre fasi principali del ciclo di vita di un dipendente.
Onboarding
Avvicendamento e promozione
Offboarding
Onboarding dei nuovi dipendenti
Dalla concessione dell'accesso ai sistemi aziendali e di reparto, alla definizione delle tappe per i nuovi dipendenti o alla pianificazione della formazione, un onboarding efficace richiede tempo e attenzione. Integrare i nuovi dipendenti in modo efficiente accelera l'inserimento e aiuta l'azienda a ottenere risultati più rapidamente.
Nelle aziende più grandi, i team delle risorse umane e IT potrebbero concedere l'accesso ai sistemi aziendali, incluse opzioni di Single Sign-On (SSO) per servizi selezionati. Tuttavia, l'universo delle credenziali dei dipendenti spesso va ben oltre quelle gestite da tali sistemi. Inoltre, le aziende di medie dimensioni potrebbero non aver implementato un sistema SSO e avere un bisogno ancora maggiore che i dipendenti inizino subito con pratiche di sicurezza digitale adeguate.
Dal punto di vista del nuovo dipendente, accedere e configurare i software o le applicazioni necessari senza gli strumenti giusti può creare attriti e confusione, portando a pratiche scorrette. In assenza di un processo sicuro, come un password manager, la condivisione delle credenziali di accesso con i nuovi dipendenti viene spesso gestita con metodi rischiosi, come email o app di messaggistica.
La pressione per avere successo sul lavoro, sia per il singolo sia per il team, spesso porta i colleghi a condividere tra loro le informazioni di accesso necessarie; la questione è semplicemente se siano messi o meno nelle condizioni di farlo in sicurezza.
Un recente sondaggio tra i responsabili delle decisioni IT ha rivelato che quasi il 60% dei team condividerebbe le password aziendali con i colleghi tramite metodi non sicuri, nonostante il rischio. E l'80% dei responsabili delle decisioni IT vuole rendere obbligatorio l'uso di un password manager a livello aziendale, soprattutto per ragioni di praticità. Un altro fattore cruciale è che un password manager pone l'accento sulla sicurezza dei dati, poiché migliori pratiche di gestione delle password riducono i comportamenti rischiosi.
Introdurre un password manager nelle prime fasi del processo di onboarding favorisce l'adozione e riduce gli attriti nell'accesso ai nuovi sistemi.
Avvicendamento e promozione
Far crescere la tua azienda richiede anche tecnologie flessibili per sostenere l'espansione, inclusa la gestione delle password. L'espansione può includere l'aumento delle dimensioni dei team, la creazione di nuovi ruoli o reparti, oppure acquisizioni.
A volte i dipendenti esistenti passano a nuovi ruoli, il che può richiedere una transizione nella proprietà del software o l'aggiornamento dei livelli di accesso degli utenti. Con un sistema di gestione delle password in uso, spostare i dipendenti in transizione in nuovi gruppi con nuove cartelle condivise o aggiornare gli accessi in base al ruolo può richiedere solo pochi clic.
Per uno studio legale, RMWBH, Attorneys and Counselors at Law, questo accade spesso quando si gestisce un ampio carico di casi tra avvocati e assistenti legali.
Se un assistente legale sta lavorando a un caso con un'importante data del processo imminente, può passarlo al successivo assistente legale senza disturbare l'utente originario. La gestione di oltre 10.000 password è automatizzata attraverso una serie di cartelle condivise che consentono la distribuzione automatica, riducendo i tempi del processo da giorni a poche ore
Indice
Definire il ciclo di vita del dipendente per la gestione delle password
Fasi del ciclo di vita del dipendente
Onboarding dei nuovi dipendenti
Avvicendamento e promozione
Offboarding dei dipendenti
Diversi tipi di gestori di password
Integrazione tra gestori di password, gestione delle identità e degli accessi e provider di identità
Comprendere le tipologie di utenti finali della gestione delle password
Offboarding dei dipendenti
Quando i dipendenti lasciano un’azienda volontariamente o a seguito di un licenziamento, il processo di offboarding include la conclusione o il passaggio di consegne dei progetti e la disattivazione dell’accesso ai sistemi. Per alcune aziende senza un sistema di gestione delle password, qualcuno potrebbe cambiare le password di tutti gli accessi condivisi nell’ultimo giorno di lavoro del dipendente. Forse questo include l’aggiornamento di un foglio di calcolo con le credenziali di accesso e la condivisione con altri membri del team che ne hanno bisogno. Questo può essere rischioso, perché fogli di calcolo non crittografati e documenti condivisi non offrono la sicurezza e il controllo granulare degli accessi necessari per gestire le password. Le aziende vogliono preservare la conoscenza istituzionale in caso di avvicendamento di un dipendente. Intesys, società italiana di trasformazione digitale, si è trovata alla ricerca di una soluzione centralizzata. “Avevamo bisogno di una soluzione centralizzata per gestire il provisioning e il deprovisioning dell’accesso degli utenti alle credenziali”, ha affermato Mirko Spezie, senior system specialist dell’azienda. Sfruttando cartelle condivise chiamate “raccolte” nel loro sistema di gestione delle password, il team di Intesys ha potuto riassegnare in modo semplice e sicuro l’accesso ai membri del team appropriati.
Al di là di questi esempi di gestione delle password in ogni fase del ciclo di vita del dipendente, è importante notare che non tutti i sistemi di gestione delle password sono uguali.
Case study
Leggi il case study di Intesys qui
Diversi tipi di gestori di password
I gestori di password possono assumere molte forme e provenire da diverse aziende dell’ecosistema tecnologico. In questo panorama, è importante conoscere le differenze e capire cosa è meglio per la tua organizzazione quando si tratta di scegliere il gestore di password giusto.
Gestori di password per l’ambiente di lavoro | Come funziona | Svantaggi |
|---|---|---|
Da grandi fornitori di sistemi operativi | Microsoft, Apple e Google offrono praticità quando si utilizzano le loro piattaforme e i loro dispositivi. | Per esigenze davvero multipiattaforma, queste soluzioni non offrono una copertura completa. Inoltre, si concentrano sulla gestione individuale delle credenziali e non sulla condivisione tra team. |
Da fornitori di browser | I browser spesso invitano gli utenti a salvare le password tramite una funzione integrata nel browser. | Molti dipendenti utilizzano contemporaneamente browser diversi su più progetti. Tuttavia, le password non possono essere sincronizzate tra browser. |
Proprietari | Un sistema proprietario indipendente fornisce la gestione delle password come servizio. | I gestori di password proprietari possono essere più costosi e rigidi, lasciando poco spazio alla personalizzazione delle integrazioni o delle opzioni di distribuzione. |
Open source | Un sistema open source indipendente offre flessibilità, può essere implementato nel cloud o self-hosted ed è trasparente al 100% in termini di sicurezza, poiché il codice è aperto. | Alcune aziende stanno ancora scoprendo i vantaggi di combinare sicurezza e open source per le soluzioni infrastrutturali. |
Integrazione tra gestori di password, gestione delle identità e degli accessi e provider di identità
I gestori di password più utili si integrano perfettamente con le strategie di Identity and Access Management esistenti delle aziende, così come con i loro Identity Provider già in uso.
Gestione delle identità e degli accessi (IAM)
Secondo CSOonline.com, l’IAM fornisce “...ai responsabili IT strumenti e tecnologie per controllare l’accesso degli utenti alle informazioni critiche all’interno di un’organizzazione”. In genere, l’IAM descrive i livelli dei percorsi di accesso a strumenti e sistemi a livello aziendale. Il software di gestione delle password è un elemento fondamentale di un approccio IAM complessivo, perché consente ai membri del team di archiviare e condividere le credenziali di accesso.
La gestione delle password include funzionalità self-service per sicurezza e collaborazione, specificamente per credenziali di accesso e informazioni sensibili. Ad esempio, gli utenti potrebbero mantenere abbonamenti specifici a siti web o conservare informazioni sulle carte di credito o note sicure che documentano procedure per determinate credenziali. Consentire ai dipendenti di gestire direttamente la propria sicurezza individuale rafforza la postura di sicurezza complessiva dell’azienda.
Provider di identità (IdP)
I provider di identità (IdP) integrano ulteriormente i password manager. I provider di identità gestiscono in modo centralizzato le credenziali dei dipendenti, spesso in combinazione con l’autenticazione a due fattori, più comunemente sotto forma di Single Sign-On (SSO). Con questo approccio, gli strumenti e i sistemi a livello aziendale semplificano il processo di accesso per i dipendenti tramite l’IdP.
Con l’obiettivo di integrarsi con le soluzioni esistenti, i password manager che utilizzano il provider di identità già in uso in azienda offrono un percorso rapido verso il successo. I password manager consentono ai dipendenti di gestire e condividere le credenziali in modo sicuro, incluse quelle che potrebbero essere specifiche di singoli dipendenti o team.
White paper tecnico
Onboarding e successione dei dipendenti con Bitwarden
Comprendere le tipologie di utenti finali nella gestione delle password
Introdurre un nuovo sistema di gestione delle password nella tua organizzazione richiede di comprendere una varietà di esperienze pregresse. Queste possono andare dagli utenti che hanno già utilizzato un password manager a chi usa carta e penna. Comprendere le tipologie di utenti finali, soprattutto durante l’onboarding dei dipendenti, aiuta a personalizzare l’approccio al rollout.
Il principiante
Archivia le password su un blocco note, su post-it o in un foglio di calcolo. L’igiene generale delle password potrebbe essere migliore, con molte password riutilizzate e condivise tramite metodi non sicuri, come messaggi di chat o email. All’inizio potrebbe aver bisogno di un po’ di supporto su come usare un password manager e, in generale, sulle best practice di cybersecurity. Coinvolgerlo fin da subito e fornire formazione sarà fondamentale per mantenere un uso regolare del password manager come previsto.
L’appassionato di gestione delle password
Usa lo stesso password manager gratuito da anni e conosce molto bene il concetto. Potrebbe persino averne parlato una o due volte al team IT e probabilmente lo usa per archiviare le proprie password di lavoro. Convincerlo a usare un password manager aziendale sarà facile, e potrebbe persino mostrare agli altri membri del team come utilizzarlo. Potrebbe essere un ottimo promotore da inserire nel tuo programma di formazione.
Il team lead
Al momento ha poca o nessuna supervisione su come il suo team condivide le password. Vuole fornire rapidamente al team l’accesso a sistemi e informazioni sensibili e gestire gli aggiornamenti. Alcuni team lead potrebbero aver già usato un password manager e avere una buona comprensione generale del concetto e dei suoi vantaggi. Potrebbero aver bisogno di aiuto per organizzare il team e le password all’interno del sistema di gestione delle password stesso.
L’utente dirigente
Potrebbe aver già usato o meno un password manager in passato, ma il suo ostacolo principale è il tempo. Ha un’agenda fitta, con pochissime occasioni per imparare a usare un nuovo strumento. Se non percepisce personalmente fin dall’inizio il valore di un password manager, potrebbe essere riluttante ad approvarne l’uso continuativo a livello aziendale. D’altra parte, un dirigente coinvolto in un approccio orientato alla sicurezza potrebbe diventare un power user e un promotore dell’empowerment dei dipendenti nella gestione sicura delle credenziali. I modelli di condivisione sicura più adatti consentono facilmente a un assistente di direzione di supportare la gestione delle credenziali per uno o più dirigenti senior.Potrebbe aver già usato o meno un password manager in passato, ma il suo ostacolo principale è il tempo. Ha un’agenda fitta, con pochissime occasioni per imparare a usare un nuovo strumento. Se non percepisce personalmente fin dall’inizio il valore di un password manager, potrebbe essere riluttante ad approvarne l’uso continuativo a livello aziendale. D’altra parte, un dirigente coinvolto in un approccio orientato alla sicurezza potrebbe diventare un power user e un promotore dell’empowerment dei dipendenti nella gestione sicura delle credenziali. I modelli di condivisione sicura più adatti consentono facilmente a un assistente di direzione di supportare la gestione delle credenziali per uno o più dirigenti senior.
Valutazione delle funzionalità di gestione delle password
Non tutti i sistemi aziendali di gestione delle password sono uguali. Tra le funzionalità indispensabili da cercare ci sono:
Crittografia end-to-end I dati devono essere completamente crittografati prima ancora di lasciare il tuo dispositivo.
Sicurezza di livello enterprise Verifica la presenza di audit di sicurezza regolari da parte di terze parti e che il password manager sia conforme ai principali standard di privacy e sicurezza, come GDPR, CCPA, HIPAA e SOC 2.
Opzioni di distribuzione flessibili Cerca la possibilità di sfruttare un sistema basato sul cloud per essere operativi rapidamente e un’opzione di self-hosting se adatta alle tue esigenze.
Approccio personalizzabile Dovresti poter impostare requisiti per le password e criteri amministrativi che consentano ai dipendenti di adottare una buona igiene delle password.
Sincronizzazione e integrazioni semplici Semplifica l’onboarding degli utenti e la gestione degli accessi dal servizio di directory e dal provider di identità che già utilizzi.
Scalabilità in tutta l’azienda L’accesso ai dati critici dovrebbe essere disponibile in diverse sedi, browser e dispositivi, con un’ampia disponibilità di traduzioni per un pubblico globale.
Bitwarden offre molte di queste funzionalità e il vantaggio di essere una piattaforma open source. Audit regolari supportano questa base trasparente, con miglioramenti continui per una sicurezza potenziata.
Indipendentemente dalle dimensioni della tua azienda, tutti traggono vantaggio dall’uso di un password manager, soprattutto se consente di affrontare ogni fase del ciclo di vita dei dipendenti. Inizia oggi con una prova gratuita per la tua azienda.