Mognadsmodell för lösenordshantering

Organisationer som vill stärka säkerheten genom att införa en lösenordshanterare i hela företaget kan säkerställa bättre motståndskraft genom att utvärdera viktiga förbättringsområden med hjälp av följande mognadsmodell för lösenordshantering. Det här ramverket hjälper organisationer att förstå sin mognadsnivå för lösenordshanterare – baserat på den nuvarande verksamheten – och identifiera vilka steg som krävs för att förbättra sin befintliga klassificering.

Organisationer i kategorin nivå 1 har inte infört en lösenordshanterare i hela företaget. Bristen på ett centraliserat system för lösenordshantering ökar risken för komprometterade lösenord, eftersom medarbetare kan använda svaga eller återanvända lösenord utan ordentlig översyn. I stället använder medarbetare ett isolerat och ad hoc-betonat arbetssätt för att skydda företagets lösenord. Det kan handla om att använda webbläsarbaserade lösenordshanterare, Excel-kalkylblad, dela lösenord via Slack eller skriva ner dem på papper och post-it-lappar. Den här miljön främjar sannolikt inte en stark säkerhetskultur eller betonar bästa säkerhetspraxis. Företagsomfattande utbildning sker sällan eller inte alls. När det gäller den övergripande tekniska mognaden är sannolikheten stor att känsliga eller kritiska data, när de delas, är okrypterade och utsatta för risk.

• Införande av lösenordshanterare: En organisation på nivå 1 har inga processer för lösenordshantering på plats, vilket lämnar medarbetarna åt sina egna vanor.

• Säkerhetskultur: En organisation på nivå 1 betonar inte bästa säkerhetspraxis och har minimal säkerhetsmedvetenhet.

• Teknisk mognad: En organisation på nivå 1 delar känslig information på ett osäkert sätt, ofta okrypterat.

Organisationer på nivå 1 börjar från grunden och har gott om möjligheter till snabba förbättringar genom enkla åtgärder som kan ge en omedelbar säkerhetsförstärkning. Det viktigaste nästa steget för att förbättra säkerheten är att kräva att ett team, vanligtvis IT, använder en lösenordshanterare och sedan ta fram en plan för en bred utrullning.

Nivå 2 indikerar en något mognare, men fortfarande växande, inställning till stark lösenordssäkerhet och lösenordshantering. Organisationer i det här stadiet använder inte en lösenordshanterare i hela företaget, och rutiner för lösenordssäkerhet är decentraliserade, där medarbetare förlitar sig på en kombination av webbläsarbaserade lösenordshanterare och andra inbyggda verktyg för lösenordshantering. Vissa organisationer kan börja med en kostnadsfri lösenordshanterare innan de går vidare till en mer centraliserad lösning. Bästa säkerhetspraxis får ett översiktligt fokus vid introduktion av medarbetare, men är inte ett konsekvent fokus för organisationen. Teknisk mognad på den här nivån kännetecknas av blandade krypteringsrutiner – viss information är krypterad, annan inte – och tvåfaktorsautentisering används sparsamt för förstärkt identitetsverifiering. Organisationer som vill gå från nivå 2 till nivå 3 bör fokusera på ökad medvetenhet och utbildning för att etablera grundläggande rutiner för inloggningssäkerhet åtminstone i vissa situationer.

• Införande av lösenordshanterare: Företag på nivå 2 har decentraliserad lösenordshantering eller använder inbyggda lösenordshanterare ad hoc, till exempel Apples nyckelring eller de som är inbyggda i webbläsare.

• Säkerhetskultur: Företag på nivå 2 lägger begränsad vikt vid bästa praxis för lösenordssäkerhet.

• Teknisk mognad: Företag på nivå 2 har inkonsekventa metoder för att dela krypterad information och använda flerfaktorsautentisering (2FA).

Företag på nivå 2 lägger något större vikt vid datasäkerhet, men rutinerna är fortfarande decentraliserade. Det omedelbara nästa steget för att förbättra säkerheten är att välja en centraliserad, plattformsoberoende lösenordshanterare som fungerar på alla medarbetares enheter och börja en stegvis utrullning.

Att gå från nivå 2 till nivå 3 innebär ett betydande steg mot att säkra er verksamhet. Begränsade team inom organisationen förlitar sig på en fristående lösenordshanterare, men införandet som helhet är fortfarande begränsat. Säkerhetsutbildning sker oftare och mer konsekvent, och medarbetare får oftare varningar när de använder uppenbart och potentiellt riskabla säkerhetsrutiner. Ur ett tekniskt mognadsperspektiv har medarbetare som tillsammans använder en lösning för lösenordshantering täckning på alla enheter som företaget tillhandahåller och kan dela lösenord och annan känslig information på ett säkert sätt. Att använda ett krypterat lösenordsvalv kan avsevärt stärka säkerheten genom att lagra känslig information säkert. Möjligheten att dela data säkert mellan kollegor markerar ett avsteg från nivå 2.

• Införande av lösenordshanterare: Företag på nivå 3 har en viss grad av centraliserad lösenordshantering, där ett eller två team använder fristående lösenordshanterare i stället för inbyggda verktyg.

• Säkerhetskultur: Företag på nivå 3 lägger större vikt vid säkerhetskultur, men har inga verktyg eller system på plats för konkret ansvarstagande.

• Teknisk mognad: Team på nivå 3 som använder en centraliserad lösenordshanterare drar nytta av plattformsoberoende täckning över enheter och säker delning mellan medarbetare.

Företag på nivå 3 går i en mer centraliserad, om än ojämn, riktning mot att prioritera datasäkerhet. Nästa steg för att förbättra säkerheten är att bredda täckningen för lösenordshantering från en stegvis utrullning till en företagsomfattande utrullning.

Nivå 4 kännetecknas av att en lösenordshanterare för hela företaget används av alla, med en driftsättning som inletts i hela organisationen. Det är avgörande att skapa ett starkt huvudlösenord för att skydda lösenordshanteraren. Alla medarbetare uppmanas att använda företagets lösenordshanterare för att skapa, lagra och dela lösenord med andra teammedlemmar. Dessutom är säkerhetsutbildning normaliserad och accepterad i hela organisationen, där ledningen följer upp och uppmuntrar deltagande genom detaljerade utbildningsmoduler. Teknisk mognad på nivå 4 innebär företagsomfattande lösenordshantering med integration med katalogtjänster och enkel inloggning. Integration med katalogtjänster (som kan omfatta Active Directory/Entra, Google Workspace eller OneLogin) synkroniserar användare och grupper från en extern katalog till lösenordshanteraren. Integration med enkel inloggning gör det möjligt för organisationer att använda sin befintliga identitetsleverantör för att autentisera användare med företagets lösenordshanterare.

• Införande av lösenordshanterare: Företag på nivå 4 har infört en fristående lösenordshanterare i hela organisationen, där team starkt uppmuntras att helt avstå från inbyggda verktyg och ad hoc-metoder.

• Säkerhetskultur: Företag på nivå 4 erbjuder regelbunden säkerhetsutbildning och uppmuntrar närvaro med deltagandemått.

• Teknisk mognad: Företag på nivå 4 har integrerat lösenordshanterare med IT-arbetsflöden, inklusive katalogtjänster och enkel inloggning (SSO).

Företag på nivå 4 har valt ett mycket mer enhetligt och konkret angreppssätt för datasäkerhet, med fokus på att säkerställa heltäckande användning. Nästa steg för att förbättra säkerheten är att kräva företagsomfattande lösenordshantering i hela organisationen. När detta är på gång bör ni aktivera lösenordsfri autentisering och kräva multifaktorautentisering (2FA) för alla team.

I det här skedet har en organisation infört en företagsomfattande lösenordshanterare fullt ut och integrerat den i organisationens arbetsflöden. Detta lösenordsvalv används för att lagra och hantera känslig information på ett säkert sätt, inklusive lösenord, kreditkortsuppgifter och personuppgifter. Företagsomfattande användning av lösenordshantering är obligatorisk, med begränsningar för alternativa metoder för lösenordslagring. Företag i det här skedet erbjuder medarbetare familjeabonnemang för lösenordshantering för att odla en 360-graders säkerhetskultur, med betoning på goda lösenordsvanor både privat och i arbetet. Säkerhetsutbildning är obligatorisk för hela organisationen, och medarbetare uppmuntras att rapportera misstänkta cybersäkerhetsaktiviteter. Den tekniska mognaden kännetecknas av heltäckande användning och rapportering. Den företagsomfattande lösenordshanteraren möjliggör lösenordsfria alternativ, från biometri till passkeys, medan utvecklare använder API:er för integration med andra verktyg, till exempel SIEM, för att säkerställa en effektiv säkerhetsstack. Automatiserad skriptning med API:er används för att stärka den administrativa kontrollen och förenkla komplexa arbetsflöden.

• Införande av lösenordshanterare: Företag på nivå 5 kräver att alla medarbetare använder en fristående lösenordshanterare.

• Säkerhetskultur: Företag på nivå 5 har infört obligatorisk säkerhetsutbildning, där medarbetare tar initiativ till att flagga misstänkt aktivitet till IT-avdelningen.

• Teknisk mognad: Företag på nivå 5 har anammat en företagsomfattande lösenordshanterare som erbjuder lösenordsfri autentisering, kräver multifaktorautentisering (2FA) och uppmuntrar utvecklare att använda API:er för integration med andra verktyg.

Företag på nivå 5 har ett heltäckande, avancerat och företagsomfattande system för lösenordshantering på plats. Företag som är intresserade av att ta sig vidare därifrån bör utforska verktyg för secrets management som skyddar infrastruktur och maskinhemligheter.