Kaitse oma töötajaid

Autentimine on tegevus, mille käigus süsteem tuvastab, kas isik, kes süsteemi poole pöördub, on see, kes ta väidab end olevat. Tavaliselt kasutatakse tuvastamiseks parooli või sertifikaati.

Et kontorivõrk oleks turvaline, tuleb paika panna reeglid parooli keerukusele ja pikkusele. Parooli vahetus tuleb koheselt ette võtta, kui on kahtlus parooli lekkimisest või on toimunud mõni intsident. Kõikidel kontodel – töö- ja erakontodel ning ka erinevatel sotsiaalmeediakontodel – tuleks kasutada erinevaid paroole. Hea parool on tugev (vähemalt 15 tähemärki ja erisümbolitega) ning unikaalne. Tavaparooli asemel on soovitatav kasutada märgulauset. Märgulause koosneb neljast-viiest sõnast, mis moodustavad lause (Näiteks: 1Hobune.On.Vee.Aar3s) – see on pikem, aga kasutajatele lihtsam meeles pidada kui juhuslikest kirjamärkidest koostatud parooli. Paroolis võiks kasutada suur- ja väiketähti, sõnade vahel aga sümbolit (punkt, koma, hüüumärk jne). Parool võiks olla lihtsasti meeldejääv, kuid samas ei tohiks olla liiga lihtsasti ära arvatav.

Kui süsteemiseadistused võimaldavad, tuleks määrata sätted, et sellised piirangud rakenduksid automaatselt, sest kasutaja valib võimalusel ikka lihtsama tee. Kui süsteemselt seadistada pole võimalik, tuleb paroole vahetada regulaarselt käsitsi ja seda peab kasutajatele pidevalt meelde tuletama. Väiksemates ettevõttetes tavaliselt ei ole eraldi paroolipoliitikat, aga tähtis on, et paroolide kasutamisel lähtutakse turvalisuse heast tavast.

Tänu pilvteenuse populaarsuse kasvule on ettevõtetes järjest rohkem teenuseid, mis on avalikult kättesaadavad kogu maailmas. Kui teenus on üldsusele kättesaadav, siis on seda lihtsam rünnata. Kui mõni taoline kommertsteenus (Office 365, Gmail, Dropbox vms) võimaldab, siis tuleks sisse lülitada mitmikautentimine. See tähendab, et peale parooli nõutakse veel mingit autentimismeetodit, näiteks koodi sisestamist, telefonis kinnitamist, ID-kaarti kasutamist, krüptotokenit või mõne riistvaralise lahenduse nagu YubiKey kasutamist.

Kui mitmikautentimine on rakendatud, siis ei saa ründajad süsteemile ligi isegi parooli lekkimisel, sest neil puudub teine autentimiseks vajalik komponent.

Kuna suurem osa süsteeme nõuab paroolide kasutamist, võib töötajal olla palju erinevaid kasutajanimesid ja paroole. Sel juhul hakkavad kasutajad neid ebaturvaliselt paberile kirjutama, kasutama võimaluse korral sama parooli mitmes kohas või valima paroole, mis on liiga lihtsad. Üks lahendus, et kasutajaid aidata, on võtta kasutusele paroolihalduse tarkvara, mis võimaldab neil turvaliselt oma paroole hallata. Selleks on saadaval erinevaid tarkvarasid ja osa neist on ka tasuta.

Kui seadmeid on rohkem, siis tasuks võtta kasutusele mõni keskne kasutajate halduse lahendus. Microsoft Windowsi keskkonnas on selleks puhuks olemas näiteks Active Directory(AD)domeen. AD domeen on teenus, mis võimaldab Windowsi keskkonnas integreeritud autentimist. Selle abil saavad kasutajad sisse logida sama kasutajanime ja parooliga kõikidesse seadmetesse, mis on domeenis. Näiteks kui enne domeeni kasutusele võtmist oli kasutajatel eraldi parool arvuti, e-posti teenuse ja jagatud kausta jaoks, siis tänu domeenile saab kõigile juurde ühe parooliga. AD domeen eeldab Windowsi serveri olemasolu. Leidub ka muid samalaadseid lahendusi, mis ei vaja serverit, näiteks Azure AD, mis eeldab Office 365 tarkvara litsentse. Ka mõnda majandustarkvara on võimalik siduda näiteks AD domeeni või Azure ADga. Keskne kasutajate haldus võimaldab muu hulgas kasutaja lahkumisel ligipääsud kergemini sulgeda, sest siis saab seda teha ühest kesksest kohast.