Transformacja cyfrowa nie jest niczym nowym. Już od ponad dekady przedsiębiorstwa dążą do osiągnięcia cyfrowego El Dorado, szukając w cyfryzacji sposobów na poprawę jakości pracy i usług oraz rozwiązania problemów związanych z użytecznością i bezpieczeństwem. Proces transformacji przebiegał przez ostatnie lata raczej w wolnym tempie. Zmieniła to pandemia COVID-19, która „wymusiła” jego nagłe przyspieszenie. Organizacje chcąc kontynuować działalność w nowej rzeczywistości musiały zastosować nowoczesne narzędzia cyfrowe i przepływy pracy, aby szybko stać się „cyfrowymi”.
Przedsiębiorstwa wchodziły w pośpiechu do nowego, cyfrowego świata bez wcześniejszych analiz wpływu takiej transformacji na całkowity koszt posiadania (TCO), doświadczenie użytkownika i co najważniejsze – na bezpieczeństwo. Teoretycznie firmy, które już wcześniej postawiły na rozwiązania chmurowe powinny być mniej dotknięte zmianami nawet wtedy, kiedy wszyscy pracownicy muszą pracować z domu. Jednak praca zdalna to „raj” dla cyberprzestępców, bo bezpieczeństwo organizacji zależy od jej najsłabszego ogniwa – użytkownika, a historia pokazuje, że praktycznie każdy może stać się ofiarą cyberataku.
Użyteczność kontra bezpieczeństwo
Znalezienie równowagi między łatwością użytkowania a bezpieczeństwem nie jest łatwym zadaniem. Przykładem może być narzędzie do wideokonferencji Zoom, które w czasie pandemii stało się ulubieńcem zarówno korporacji, jak i prywatnych użytkowników. Jednocześnie stało się też celem ataków Zoom-bombingu. Luki w zabezpieczeniach sprawiały, że nieuprawnione osoby mogły dostać się na telekonferencję. Kiedy firma rozwiązała ten problem, pojawiły się z kolei wyzwania związane z użytecznością tego oprogramowania. Użytkownicy uwielbiają proste rozwiązania, a złożoność nie raz utrudniała wdrożenie narzędzi cyfrowych w wielu organizacjach. Jednak to człowiek jest najsłabszym ogniwem w każdym systemie, a nieodpowiednio zabezpieczona usługa może przynieść organizacji więcej szkody niż pożytku. Wiele firm odczuło, jak dotkliwe w skutkach dla funkcjonowania całej organizacji może być jedno kliknięcie pracownika w nieodpowiedni link w wiadomości e-mail.
Bezpieczna transformacja
Każda firma chce wyprzedzić inne i być tą, która pierwsza wprowadza innowacje. Ale niestety w procesie tym koncentruje się najpierw na modernizacji i wdrażaniu usług istotnych dla procesów biznesowych, a dopiero na koniec analizuje kwestie związane z bezpieczeństwem. Często jest już jednak za późno na wprowadzenie istotnych zmian w obszarze zabezpieczeń. W pośpiesznie wprowadzanej cyfryzacji często pomija się bezpieczeństwo – jest to szczególnie widoczne w obszarze rozwiązań do uwierzytelniania i kontroli dostępu. Czy można szybko zmodernizować infrastrukturę i przepływy pracy bez jednoczesnego narażania bezpieczeństwa organizacji? Z pewnością tak. Należy to jednak zrobić ostrożnie, bez zbytniego pośpiechu. Każdą inicjatywę w zakresie transformacji cyfrowej należy dokładnie przeanalizować w trzech wymiarach: koszty, użyteczność i bezpieczeństwo. Pomijając choćby jeden z tych czynników, organizacja ryzykuje, że wcześniej lub później będzie mieć poważne problemy.
Brak weryfikacji rozwiązań uwierzytelniających
Stając przed wyborem narzędzi informatycznych transformacji cyfrowej (np. wdrażając rozwiązania uwierzytelniające) kierownictwo często pozostawia decyzję w tym zakresie w rękach zespołów technicznych. Zdarza się, że w takiej sytuacji administratorzy IT wybierają pierwsze „lepsze” rozwiązanie, które znajdą i które wyda im się „wystarczająco dobre”. Jednak taki sposób wyboru odpowiednich rozwiązań, szczególnie w obszarze uwierzytelniania jest dużym błędem. Przykładem mogą być hasła – najstarsze i najprostsze rozwiązanie do uwierzytelniania. Ta metoda jest (podobno) tania, łatwa do zastosowania i powszechnie akceptowana. Oczywiście można wprowadzić dodatkową warstwę zabezpieczeń, włączając uwierzytelnianie wieloskładnikowe np. za pośrednictwem OTP, wiadomości SMS lub e-mail. Ale nawet wtedy hasła nie zapewniają odpowiedniej ochrony, a „klucze” do organizacji pozostają w rękach użytkowników, którzy są najsłabszym ogniwem zabezpieczeń. Organizacja nie może też oczekiwać, że użytkownicy będą odpowiedzialni za jej bezpieczeństwo i uznają bezpieczeństwo organizacji za priorytet, zwłaszcza kosztem ich dodatkowego czasu i włożonego wysiłku.
Dlatego tak ważne dla bezpieczeństwa organizacji jest rozwiązanie do uwierzytelniania. To ono jest pomostem między użytkownikiem a organizacją. Bez względu na to, jak dobrze nasz zamek (organizacja) jest chroniony, cyberprzestępcy znajdą ten pomost, a pracownicy przeprowadzą ich przez niego do celu. Dlatego w obszarze uwierzytelniania ważne jest przyjęcie zasady Zero-Trust: nigdy nie ufaj i zawsze weryfikuj.
Czynniki, które należy wziąć pod uwagę przy wyborze rozwiązania do uwierzytelniania to:
- Doświadczenie użytkownika
- Bezpieczeństwo
- Wydajność
- Zgodność z regulacjami (Compliance)
- Dostępność (Uptime)
Przemyślane wykorzystanie nowych technologii
Pozostaje jeszcze jedna, często pomijana kwestia związana z wyborem narzędzi zabezpieczających: jak przyszłościowe jest rozwiązanie? Zespoły IT powinny zawsze patrzeć w przyszłość i polegać na rozwiązaniach, które będą mogły funkcjonować przez wiele lat. Jest to szczególnie ważne w przypadku rozwiązań do uwierzytelniania, które muszą zapewnić obsługę wielu różnych platform w organizacji – zarówno aktualnych, jak i tych wdrażanych w przyszłości.
Przedsiębiorstwa nie powinny obawiać się usług w chmurze ani wdrażania nowych technologii. Potrzebują jednak przemyślanego systemu weryfikacji, aby wybrać odpowiednie produkty i usługi. Prawdopodobnie najważniejszą technologią dla każdego przedsiębiorstwa pod względem bezpieczeństwa danych jest rozwiązanie do uwierzytelniania – to ono kontroluje dostęp do wszystkich sieci i zasobów. Dlatego wybierając rozwiązanie do uwierzytelniania, należy z rozwagą analizować dostępne rozwiązania i wybrać takie, które zapewni najlepszą równowagę pomiędzy użytecznością, bezpieczeństwem i kosztami.
Secret Double Octopus – bezhasłowe uwierzytelnianie
Przestarzałe technologie uwierzytelniania za pomocą haseł nie sprawdzają się w środowisku biznesowym i nie zapewniają ochrony przed współczesnymi cyberzagrożeniami. Paradoksalnie to hasło stało się najsłabszym punktem w zabezpieczeniach. A może transformacja cyfrowa jest dobrym momentem, żeby zrezygnować z używania haseł w organizacji? Warto więc zwrócić uwagę na rozwiązania firmy Secret Double Octopus, która opracowała technologię bezhasłowego uwierzytelniania. Rozwiązania Secret Double Octopus pozwalają całkowicie wyeliminować konieczność używania haseł w organizacji. Jest to obecnie jedyne dostępne rozwiązanie, które wykorzystuje protokół kryptograficzny Secret Sharing w celu wyeliminowania wszystkich słabych punktów bezpieczeństwa uwierzytelniania. Technologia Secret Double Octopus zapewnia korzyści dla bezpieczeństwa (np. odporność na wycieki haseł czy ochrona przed większością technik stosowanych przez cyberprzestępców), poprawia komfort użytkownika, a także uwalnia organizację od złożonego i trudnego zarządzania hasłami i bezpieczeństwem danych uwierzytelniających oraz obniża koszty z tym związane. Ponadto uwierzytelnianie bezhasłowe spełnia wszystkie wymagania stawiane nowoczesnym rozwiązaniom do uwierzytelniania: jest zgodne z metodą zerowego zaufana (Zero Trust), zapewnia wysoki poziom bezpieczeństwa, łatwą integrację i skalowalność oraz przyjazną dla użytkownika obsługę.
Tekst źródłowy: https://doubleoctopus.com/blog/digital-transformation/