Administrar contraseñas y datos críticos en una pequeña empresa con un enfoque en la continuidad del negocio

3

Trabajo con una pequeña startup al comienzo de su ciclo de vida. Recientemente planteé algunas preocupaciones de seguridad relacionadas con la continuidad del negocio y la preparación para emergencias.

He estado tratando de defender la importancia de tener un plan para la respuesta a incidentes, como la posibilidad de tener accesos críticos y contraseñas u otras credenciales accesibles en caso de un incidente de seguridad o catástrofe (también incluye documentos o procedimientos que contienen información confidencial para cubrir aspectos tales como la necesidad de redistribuir nuestro entorno) o tener acceso a ciertos servicios o cuentas importantes sin depender de la disponibilidad de personas específicas que poseen esas cuentas, ya que somos un equipo multinacional. Actualmente, no tenemos mucha organización con respecto a esta área. Hay cuentas con los propietarios que ya no participan en los equipos y muchas instancias de "si se rompe, tenemos que esperar que este chico en inserte el país aquí esté disponible a la mitad de la noche". / p>

Revisé algunas opciones, y los administradores de contraseñas parecen ajustarse a la cuenta para al menos algo de esto. Algunas personas recomendaron KeePassX en preguntas relacionadas, pero no puedo decir si sería útil para varios miembros del equipo y tendría que investigarlo para ver si es algo que sea fácil de transportar. No parece haber mucha documentación y partes de su sitio web están caídas, lo que me hace preguntarme qué tan legítimo es. Personalmente uso 1Password y parece que tienen un plan centrado en el equipo que incluye un panel de administración para administrar los permisos y el acceso, pero carece de opciones de auditoría como los registros de cambios / acceso sin actualizar al plan de negocios al doble del costo. El costo es un factor importante en cualquier solución, ya que cualquier aumento de presupuesto (incluso los más pequeños) es difícil de negociar en este momento, pero si hay una solución costosa que es la mejor, puedo lanzarla y esperar lo mejor.

¿Alguien sabe alguna opción mejor?
¿Estoy pensando en la dirección correcta o me estoy enfocando demasiado en los administradores de contraseñas donde otra solución podría encajar mejor? ¿Estoy creando problemas de seguridad adicionales al tratar de colocar toda esta información confidencial en un solo lugar?
¿Es mejor considerar una solución física (por ejemplo, comprar una caja fuerte) aunque ninguno de nosotros esté en el mismo lugar?

Mi objetivo es entender cuáles son mis opciones, qué opción / servicio / producto se ajusta mejor a nuestras necesidades, investigar cómo usar las mejores opciones y presentar esta decisión final a mis superiores.

    
pregunta J.Long 15.05.2018 - 20:05
fuente

1 respuesta

2

Debido a que el costo es una preocupación, entonces debe poder calcular el costo del tiempo de inactividad en una variedad de escenarios. Primero debe realizar ese cálculo, luego puede comparar los costos de las herramientas y determinar si valen la pena.

Es posible que descubra que el tiempo de inactividad no tiene costo, incluso el tiempo de inactividad extendido, sino que los jefes o partes interesadas podrían ponerse de mal humor si el tiempo de inactividad fuera mayor que su zona de confort. He estado en pequeñas empresas donde esto era cierto.

Si el tiempo de inactividad no tiene un costo, no tiene necesidad de resolver este problema porque no hay ningún problema. Si los jefes / partes interesadas se ponen de mal humor, entonces usted les hace pagar por la herramienta que resolverá su mal humor.

Tienes dos soluciones básicas:

  1. compartir / guardar contraseñas
  2. use una herramienta que actúa como un servicio de inicio de sesión que concede acceso a quien lo necesite

Puede poner las contraseñas en una caja fuerte en línea o física, escríbalas en hojas de cálculo, etc. Esto es barato, fácil y efectivo. Usted paga por los controles de seguridad para mantener las contraseñas a salvo de accesos no autorizados. Para esta opción, solo necesita decidir los costos, las características y la seguridad. Es un análisis bastante básico para que usted determine el mejor curso de acción. (Para la caja fuerte física, ¿quién tiene la combinación? Espera que estén disponibles en medio de la noche. Si cifra un archivo de contraseña, ¿quién tiene la clave de descifrado? Y así sucesivamente ...)

La otra opción es tener un servicio general (IAM, Cloud Services Broker, etc.) que pueda acceder a todo, y los usuarios se autentiquen en esta herramienta para acceder a todas las cuentas que necesita. Si su equipo de repente necesita acceder a algo en una emergencia, simplemente le dice a la herramienta que cambie sus niveles de acceso y que está en camino. Este es el enfoque más flexible y seguro. También es el más costoso (en mi experiencia).

Por lo tanto, no te estás perdiendo opciones. Solo necesita determinar los costos del tiempo de inactividad, los niveles de comodidad de sus partes interesadas y cuál de las dos opciones satisface mejor sus necesidades.

    
respondido por el schroeder 15.05.2018 - 21:16
fuente

Lea otras preguntas en las etiquetas