Wachtwoordenbeleid, een essentieel onderdeel van cybersecurity
Gebruikersnamen en wachtwoorden. Zowel zakelijk als privé worden het er steeds meer. Het onthouden van al deze wachtwoorden is voor veel mensen een uitdaging. Een veelvuldig gebruikte oplossing is het hetzelfde wachtwoord op meerdere verschillende (online) accounts / websites gebruiken. Vanuit praktisch oogpunt een makkelijke en goed werkbare oplossing. De risico’s die dit met zich meebrengt zijn echter groot. Bekijk onderstaande afbeelding maar eens. Hackers zijn in staat om eenvoudige wachtwoorden in een mum van tijd te kraken. Als dit wachtwoord vervolgens ook nog eens gebruikt wordt op meerdere platformen, kunnen de gevolgen heel groot zijn.
Cybersecurity begint privé
Voor zover de vorige alinea dit nog niet duidelijk had gemaakt: cybersecurity begint privé. Mensen gebruiken zakelijk en privé namelijk geregeld hetzelfde wachtwoord. Bij een eventuele hack kan dit vervolgens een rimpeleffect veroorzaken over alle platformen waar ditzelfde wachtwoord gebruikt wordt. Deze verstrengeling tussen de privé- en zakelijke omgeving maakt dat heel veel bedrijven last hebben van een ‘single point of failure’. Bijvoorbeeld de CFO die een standaard wachtwoord gebruikt om op allerlei platformen in te loggen. Het raden of hacken van het wachtwoord kan dan catastrofale gevolgen hebben voor een organisatie.
Bewustwording en een wachtwoordenbeleid
Binnen een groeiend aantal organisaties is men zich er van bewust dat er ‘iets’ gedaan moet worden met wachtwoorden. Maar wat? En hoe? Nieuwe medewerkers krijgen bij aanvang van hun dienstverband vaak een ingewikkeld wachtwoord maar mogen / kunnen deze direct aanpassen in een eigen wachtwoord. Verdere toelichting, instructie of afspraken hoe hier mee om te gaan ontbreekt over het algemeen.
De oplossing waarmee bedrijven structureel risico’s kunnen beperken is tweeledig. Enerzijds gaat het om het creëren van bewustwording. De bewustwording dat het niet handig is om voor Zalando en Exact Online hetzelfde wachtwoord te gebruiken. Dit lijkt heel logisch maar het is wel belangrijk dat iedereen hier bij stilstaat en zich bewust is van de risico’s.
Anderzijds kunnen bedrijven gaan werken met een wachtwoordenbeleid. Hiermee worden de kaders waar iedereen zich aan moet houden vastgelegd en gefaciliteerd. Leg de verantwoording niet meer bij de medewerkers zelf. Natuurlijk is een medewerker te vertrouwen maar onbekend maakt onbemind. Daarnaast zijn de risico's voor de gehele organisatie dusdanig groot, dat je dit niet bij de individuele medewerker wil neerleggen. Een wachtwoordenbeleid biedt echter de mogelijkheid om duidelijk vast te leggen wie, waarom en hoe iemand kan inloggen. Daarnaast biedt het de mogelijkheid om iemand te wijzen op de bestaande afspraken en kunnen er zelfs consequenties worden verbonden aan het niet naleven van het beleid.
Wat is een wachtwoordenbeleid?
Binnen organisaties is geregeld niet bekend hoe gebruikers omgaan met wachtwoorden die ze krijgen of aanmaken. Bij het vormgeven van een wachtwoordenbeleid is de basis. In het beleid wordt vastgelegd hoe met wachtwoorden wordt omgegaan, waar wachtwoorden worden opgeslagen en wie er toegang heeft.
Als we dit iets meer uitwerken op detailniveau kun je hierbij denken aan restricties (op het gebied van lengte en tekens) op wachtwoorden en bijvoorbeeld een wachtwoordmanager waar wachtwoorden kunnen worden opgeslagen.
Uiteraard zijn er verschillende manieren om het beleid vorm te geven, variërend van meer flexibel tot rigide. Kies je bijvoorbeeld voor het gebruik van een wachtwoordmanager horend bij de browser of kies je voor een ‘cloud wachtwoordmanager’ zoals bijvoorbeeld Lastpass? Het is belangrijk om vooraf de voor- en nadelen af te wegen en op basis hiervan een keuze te maken voor beleid wat past bij de organisatie.
Geen ‘totaaloplossing’
Als het gaat om wachtwoordenbeleid (en cybersecurity in zijn algemeenheid) is het belangrijk om te realiseren dat niets 100% veilig is. Er bestaat geen totaaloplossing die alle gevaren wegneemt. Het wachtwoordenbeleid is een belangrijk onderdeel van de richtlijnen ten aanzien van het totale IT-beveiliging beleid. Vast staat dat elke organisatie hiermee bezig dient te zijn. Of het nu gaat om de zakelijke dienstverlening, zorg of handelsonderneming, de gevolgen van een hack zijn niet te overzien. Wat je wel weet is dat de financiële gevolgen enorm groot zijn en een goed wachtwoordenbeleid niet al te veel moeite kost en relatief eenvoudig is in te regelen.
Ben jij binnen jouw organisatie al enige tijd aan het nadenken over een manier om, om te gaan met de wirwar van wachtwoorden? We zijn benieuwd naar je ideeën en wisselen graag eens van gedachten over een passende oplossing!
Afspraak maken
Wil je meer weten over de mogelijkheden die wij jullie kunnen bieden? Plan dan vrijblijvend een afspraak in met één van onze specialisten!
