В документа на CISA „Secure by Design“ призоваваме производителите на софтуер да обмислят как техните бизнес практики могат неволно да намалят сигурността на техните клиенти. Препоръчваме основните функции за сигурност да бъдат налични като част от основното предлагане на услуги. Не трябва да се налага потребителите да плащат по-високи цени, скрити доплащания или допълнителни такси за основна хигиена на сигурността. По-специално споменаваме, че възможността за единно влизане в системата следва да бъде налична по подразбиране като част от основната оферта – потребителите не трябва да плащат обременителен „данък SSO“, за да получат тази необходима мярка за сигурност.
Въпреки че може да изглежда разумно да се таксува повече за някои функции, тази практика може да попречи на подобренията в сигурността, като обезкуражи организациите да приемат стабилна система за управление на идентичността и достъпа (IAM). Организациите, включително тези, които са под прага на бедността, заслужават основна хигиена на сигурността. Ние твърдим, че сигурността не трябва да се оценява като луксозна стока, а вместо това трябва да се счита за право на клиента.
Но данъкът за SSO не е единствената пречка пред приемането на SSO от малките и средните предприятия (МСП). Клиентите имат различни възгледи за SSO. Някои малки и средни предприятия виждат в него добавена стойност, която подобрява тяхната позиция по отношение на сигурността, докато други не вярват, че разходите за SSO осигуряват значително оперативно подобрение и съизмерима възвръщаемост. Последното мнение отразява необходимостта от ясни послания за предимствата на SSO. Искахме да научим повече за възприемането на SSO в малките и средните предприятия и започнахме работа по доклад, който да хвърли по-ярка светлина върху тази тема. Проведохме фокус групи с малки и средни предприятия, за да научим доколко добре разбират SSO и ползите от него, да чуем за потребителския им опит с внедряването и поддържането на SSO и да разберем пречките, които малките и средните предприятия срещат при внедряването на програма за SSO.
В доклада се посочват следните основни констатации:
Първо, малките предприятия често избират ръчни пароли и практически подходи вместо опция за SSO. Тези методи обикновено имат по-ниски първоначални разходи за приемане, но тази разлика в първоначалните разходи не отразява скритите административни разходи, свързани с поддържането на ръчни пароли. Основната причина за разликата в разходите за закупуване на SSO е, че SSO често се предлага само като първокласна услуга на ниво предприятие. Такава услуга за предприятие може да струва значително повече на потребител, отколкото услуга от по-ниско ниво, която не разполага със SSO и обикновено изисква минимален брой потребители. Това могат да бъдат значителни пречки за много организации.
На второ място, липсата на технически познания и информираност представлява друга значителна пречка пред приемането на SSO. Доставчиците са уверени, че предлагат достатъчно материали за обучение и ръководства за работа, за да подпомогнат клиентите в ефективното внедряване на технологията SSO. Клиентите обаче имат различни възприятия и потребителски опит. Клиентите виждат SSO като сложно решение с многобройни движещи се части, които могат да попречат на успешното му внедряване. Тези предизвикателства, свързани с внедряването, трябва да бъдат преодолени, преди клиентите да обмислят приемането на SSO.
Трето, клиентите са в различна степен удовлетворени от точността и пълнотата на материалите и инструкциите за поддръжка. Дори някои от по-опитните и технически грамотни потребители съобщават, че е необходимо да подават многобройни заявки за поддръжка и да влизат в многобройни взаимодействия с персонала за поддръжка на клиентите на техния доставчик, за да попълнят пропуските или да отстранят неточностите и пропуските. За малките и средните предприятия с ограничени ресурси алтернативната цена на това време и затрудненията с материалите за поддръжка правят стремежа към правилно внедряване на SSO прекалено скъп и водят до отрицателен опит за потребителите.
Ясно е, че трябва да се работи не само върху икономическите аспекти, но и върху потребителския опит, структурата на предлагането на SSO услуги и дизайна на продукта, осведомеността за функциите, както и необходимите технически насоки и инструкции за правилно внедряване и поддръжка на SSO, за да се увеличи приемането от страна на малките и средните предприятия. Производителите трябва да признаят тези уникални предизвикателства за своите клиенти от малкия и средния бизнес и да конфигурират своите настройки, за да намалят оперативното триене и разочарованието. Това е в съответствие с Принцип 1 на Secure by Design: Поемете отговорност за резултатите от сигурността на клиентите. В същото време CISA ще продължи да повишава осведомеността за ползите от SSO. Заедно можем значително да подобрим сигурността и безопасността.
Целият доклад можете да изтеглите тук
Автори: Д-р Олга Ливингстън, старши икономист, и Боб Лорд, старши технически съветник, CISA
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.