Agencja CISA wydaje nowe zalecenia związane z SSO

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) opublikowała w zeszłym tygodniu zalecenia dotyczące wyzwań związanych z wdrażaniem usług SSO (single sign-on) przez małe i średnie przedsiębiorstwa.

Zalecenia opierają się na badaniu CISA, w którym uczestniczyły grupy fokusowe z interesariuszami, w tym małymi i średnimi firmami, dostawcami usług SSO, dostawcami usług zarządzanych (MSP) i audytorami sieci. Badanie miało na celu określenie postaw zainteresowanych stron wobec przyjęcia SSO przez małe i średnie firmy oraz potencjalnych barier w tym procesie. Wydane zalecenia oparte zostały również na istniejącej literaturze dotyczącej stosowania SSO w małych i średnich przedsiębiorstwach.

Badanie pomogło zidentyfikować kilka pułapek, zarówno finansowych, jak i pozafinansowych,  prowadzących do wahań wśród organizacji. Ponadto grupy fokusowe ujawniły, że małe i średnie przedsiębiorstwa oraz dostawcy usług SSO nie dostosowali swoich perspektyw w zakresie korzyści płynących z SSO, jego kosztów i wiedzy technicznej niezbędnej do jego skutecznego wdrożenia.

Korzyści z SSO dla małych i średnich firm

W publikacji CISA podkreślono, że logowanie jednokrotne może na kilka sposobów znacząco zwiększyć cyberbezpieczeństwo małych i średnich przedsiębiorstw.

Agencja twierdzi, że logowanie jednokrotne zapewnia usprawnioną i scentralizowaną formę zarządzania tożsamością, która użytkownikom ułatwia dostęp do ich kont, a działom IT – zarządzanie cyklem życia konta użytkownika. Bez SSO wiele małych i średnich firm korzysta z arkuszy kalkulacyjnych do ręcznego śledzenia kont zakładanych w aplikacjach, a użytkownicy są bardziej podatni na zapominanie haseł lub ponowne używanie tego samego hasła.

Pomimo korzyści płynących z SSO CISA odkryło, że wiele małych i średnich przedsiębiorstw nie uważa wdrożenia takich usług za konieczne ani priorytetowe, co sugeruje, że większa świadomość i dostęp do informacji na temat korzyści z SSO to pierwszy krok w kierunku zachęcania do jego przyjęcia. Jednak nawet nieduże firmy, które uznają znaczenie SSO i chcą je wdrożyć, borykają się z ograniczeniami finansowymi i technicznymi, które ostatecznie mogą im to uniemożliwić.

„Małe i średnie firmy wahają się przed wczesnym wdrażaniem nowych technologii, ponieważ ich głównym celem jest maksymalizacja zysków. Często jednak stają przed wyzwaniami związanymi z określeniem, w jakie technologie zainwestować, oceną korzyści z tych inwestycji i znalezieniem wiarygodnych dostawców oferujących rozsądne ceny” – czytamy w dokumencie CISA.

Dostawców zachęcano do zwiększenia dostępności SSO

Powszechną barierą uniemożliwiającą przyjęcie technologii SSO przez małe i średnie przedsiębiorstwa jest fakt, że logowanie jednokrotne jest często dostępne wyłącznie w pakiecie z innymi usługami skierowanymi do przedsiębiorstw o wysokich kosztach, przeznaczonymi dla większych firm, zatrudniających więcej pracowników. Ten nieproporcjonalnie wyższy koszt jest czasami nazywany „podatkiem SSO”.

W związku z tym CISA zaleciła dostawcom oddzielenie SSO od innych kosztownych usług (np. VPN), które przyniosą mniejsze korzyści dla małych i średnich firm, i zaoferowanie bardziej elastycznych usług SSO dostosowanych do firm zatrudniających mniejszą liczbę pracowników.

Kolejnym problemem małych organizacji jest brak wiedzy technicznej i zasobów potrzebnych do skutecznego wdrożenia systemu SSO. Badanie CISA wykazało, że dostawcy zazwyczaj wierzą, że ich instrukcje są wystarczające, aby umożliwić klientom skuteczne wdrożenie usług SSO. Z drugiej strony małe i średnie firmy zgłaszały trudności i zamieszanie podczas wdrażania SSO ze względu na brak odpowiedniego wsparcia dostawcy.

Ponadto nieduże przedsiębiorstwa mogą mieć trudności z wyborem usługi SSO zgodnej z ich własnymi starszymi systemami, co pogłębia problem. W związku z tym CISA zaleciła dostawcom bliższą współpracę z klientami z małych i średnich firm, zapewniając bardziej bezpośrednie informacje i wsparcie techniczne, aby zapewnić pomyślne wdrożenie usług SSO.

Zalecenia CISA i wezwanie do wsparcia przez organy państwowe

Jak stwierdziła CISA, małe i średnie przedsiębiorstwa powinny dokładnie ocenić swoje potrzeby i ograniczenia podczas planowania wdrożenia SSO, biorąc pod uwagę liczbę użytkowników, liczbę aplikacji, wymogi bezpieczeństwa i budżet. Rozwiązania oparte na chmurze, które wymagają mniej rozbudowanej infrastruktury, zostały uznane za potencjalnie tańszą opcję dla małych i średnich firm o ograniczonych budżetach.

CISA zachęcała małe i średnie firmy do oceny i porównania potencjalnych dostawców w oparciu o oferowane funkcje i kompatybilność z obecnymi systemami organizacji oraz rozważenie rozpoczęcia programu pilotażowego obejmującego mniejszą liczbę użytkowników przed próbą wdrożenia jednokrotnego logowania w całej organizacji. Odpowiednie szkolenie personelu i ciągłe monitorowanie systemu SSO są również uznawane za kluczowe strategie skutecznego przyjęcia SSO.

W dokumencie zachęcano także agencje rządowe i organizacje non-profit do wspierania małych i średnich firm we wdrażaniu SSO i czerpaniu korzyści z bezpieczeństwa. Agencje rządowe i organizacje non-profit mogą odegrać główną rolę w edukowaniu przedsiębiorstw na temat korzyści i technicznych aspektów wdrożenia SSO, a także zapewnić wsparcie w wyborze odpowiedniego rozwiązania dla danego biznesu poprzez publikowanie przewodników dla kupujących.

Zachęty finansowe, takie jak dotacje rządowe, mogą być również skutecznym sposobem zachęcania mniejszych przedsiębiorstw do przyjmowania SSO. Datki finansowe, wraz z innymi środkami oszczędzającymi koszty, jak oferowanie bezpłatnych usług doradczych, mogą zdjąć część obciążeń finansowych z małych i średnich przedsiębiorstw i pchnąć je do zrobienia kroku w kierunku większego bezpieczeństwa.

Podziel się z innymi tym artykułem!