So bekommen Sie Ihre Passwortrichtlinien mit Ihren Cybersecurity KPIs unter einen Hut

Als IT-Experte haben Sie die Aufgabe, den Wert Ihrer Cybersecurity-Investitionen zu messen (und letztendlich nachzuweisen). Aber wie zeigen Sie, dass Ihre Sicherheitsbemühungen und -ausgaben die gewünschte Wirkung haben? Eine Möglichkeit besteht darin, Ihre Cybersecurity-Bemühungen, einschließlich Passwortrichtlinien, mit den Key Performance Indicators (KPIs) Ihres Unternehmens in Einklang zu bringen.

In diesem Beitrag werden wir uns einige der gängigsten Cybersecurity-Taktiken ansehen, von Mitarbeiterschulungen bis hin zur Verwaltung von Kontoberechtigungen, und die damit verbundenen KPIs untersuchen. Abschließend werden wir erörtern, wie Software zur Passwortüberwachung helfen kann, zusätzliche Schwachstellen in Ihrem Unternehmen zu identifizieren.

Taktik: Laufende Cybersecurity-Schulungen

Hacker und böswillige Akteure entwickeln ständig neue Strategien, um sich unbefugten Zugriff auf sensible Informationen zu verschaffen. Selbst mit den besten Sicherheitstools müssen Unternehmen ihre Mitarbeiter in ständiger Alarmbereitschaft halten. Dies kann durch fortlaufende und personalisierte Cybersecurity-Schulungen erreicht werden, die praktische Erfahrungen bei der erfolgreichen Identifizierung der häufigsten und gezielten Angriffe ermöglichen.

Sicherzustellen, dass Ihre Mitarbeiter angemessen geschult sind, kann das Risiko von Sicherheitsverletzungen aufgrund von Unwissenheit oder menschlichem Versagen verringern.

Zugehörige KPIs

• Bewertungen vor und nach der Schulung: Zeigt, ob die Teilnehmer etwas aus dem Cybersecurity-Schulungsprogramm Ihres Unternehmens lernen. Höhere Punktzahlen bei Bewertungen nach der Schulung deuten darauf hin, dass Ihre Schulungsaktivitäten effektiv sind.
• Phishing-Klickraten: Gibt den Prozentsatz der Mitarbeiter an, die während der Schulung auf die Links aus simulierten Phishing-E-Mails geklickt haben. Je niedriger die Klickrate, desto besser ist Ihr Personal gerüstet, um Phishing-Versuche effektiv zu erkennen (und zu vermeiden).
• Social Engineering Awareness: Gezielte Bewertungen, um die Fähigkeit Ihrer Mitarbeiter zu messen, Social-Engineering-Angriffe effektiv zu erkennen und zu vermeiden.

Taktik: Überwachung der Multi-Faktor-Authentifizierung (MFA)

Als IT-Experte wissen Sie, wie wichtig die Multi-Faktor-Authentifizierung ist, um Cyberangriffe abzuwehren. Aber es reicht nicht aus, sie einfach in Ihrem Unternehmen einzusetzen, Sie müssen sie auch überwachen, um sicherzustellen, dass die Mitarbeiter sie nutzen. Wenn Sie Notfall-Admin-Konten oder andere Konten haben, die von Ihren MFA-Anforderungen ausgenommen sind, behalten Sie diese genau im Auge, um sicherzustellen, dass sie nur für den vorgesehenen Zweck verwendet werden.

Durch die Verfolgung und Überwachung der MFA-Nutzung reduzieren Sie das Risiko unbefugten Zugriffs, identifizieren alle Sicherheitslücken, die behoben werden müssen, und erfüllen die Anforderungen der Einhaltung von Vorschriften.

Zugehörige KPIs

• MFA-Akzeptanzrate: Zeigt den Prozentsatz der Benutzer an, die MFA regelmäßig verwenden. Je höher die Rate, desto mehr Benutzer verwenden aktiv die Multi-Faktor-Authentifizierung, was Ihre allgemeine Sicherheit stärkt.
• MFA-Erfolgs-/Fehler-Authentifizierungsraten: Zeigt den Prozentsatz der MFA-Authentifizierungsversuche, die erfolgreich sind, und die Anzahl der fehlgeschlagenen Versuche. Eine hohe Erfolgsrate zeigt, dass der MFA-Prozess wie er sollte funktioniert und keine Probleme oder unnötige Reibungsverluste für die Benutzer verursacht. Eine hohe Fehlerquote deutet darauf hin, dass Benutzer auf Probleme stoßen, und Sie müssen möglicherweise Ihre Schulung verbessern, Ihre MFA-Richtlinien anpassen oder andere technische Probleme beheben.
• MFA-Bypass-Rate: Zeigt den Prozentsatz der Benutzer an, die von MFA ausgenommen sind. Eine hohe Bypass-Rate sollte stutzig machen und möglicherweise auf Richtlinienverstöße oder Sicherheitsschwächen hindeuten.

Taktik: Effektives Passwortmanagement

Die Multi-Faktor-Authentifizierung ist ein hervorragendes Werkzeug in Ihrem Sicherheits-Werkzeugkasten, aber sie funktioniert nicht ohne effektives Passwortmanagement. Als IT-Experte wissen Sie, wie wichtig starke Passwörter sind, um Cyberkriminelle abzuwehren und die Sicherheit aufrechtzuerhalten.

Die Einführung effektiver Passwortmanagementpraktiken erhöht die allgemeine Sicherheit, steigert die betriebliche Effizienz und stellt sicher, dass Ihr Unternehmen Industriestandards einhält, einschließlich GDPR und HIPAA.

Zugehörige KPIs

• Password policy compliance: How compliant are your password policy requirements against various compliance standards, such the NIST password standards.  
• Überprüfung kompromittierter Passwörter: Die Anzahl der Benutzerkonten, die ein bekanntes oder kompromittiertes Passwort verwenden. Dies hilft Ihnen, die Widerstandsfähigkeit Ihres Unternehmens gegen credentialbasierte Angriffe einzuschätzen.
• Password reset requests: The frequency of user-driven password reset requests. The higher the number, the greater the number of forgotten passwords, and opportunity for user frustration. You may need to revisit your password complexity requirements, or explore the use of passphrases which are both stronger, and easier to remember.   

Taktik: Verwaltung von Kontoberechtigungen

Passwortmanagement ist großartig, aber Ihr IT-Team muss auch Kontoberechtigungen verwalten, um zu kontrollieren, welche Benutzer auf bestimmte Daten und Systeme zugreifen können. Ihr Team muss sicherstellen, dass Benutzer nur Zugriff auf die Ordner, Dateien und Datenbanken haben, die sie für ihre Arbeit benötigen, und regelmäßig die Einstellungen für Kontoberechtigungen für hochsensible Dateien und Systeme überprüfen.

Die effektive Verwaltung von Kontoberechtigungen in Ihrem Unternehmen verbessert Ihre Sicherheit, vereinfacht die Überwachung und reduziert die Bedrohung interner Datenverstöße.

Zugehörige KPIs

• Vorfälle mit Eskalation von Berechtigungen: Zeigt die Anzahl der Fälle, in denen Benutzer oder Konten erfolgreich unbefugt erhöhte Berechtigungen erhalten haben. Je höher die Anzahl, desto höher die Schwachstellen in Ihren Richtlinien und Prozessen zur Berechtigungsverwaltung.
• Überprüfungszykluszeit für Berechtigungen: Gibt die durchschnittliche Zeit an, die die IT-Abteilung benötigt, um Benutzerrollen/Berechtigungen zu überprüfen und zu aktualisieren. Je schneller die Überprüfungszykluszeit, desto effektiver ist Ihre IT-Abteilung bei der Anpassung von Berechtigungen, wenn sich Benutzerrollen oder Verantwortlichkeiten ändern.
• Zeit bis zum Entzug von Berechtigungen: Hebt die durchschnittliche Zeit hervor, die die IT-Abteilung benötigt, um die Berechtigungen oder den Zugriff eines Benutzers zu widerrufen, wenn dies erforderlich ist – beispielsweise, wenn ein Benutzer entlassen oder in eine andere Rolle versetzt wird. Je schneller die Widerrufszeit, desto geringer die Wahrscheinlichkeit, dass ein Benutzer seine Berechtigungen missbrauchen kann.

Messen der Effektivität von Passwortrichtlinien und Sicherheitsprogrammen

Password security is vital to any organization’s cyber defence efforts. And the right password auditing software can help your IT team measure the effectiveness of existing security programs. Specops Password Auditor is a FREE read-only program that scans your Active Directory and identifies password-related vulnerabilities. The tool can be used to generate interactive reports that contain user and password policy information, as well as executive summary reports that can be shared with relevant stakeholders in your organization. The executive report can be generated at any time and provides helpful metrics to evaluate the effectiveness of your password policies.  

Specops Password Auditor kann Ihnen auch helfen:

• Measure efforts towards password compliance: Determine if your organization’s password policies are aligned with various compliance requirements. For more information, read: Password Policy Compliance Report in Specops Password Auditor 
• Validate efforts to eliminate breached passwords: Identify the number of breached/leaked passwords used in the organization. For more information, read: Password freeware finds accounts using leaked passwords 
• Audit least privilege implementation and stale accounts: Get a full view of the administrator accounts in an organization’s domain, including stale/inactive admin accounts. For more information, read: Stale user accounts report in Active Directory  

Learn more about Specops Password Auditor, or contact us to speak with an expert.