Yritystason salasananhallinnan käyttöönotto ei tapahdu automaattisesti. Yritys voi valita oikean ratkaisun, maksaa käyttöpaikoista, ilmoittaa käyttöönotosta ja silti päätyä tilanteeseen, jossa työntekijät tallentavat salasanoja selaimiin, jakavat kirjautumistietoja chatin kautta tai kirjoittavat salasanoja muistiin.

Todellinen käyttöönotto-ongelma ilmenee vasta ostopäätöksen jälkeen. Kun IT-päällikkö, COO tai perustaja investoi yrityksen salasananhallintaan, asennus on vasta ensimmäinen osa työtä. Omaksuminen ratkaisee sen, muuttaako investointi päivittäistä toimintaa.

Jos haluatte palvelun tulevan omaksutuksi, yrityksenne salasananhallinnan on helpotettava työntekoa. Tiimin jäsenten on edelleen suojattava ja muistettava ensisijainen salasanansa, mutta heidän pitäisi voida iloita siitä, ettei heidän enää tarvitse kantaa päivittäisen kirjautumistietojen hallinnan koko taakkaa pelkän muistin tai huonojen tapojen varassa. Jos käyttöönotto tuntuu vain yhdeltä tietoturvatehtävältä lisää jo muutenkin kiireiseen päivään, palvelun omaksuminen voi pysähtyä.

Selitämme, miksi salasananhallinnan omaksuminen epäonnistuu, miten valita salasananhallinta, jota tiiminne todella käyttää, ja miten se otetaan käyttöön käytännöllisellä tavalla. Siinä käsitellään myös sitä, mitä IT-tiimit voivat mitata, mitä käytännöillä voidaan ja mitä ei voida valvoa, ja miten Proton Pass for Business helpottaa käyttöönottoa pienissä ja kasvavissa tiimeissä.

Miksi salasananhallinnan omaksuminen epäonnistuu

3 estettä salasananhallinnan omaksumiselle

Miten valita salasananhallinta, jota tiiminne todella käyttää

Miten Proton Pass for Business tukee tiimin käyttöönottoa

Käytännön askeleet salasananhallinnan käyttöönottoon

Miten mitata salasananhallinnan omaksumista

Miksi salasananhallinnan omaksuminen epäonnistuu

Työntekijät eivät välttele salasananhallintaohjelmia siksi, että he haluaisivat heikentää tietoturvaanne. He välttelevät niitä, koska heidän nykyiset tapansa auttavat heitä jo selviytymään työpäivästä.

Selaimeen tallennetut salasanat, uudelleenkäytetyt kirjautumistiedot, muistiinpanot, laskentataulukot ja vanhat viestiketjut tuntuvat kaikki nopeammilta ja kätevämmiltä kuin uuden prosessin opettelu, vaikka ne aiheuttavatkin riskejä. Jos salasanaholvi otetaan käyttöön vain käytäntöjen valvonnan välineenä eikä asiana, joka todella helpottaa heidän päivittäistä työtään, työntekijät saattavat pitää sitä vain yhtenä uutena hallittavana tehtävänä.

Omaksumisesta tulee helpompaa, kun käyttöönotto yhdistää tietoturvan ja mukavuuden. Viestinnällä on tässä vaiheessa suuri merkitys: teidän on tehtävä tiiminne jäsenille selväksi, että tämä auttaa heitä kirjautumaan sisään nopeammin, luomaan vahvempia salasanoja ilman ylimääräistä vaivaa ja jakamaan tietoja turvallisesti ilman chateissa tai asiakirjoissa kaivelemista.

Kolme estettä salasananhallinnan omaksumiselle

Salasananhallinnan omaksuminen törmää yleensä tiettyihin esteisiin: inertiaan, opettelun vaatimaan vaivaan ja skeptisyyteen.

1. Inertia: ihmisillä on jo oma järjestelmänsä

Vanhat tottumukset aiheuttavat inertiaa, mikä estää uuden työkalun ottamisen käyttöön. Työntekijät saattavat jo tukeutua selaimeen tallennettuihin tai uudelleenkäytettyihin salasanoihin, henkilökohtaisiin salasananhallintaohjelmiin, laskentataulukoihin tai epävirallisiin tiimin käytäntöihin.

Nämä järjestelmät ovat riskialttiita, mutta ne tuntuvat tutuilta. Siirtyminen yrityksen hyväksymään salasananhallintaan vaatii ihmisiä muuttamaan kirjautumistietojensa tallennuspaikkaa, pääsyn jakamistapaa ja kirjautumistapaansa. Jopa nykyistä parempi ratkaisu voi tuntua häiritsevältä, jos käyttöönoton yhteydessä ei selitetä, mikä muuttuu ja miksi.

Siksi tiimin salasananhallinnan käyttöönoton tulisi alkaa käytännön siirtotuella. Näyttäkää työntekijöille, miten salasanat tuodaan, kaksoiskappaleet poistetaan, uudet kirjautumiset tallennetaan, automaattitäyttöä käytetään ja kirjautumistiedot järjestetään holveihin. Mitä nopeammin ihmiset huomaavat päivittäisen kirjautumisensa helpottuvan, sitä nopeammin vanha järjestelmä menettää vetovoimansa.

2. Opettelun vaatima vaiva: uusi ratkaisu tarvitsee selkeän ensimmäisen käyttökerran

Salasananhallinta voi olla yksinkertainen, mutta se on silti uusi työnkulku. Työntekijöiden on ymmärrettävä, missä salasanat sijaitsevat, miten automaattitäyttö toimii, miten luodaan salasana, miten pääsy jaetaan turvallisesti ja mitä tehdä, kun jokin ei toimi.

Pitkät koulutustilaisuudet ovat harvoin oikea ratkaisu. Lyhyt, tehtäväpohjainen käyttöönotto toimii paremmin. Esimerkiksi:

  • Tallentakaa ensimmäinen työsalasananne.
  • Luokaa uusi salasana yhdelle tilille.
  • Käyttäkää automaattitäyttöä kirjautumiseen.
  • Jakakaa yhdet kirjautumistiedot hallinnoidun holvin kautta.
  • Ottakaa kaksivaiheinen tunnistautuminen käyttöön salasananhallinnan tilillänne.

Tämä antaa työntekijöille hyödyllisen ensikokemuksen pitkän selityksen sijaan.

3. Skeptisyys: työntekijöiden on tiedettävä, minkä ongelman ratkaisu ratkaisee

Jotkut työntekijät saattavat pohtia, miksi he ylipäätään tarvitsevat salasananhallintaa. He saattavat uskoa salasanojensa olevan jo vahvoja, selaimen tallennustilan olevan riittävä tai salasanojen turvallisuuden olevan pääasiassa IT-tiimin asia.

Käyttöönoton pitäisi vastata tähän skeptisyyteen syyttelemättä ketään. Osoittakaa heille, että yrityksen käyttöoikeuksista on tullut liian monimutkaisia hallittavaksi turvallisesti pelkän muistin tai epävirallisten tapojen varassa.

Jos tarvitsette koulutusmateriaaleja, tämä opas siitä, miksi yrityksen salasananhallintaa on käytettävä, auttaa selittämään, että yritysten salasananhallintaohjelmat tarjoavat ylläpitäjille valvontamahdollisuuden ja auttavat työntekijöitä käyttämään ja jakamaan tietoja turvallisemmin. Tämä on se omaksumisviesti, joka tehoaa ihmisiin: tämä salasananhallinta tarkoittaa parempaa tietoturvaa ja helpompaa päivittäistä pääsyä.

Miten valita salasananhallinta, jota tiiminne todella käyttää

Omaksuminen alkaa ennen käyttöönottoa. Jos uutta salasananhallintaa on vaikea ymmärtää, sen käyttöönotto on hidasta tai se ei sovi työntekijöiden työtapoihin, sen käyttö kärsii. Hyvän yritystason salasananhallinnan tulisi vähentää tietoturvariskejä, helpottaa päivittäistä käyttöä ja pysyä riittävän yksinkertaisena, jotta työntekijät voivat käyttää sitä luottavaisin mielin.

Tässä ovat kriteerit, joilla on eniten merkitystä salasananhallinnan omaksumisessa.

Helppo käyttöönotto

Työntekijöiden pitäisi voida aloittaa salasananhallinnan käyttö nopeasti. Etsikää helppoa tilin asennusta, selkeää tietojen siirtämistä selaimista tai muista ratkaisuista, suoraviivaista holvien järjestelyä ja koulutusmateriaaleja, jotka eivät vaadi syvällistä tietoturvaosaamista.

Automaattitäyttö, joka toimii päivittäisissä työkaluissa

Automaattitäyttö on yksi vahvimmista käyttöönoton vetureista, koska työntekijät huomaavat sen kätevyyden välittömästi. Jos salasananhallinta auttaa heitä kirjautumaan sisään nopeammin, heillä on syy jatkaa sen käyttöä.

Työntekijöille tarkoitetun salasananhallinnan tulisi toimia eri selaimissa, laitteissa ja työkaluissa, joita ihmiset käyttävät päivittäin. Jos työntekijöiden on jatkuvasti kopioitava ja liitettävä kirjautumistietoja manuaalisesti, vanhat tottumukset voivat palata.

Turvallinen jakaminen, joka korvaa chat-pohjaisen jakamisen

Monet yritykset tukeutuvat jaettuihin tileihin, erityisesti sellaisten toimittajien työkalujen kohdallar, jotka eivät tue henkilökohtaisia tilejä tai roolipohjaisia käyttöoikeuksia. Jaettu pääsy on joskus välttämätöntä, mutta salasanoja ei pitäisi lähettää sähköpostitse, chateissa, tukipyynnöissä, kuvankaappauksissa tai asiakirjoissa.

Yrityksen salasananhallinta tarjoaa tiimeille turvallisemman tavan hallita tällaista pääsyä. Pääsy kirjautumistietoihin voidaan jakaa holvien kautta, rajata vain oikeille henkilöille ja mitätöidä, kun joku vaihtaa tehtävää tai lähtee yrityksestä.

Ylläpitäjän näkyvyys ilman raskasta vaivaa

IT-tiimit tarvitsevat riittävästi näkyvyyttä omaksumisen seuraamiseen ja riskien vähentämiseen. Tähän kuuluvat käyttöraportit, lokitiedot, käyttäjien hallinta, holvien käyttöoikeudet ja käytäntöjen hallinta. Tämän näkyvyyden ansiosta salasanojen hallinnasta tulee aktiivinen tietoturvatyökalu, joka auttaa tiimejä havaitsemaan puutteita, ohjaamaan käyttöönottoa ja vähentämään hallitsemattomaan pääsyyn liittyviä riskejä. Tämä auttaa teitä ymmärtämään, toimiiko käyttöönotto, mitkä tiimit tarvitsevat enemmän tukea ja missä kirjautumistiedot saattavat yhä olla hallitsemattomia.

Vahva tietoturvamalli

Käytettävyys ei saisi tapahtua luottamuksen kustannuksella. Salasananhallinta tallentaa yrityksen arkaluonteisia pääsytietoja, joten tiimien on ymmärrettävä, miten kirjautumistiedot suojataan, kuka niihin pääsee käsiksi ja voidaanko palveluntarjoajan tietoturvaväitteet todentaa. Yritykselle tämä tarkoittaa salausta, avoimia tietoturvakäytäntöjä, ylläpitäjän hallintatyökaluja ja selkeää mallia jaetuille käyttöoikeuksille.

Miten Proton Pass for Business tukee tiimin käyttöönottoa

Kun yrityksenne alkaa vertailla salasananhallintaohjelmia käyttöönottoa varten, kaikki yllä luetellut kriteerit on otettava huomioon. Ratkaisun on myös sovittava päivittäiseen työhön, rohkaistava todelliseen käyttöönottoon ja annettava IT-tiimille riittävästi hallintamahdollisuuksia ilman, että se luo lisää manuaalista työtä.

Proton Pass for Business on yrityksen salasananhallinta, joka tukee tätä siirtymää korvaamalla hajanaiset salasanatottumukset järjestelmällä, jota työntekijät voivat käyttää joka päivä. Tiimit voivat luoda vahvoja, yksilöllisiä salasanoja, tallentaa ne salattuihin holveihin, käyttää automaattitäyttöä, ottaa käyttöön 2FA-tunnistautumisen, tallentaa kertakäyttöisiä aikapohjaisia salasanoja (TOTP-koodeja) tarvittaessa ja jakaa käyttöoikeuksia turvallisesti sen sijaan, että kirjautumistietoja lähetettäisiin chatin, sähköpostin tai asiakirjojen kautta.

Tietoturvallinen IT-tiimien salasananhallinta tukee keskitettyä käyttäjähallintaa, turvallista jakamista, yksityiskohtaisia tapahtumalokeja, SCIM-provisiointia, SSO-integraatioita, yrityksen laajuisten tietoturvakäytäntöjen pakottamista, 2FA:n pakottamista ja salasanaterveyden valvontaa. Yhdessä nämä ominaisuudet auttavat tiimejä skaalaamaan käyttöönottoa, hallitsemaan pääsyoikeuksien muutoksia, vähentämään salasanojen leviämistä ja välttämään kirjautumistietojen manuaalista seurantaa.

Pienten ja kasvavien tiimien kohdalla käyttöönotto epäonnistuu usein silloin, kun tietoturvaominaisuudet tuntuvat raskaammilta kuin ongelmat, joita niillä yritetään ratkaista. Proton Pass tarjoaa työntekijöille yksinkertaisemman tavan hallita salasanoja, ja ylläpitäjät saavat selkeämmän yleiskuvan siitä, miten työkäyttöön tarkoitettuja kirjautumistietoja tallennetaan ja jaetaan.

Salasananhallinta on arvokas työkalu vain, jos ihmiset todella käyttävät sitä. Proton Pass for Business tarjoaa tiimeille ne tietoturvaominaisuudet, joita ne tarvitsevat turvallisen perustan luomiseen, mutta käyttöönotto riippuu silti julkaisun laadusta: selkeistä käytännöistä, käytännönläheisestä koulutuksesta, avainkäyttäjistä, mitattavissa olevasta käytöstä ja ratkaisusta, joka tekee turvallisesta toiminnasta helpompaa kuin sen korvaavat kiertotiet.

Miten käyttöönottoprosessi esitellään

Tapa, jolla esittelette salasananhallinnan, muokkaa ihmisten asennetta sitä kohtaan. Jos se kuulostaa vain yhdeltä tietoturvavaatimukselta lisää, työntekijät saattavat odottaa sen tuovan lisää työtä. Jos se puolestaan esitellään yhtenä paikkana työsalasanoille, nopeampana kirjautumisena ja turvallisempana jakamisena, sen arvo on paljon helpompi havaita.

Aloittakaa käytännön hyödyistä: vähemmän muistettavia salasanoja, vähemmän salasanojen palautuksia, nopeampi pääsy automaattitäytön avulla, vahvat salasanat ilman manuaalista vaivaa ja se, ettei kirjautumistietoja tarvitse lähettää chatin tai vanhojen viestiketjujen kautta.

Suojaus tietomurroilta on välttämätöntä, mutta se ei saisi tuntua työntekijöille asetetulta taakalta. Salasananhallinnan tarkoituksena on poistaa epärealistinen odotus: se, että työntekijöiden vaadittaisiin hallitsevan satoja yksilöllisiä työkirjautumistietoja pelkän muistinsa varassa.

Tämä viesti on erityisen tärkeä pienemmille tiimeille, joissa toimitaan usein nopeasti, jaetaan vastuita ja otetaan käyttöön ratkaisuja ennen virallisten IT-prosessien olemassaoloa.

Käytännön askeleet salasananhallinnan käyttöönottoon

Salasananhallinnan käyttöönotto on osittain teknistä asennusta ja osittain muutosjohtamista. Tavoitteena on tehdä ensimmäisistä viikoista selkeitä, hyödyllisiä ja helposti seurattavia.

Vaihe 1: Aloittakaa salasanojen ja pääsyoikeuksien auditoinnilla

Ennen kuin kutsutte koko tiimin, kartoittakaa yrityksenne nykyinen salasanatilanne. Selvittäkää, missä kirjautumistiedot sijaitsevat, mitä yhteiskäyttöisiä tilejä on olemassa, mitkä tiimit tukeutuvat selaimen tallennustilaan ja mitkä työkalut aiheuttavat suurimman riskin.

Priorisoikaa tilit, jotka liittyvät sähköpostiin, talouteen, asiakastietoihin, pilvitallennustilaan, ylläpitotyökaluihin ja yhteiskäyttöisiin käyttöjärjestelmiin. Nämä tulisi siirtää uuteen salasananhallintaanne ensimmäisenä.

Tämän auditoinnin ei tarvitse olla täydellinen; sen on vain paljastettava tärkeimmät riskit ja helposti saavutettavat hyödyt.

Vaihe 2: Laatikaa selkeä salasanakäytäntö

Salasananhallinta toimii parhaiten silloin, kun sitä tukee selkeä salasanakäytäntö. Työntekijöiden tulisi tietää, mitkä kirjautumistiedot on tallennettava yrityksen salasananhallintaan, milloin on luotava uusia salasanoja, miten jakamisen tulisi toimia ja mikä ei ole sallittua. Käytäntö tuo käyttöönotolle rakennetta, mutta sen tulisi olla riittävän realistinen, jotta työntekijät pystyvät noudattamaan sitä.

Vaihe 3: Tehkää pilotti avainkäyttäjien kanssa

Aloittakaa pienellä ryhmällä ennen kuin laajennatte käyttöönoton kaikille. Valitkaa IT-osaston, operatiivisen toiminnan, talouden, myynnin tai asiakaspalvelutiimien henkilöitä, jotka käyttävät useita työkaluja ja voivat antaa käytännön palautetta.

Nämä avainkäyttäjät voivat testata käyttöönottoa, tunnistaa hämmentäviä vaiheita ja näyttää muille tiimin jäsenille, miten salasananhallinta auttaa todellisissa työnkuluissa. Pilotin tavoitteena ei ole ainoastaan löytää ohjelmistovirheitä, vaan myös luoda sisäisiä esimerkkejä onnistuneesta käyttöönotosta.

Vaihe 4: Kouluttakaa lyhyissä, käytännönläheisissä tilaisuuksissa

Pitäkää koulutus lyhyenä ja keskittykää todellisiin tehtäviin. 20 minuutin tilaisuus, joka auttaa työntekijöitä tallentamaan, luomaan, automaattitäyttämään ja jakamaan kirjautumistietoja, on hyödyllisempi kuin pitkä tietoturvaluento.

Koulutuksen tulisi vastata seuraaviin kysymyksiin:

  • Miten tallennan työsalasanan?
  • Miten luon vahvan salasanan?
  • Miten käytän automaattitäyttöä?
  • Miten jaan pääsyn turvallisesti?
  • Mitä teen, jos menetän pääsyn?
  • Mitkä salasanat on siirrettävä ensimmäisenä?

Tallentakaa koulutustilaisuus tai muuttakaa se lyhyeksi sisäiseksi oppaaksi, jotta uudet työntekijät voivat noudattaa samaa prosessia myöhemmin.

Vaihe 5: Luokaa nopeita hyötyjä tuovia käyttötapauksia

Käyttöönotto sujuu paremmin, kun työntekijät tuntevat hyödyn välittömästi. Aloittakaa käyttötapauksista, jotka ratkaisevat olemassa olevia haasteita.

Esimerkkejä ovat:

  • Yhteisten toimittajakirjautumisten siirtäminen tiimin holviin
  • Chat-pohjaisen salasanojen jakamisen korvaaminen turvallisella jakamisella
  • Uusien salasanojen luominen useimmin uudelleenkäytetyille tileille
  • Varakopioitujen TOTP-koodien tallentaminen hyväksyttyyn, suojattuun sijaintiin
  • Automaattitäytön käyttäminen viidessä yleisimmässä yritystyökalussa

Nopeasti saavutettavat hyödyt tekevät salasananhallinnasta osan jokapäiväistä työtä sen sijaan, että se olisi pelkkä tietoturvaprojekti, jota ajatellaan vain harvoin.

Vaihe 6: Integroitakaa se osaksi uusien työntekijöiden perehdytystä ja lähtöprosesseja

Salasananhallinnan käyttöönotto pysähtyy, jos se toteutetaan kertaluontoisena projektina ilman seurantaa. Lisätkää se työntekijöiden perehdytykseen, jotta jokainen uusi työntekijä oppii hyväksytyn prosessin ensimmäisestä päivästä lähtien.

Lähtöprosessi on yhtä tärkeä. Kun joku lähtee yrityksestä, ylläpitäjien tulisi mitätöidä pääsyoikeudet, siirtää omistajuus tarvittaessa, poistaa holvin käyttöoikeudet ja vaihtaa yhteiset kirjautumistiedot tarvittaessa.

Tässä vaiheessa yrityksen salasananhallinnan asennuksesta tulee operatiivinen valvontakeino, eikä se ole vain mukavuutta lisäävä ratkaisu.

Miten salasananhallinnan käyttöönottoa mitataan

Käyttöönottoa ei voi parantaa vain ilmoittamalla uudesta ratkaisusta ja toivomalla, että ihmiset käyttävät sitä. IT-tiimit voivat käyttää yksinkertaisia mittareita, jotka osoittavat, onko salasananhallinnasta tulossa osa päivittäistä työtä.

Hyödyllisten käyttöönottomittareiden tulisi seurata työntekijöiden kirjautumisen lisäksi sitä, käyttävätkö he salasananhallintaa ajan mittaan turvallisemmin tavoin, kuten noudattamalla parempia salasanakäytäntöjä, jakamalla tietoja suojatusti ja ottamalla käyttöön kaksivaiheisen tunnistautumisen (2FA):

  • Aktiiviset käyttäjät: Kuinka moni kutsutuista työntekijöistä käyttää salasananhallintaa säännöllisesti?
  • Holvin käyttö: Kuinka monet kirjautumistiedot on tallennettu hyväksyttyihin työholveihin?
  • Salasanaterveys: Käyttävätkö työntekijät salasananhallintaa luodakseen ja tallentaakseen ainutkertaisia, vahvoja salasanoja sen sijaan, että he käyttäisivät uudelleen heikkoja tai tuttuja salasanoja?
  • Turvallinen jakaminen: Ovatko jaetut kirjautumistiedot siirtymässä pois chateista ja asiakirjoista?
  • 2FA:n käyttöönotto: Ovatko työntekijät ottaneet kaksivaiheisen tunnistautumisen käyttöön salasananhallintatileillään ja muilla suuren riskin työtileillään, jos sitä vaaditaan?
  • Korkean riskin tilien kattavuus: Säilytetäänkö ja hallinnoidaanko ylläpito-, talous-, sähköposti- ja asiakasjärjestelmiä asianmukaisesti?
  • Offboarding-prosessin loppuunsaattaminen: Tarkistetaanko holvin käyttöoikeudet ja jaetut kirjautumistiedot, kun joku lähtee?

Näitä mittareita tulisi käyttää käyttöönoton tukemiseen, ei työntekijöiden syyllistämiseen. Vähäinen käyttö voi tarkoittaa, että koulutus oli epäselvää, automaattitäyttö ei toimi odotetusti tai työntekijät eivät tiedä, mitä kirjautumistietoja heidän on siirrettävä.