Odwiedź nasze profile:

Bezpieczne udostępnianie danych logowania: chroń swoje kursy i biznes!

26 sierpnia 2024 Brak komentarzy

Masz świadomość, że kilkadziesiąt sekund może wystarczyć, by zagrozić Twojej firmie? Jeden nieprzemyślany ruch – nierozważne udostępnienie danych logowania – i wszystko, co stanowiło źródło Twojego dochodu, może zniknąć.

Taki błąd bywa nieodwracalny, a ustalenie winnych może być trudne. Na szczęście, stosując kilka prostych zasad, możesz tego uniknąć i zabezpieczyć swój biznes. Zanim omówimy zasady, jak bezpiecznie udostępniać dane, przytoczymy historie, które pokazują, jak kluczowe jest przemyślane zarządzanie dostępem do nich.

Dlaczego nie warto udostępniać haseł i danych logowania?

Wyobraź sobie, że stworzyłeś kurs online, który zdobył ogromne zainteresowanie i uznanie. Cały sukces jest efektem Twojej ciężkiej pracy i zaangażowania zespołu, który wspólnie korzysta z jednego konta do zarządzania kursem.

Wszystko wydaje się działać bez zarzutu… aż do pewnego sobotniego wieczoru, gdy spędzasz czas z rodziną lub przyjaciółmi i nagle otrzymujesz alarmujący komunikat: Twój kurs zniknął, wszystko przestało działać, a Ty wpadasz w panikę. Kto ponosi odpowiedzialność za tę sytuację? Co poszło nie tak?

To nie jest scenariusz z filmów sensacyjnych, ale realny przypadek, który spotkał jednego z naszych klientów. Wspólne korzystanie z jednego konta admina doprowadziło do sytuacji, gdzie informatyk przypadkowo usunął kurs i próbował ukryć swój błąd. Ustalenie winnego okazało się trudne, a brak rozliczalności i nieodpowiednie zarządzanie dostępem do kont były kluczowymi problemami.

W sytuacji, gdy z jednego konta o nazwie np. „admin” korzysta wiele osób, niemożliwe jest ustalenie, kto dokonał określonych zmian lub popełnił błąd. W tym celu powinno się stosować konta powiązane z konkretnym użytkownikiem. 

Jakub Staśkiewicz

Konsultant do spraw cyberbezpieczeństwa
Autor bloga opensecurity.pl

Wyobraź sobie też scenariusz, w którym zakończenie współpracy z pracownikiem przebiega w napiętej atmosferze. Czy nie obawiasz się, że ten pracownik, mając dostęp do Twojego konta, może próbować Ci zaszkodzić?

Przykład z ostatnich lat pokazuje, jak realne mogą być takie zagrożenia. Były pracownik firmy National Computer System, który po zwolnieniu z pracy usunął 180 serwerów wirtualnych, wykorzystując nadal aktywne dane logowania, spowodował straty szacowane na 678 tys. dolarów.

Tego wydarzenia można było uniknąć. Odpowiednie zarządzanie dostępem i zabezpieczenie kont to kluczowe elementy ochrony Twojego biznesu. Jakie środki warto podjąć, aby chronić swoje zasoby i uniknąć podobnych incydentów?

Bezpieczne zarządzanie dostępem administracyjnym na platformach edukacyjnych – 5 ZASAD!

1. Nie udostępniaj danych logowania – twórz osobne konta dla użytkowników

To podstawa. Twoje dane logowania to dane poufne. Na ilu serwisach masz założone konto? Poczta elektroniczna, bankowość online, sklepy internetowe, media społecznościowe, platformy z kursami online… A i to pewnie nie wszystko. Czy do każdego serwisu logujesz się za pomocą tego samego hasła? Duże prawdopodobieństwo, że właśnie tak robisz. Czy zatem naprawdę chcesz dzielić się swoim hasłem z innymi osobami z pracy?

Platformy edukacyjne pozwalają na tworzenie osobnych kont dla poszczególnych członków zespołu. Korzystaj z tej możliwości. Łatwiej będzie Ci rozliczać pracowników z ich pracy, dokonań i ewentualnych błędów.

Należy stosować konta powiązane z konkretnym użytkownikiem. Trzeba jeszcze pamiętać, że zasada rozliczalności jest jednym z wymogów RODO w dostępie do danych osobowych – wyjaśnia Jakub Staśkiewicz.

2. Zasada najmniejszych uprawnień

Czy księgowa musi mieć takie uprawnienia na platformie z kursami jak Ty? Czy asystentka naprawdę musi wiedzieć, jak i za ile sprzedaje się kurs? Podczas tworzenia kont nadawaj osobom uprawnienia odpowiadające ich stanowisku w firmie.

Zasada „least privilege” mówi o tym, iż każdy użytkownik systemu powinien dysponować tylko takimi uprawnieniami, jakie są mu niezbędne do pełnienia swoich obowiązków. Zaleca się przyznawanie najmniejszych możliwych uprawnień i ewentualnie ich podnoszenie. Każde nadmiarowe przyznanie uprawnień to zagrożenie z punktu widzenia bezpieczeństwa.

Jakub Staśkiewicz

Konsultant do spraw cyberbezpieczeństwa
Autor bloga opensecurity.pl

3. Usuwanie dostępu jest równie ważne jak jego przyznawanie

Rozstanie z pracownikiem wymaga natychmiastowego odebrania jego dostępu do systemów w firmie. Przykład z firmy National Computer System pokazuje, jak ważne jest szybkie działanie w tej sprawie. Nie odkładaj usunięcia dostępu na później – zrób to natychmiast, aby zapobiec potencjalnym nadużyciom.

4. Monitoruj i aktualizuj dostęp

Jako administrator musisz mieć pełną kontrolę nad dostępami do platformy edukacyjnej. Utwórz arkusz w Google lub tabelę w Excelu, aby śledzić wszystkie konta – daty ich utworzenia, imiona pracowników, rodzaje uprawnień itp. Regularnie aktualizuj ten dokument, aby mieć pewność, że dostęp jest na bieżąco monitorowany i kontrolowany.

Jak udostępniać dostępy współpracownikom? Przykładowa tabela z listą dostępów.
Tak może wyglądać tabela z listą dostępów.

5. Chroń swoje dane dostępowe

Nie wystarczy tylko nie dzielić się danymi logowania – musisz je również odpowiednio zabezpieczyć. Unikaj przechowywania haseł w plikach tekstowych na urządzeniach, które mogą być łatwo dostępne dla innych. Korzystaj z menedżerów haseł, takich jak np. 1Password. Narzędzie to przechowuje hasła w bezpiecznym sejfie, do którego dostęp masz tylko Ty za pomocą głównego hasła. Dodatkowo narzędzie generuje silne i unikalne hasła.

Jakie rozwiązania w zakresie bezpieczeństwa proponuje platforma do kursów Publigo?

Na Publigo nie musisz dzielić swojego konta z innymi członkami zespołu. Zamiast tego, możesz łatwo tworzyć indywidualne przestrzenie robocze dla każdego użytkownika, przyznając mu odpowiednie role i uprawnienia. Na początek jednak zobacz, jak wygląda hierarchia ról użytkowników Publigo:

W Publigo znajdziesz trzy typy kont administracyjnych. Czym się różnią?

  1. Menedżer Publigo – to podstawowe konto administratora, które umożliwia pełne zarządzanie platformą, z wyłączeniem możliwości wprowadzania zmian bezpośrednio w WordPressie. Co to znaczy? Menadżer Publigo nie ma możliwości np. instalowania dodatkowych wtyczek na platformie. Takim typem konta dysponują wszyscy właściciele platform Publigo GO. Użytkownicy z tą rolą mają pełny wgląd do wszystkich danych i funkcji platformy.
  2. Wsparcie Publigo – konto o prawie identycznych uprawnieniach jak Menadżer Publigo, ale z dodatkową ochroną prywatności – dane osobowe klientów są ukryte. Jest to idealne rozwiązanie dla zespołu wsparcia technicznego, który potrzebuje dostępu do większości funkcji, ale nie musi mieć wglądu w szczegółowe informacje osobowe.
  3. Administrator – konto z najwyższymi uprawnieniami, które umożliwia pełny dostęp nie tylko do wszystkich funkcji administracyjnych platformy, ale również pozwala na wprowadzanie zmian z poziomu WordPressa. Administrator ma kontrolę nad wszystkimi aspektami zarządzania platformą oraz ma możliwość instalacji wtyczek i wprowadzania zmian w kodzie strony. Takim typem konta dysponują właściciele platform Publigo BOX.

Jakie role możesz przypisać swoim współpracownikom?

Jako administrator platformy (niezależnie, czy dysponujesz kontem Menadżer Publigo, czy Administrator) możesz przydzielać swoim współpracownikom następujące role:

  • Księgowy – użytkownik z tą rolą ma tylko dostęp do zakładki „Zamówienia”.
  • Asystent do sprawdzania testów i certyfikatów – użytkownik ma tylko dostęp do zakładki „Testy i Certyfikaty”.
  • Menadżer treści – osoba z tą rolą ma możliwość pracy w zakładkach dotyczących treści. Może edytować i dodawać kursy, kategorie, tagi, media, strony, wpisy i komentarze.

W każdej chwili możesz zmieniać uprawnienia, edytować role lub usuwać konta użytkowników, dostosowując platformę do dynamicznych potrzeb Twojego zespołu. I pamiętaj! Zachowaj szczególną ostrożność, przydzielając swoim współpracownikom Menadżer Publigo.

Jak przydzielać odpowiednie role użytkownikom i udostępniać dostępy?

Tworząc konto na platformie, każdemu użytkownikowi automatycznie przydzielana jest rola Subskrybent. Jeśli chcesz ją zmienić i np. przydzielić swojej asystentce rolę Menadżera treści musisz wykonać następujące kroki:

  • Przejdź do zakładki Użytkownicy. Utwórz konto użytkownika podając podstawowe dane (imię, nazwisko, adres mailowy), następnie kliknij przycisk Zapisz. Strona przeładuje się i wrócisz do widoku listy użytkowników.
  • Przejdź do ponownej edycji konta (np. klikając w aktywny odnośnik znajdujący się w kolumnie Nazwa w tabeli użytkowników) i znajdź sekcję Rola.
  • Z listy rozwijanej wybierz odpowiednią dla danego użytkownika rolę. Na koniec kliknij przycisk Zapisz, by zatwierdzić zmiany.

Pozostałe role widoczne na liście (np. Współtwórca, Autor, Redaktor) to role tworzone z poziomu WordPressa. Nie zalecamy korzystać z nich w zarządzaniu platformą.

Logi zdarzeń – pełna kontrola nad platformą do kursów!

Logi zdarzeń to jedno z kluczowych narzędzi Publigo, które pozwoli Ci monitorować, co dokładnie dzieje się na platformie. Dzięki nim możesz sprawdzać ruchy zarówno swoich klientów, jak i współpracowników zarządzających platformą. Jeśli więc, teoretycznie, z platformy nagle zniknie jeden z Twoich produktów, bądź cena kursu zostanie zmieniona, dzięki logom zdarzeń bardzo łatwo znajdziesz sprawcę.

Dlatego też tak ważne jest to, by każdy użytkownik miał swoje własne konto i nie musiał go nikomu udostępniać!

Logi zdarzeń znajdziesz w zakładce Narzędzia Logi.


Jeżeli masz więcej pytań dotyczących Publigo lub chcesz przetestować platformę za darmo przez 15 dni, skontaktuj się z nami. Z chęcią odpowiemy na wszystkie pytania.

0 0 votes
Ocena artykułu
Subskrybuj
Powiadom o
guest
0 komentarzy
Najstarsze
Najnowsze Most Voted
Inline Feedbacks
View all comments