Mae’r un peth yn gymwys p’un a yw eich data wedi’u storio a /neu eu hailadrodd ar weinydd lleol neu symudol neu yn y cwmwl.
Y risgiau
- Cyflogeion yn cael mynediad i ffeiliau sensitif fel cofnodion cyflogres neu bersonél, neu ddata cyfrinachol cwmni, eu newid, eu rhannu neu eu dileu.
- Cyflogeion yn cael mynediad i gymwysiadau nad oes ganddynt yr awdurdod i’w defnyddio.
- Twyll, dwyn hunaniaeth, tanseilio, gwasgu, ysbïwriaeth.
Rheoli mynediad – awdurdod
Dylech reoli pwy sy’n gallu cael mynediad i ffeiliau, ffolderi a chymwysiadau gwahanol – naill ai ar sail unigol neu grŵp – gan ddefnyddio Active Directory os oes gennych Windows Server, neu drwy ddulliau tebyg mewn systemau gweithredu eraill. Er enghraifft, gallai pawb yn yr adran cyfrifon gael mynediad i’r cyfriflyfr pwrcasiadau, ond dim ond y sawl sydd â breintiau mynediad ychwanegol all weld manylion y gyflogres. Gwnewch yn siŵr fod y canlynol yn cael eu harsylwi:
- Adolygwch yn aml pwy sy’n cael mynediad i wybodaeth, a newidiwch y breintiau os oes angen.
- Cyfyngwch ar nifer a chwmpas y cyflogeion sydd â hawliau ‘gweinyddwr’.
- Ystyriwch yn ofalus sut y dylid dyrannu hawliau mynediad. Er enghraifft, mewn sefydliadau mwy gellir gwneud hyn ar sail rôl unigolyn yn hytrach na fesul person.
- Ystyriwch roi’r breintiau hynny sy’n hanfodol i waith y defnyddiwr yn unig i gyfrifon defnyddiwr. Er enghraifft, nid oes angen i ddefnyddiwr wrth gefn osod meddalwedd, dim ond rhedeg cymwysiadau wrth gefn a chymwysiadau cysylltiedig. Blociwch unrhyw freintiau eraill fel gosod meddalwedd newydd (sef ‘egwyddor y fraint leiaf’).
- Ystyriwch gymhwyso rheolaethau ychwanegol ar gyfer defnyddwyr sydd â breintiau mynediad arbennig, fel monitro’n agosach.
- Dylai pob cyflogai gael manylion adnabod defnyddiwr unigryw – gan fewngofnodi gydag enw defnyddiwr ac awdurdodiad gyda chyfrinair. Dylid trin y rhain fel allwedd swyddfa neu god larwm unigol, ac ni ddylid eu rhannu na’u peryglu mewn unrhyw ffordd.
- Mewn sefydliadau mwy, pan gaiff cofnod ei sefydlu ar gyfer cyflogai newydd, gwnewch yn siŵr fod pobl wahanol yn sefydlu’r cofnod cyflogai, trefniadau’r gyflogres a mynediad TG (sef ‘gwahanu dyletswyddau’)
- Gwnewch yn siŵr fod angen camau mewngofnodi diogel ar gyfer pob cyfrifiadur a bod pob un ohonynt yn allgofnodi’n awtomatig os cânt eu gadael yn segur am fwy nag ychydig funudau.
- Dylid cymryd gofal mewn perthynas â pha hawliau mynediad a roddir i gyflogeion pan fyddant yn ymuno â’r sefydliad, neu’n newid rolau neu’n cael swydd ar lefel uwch.
- Dylid dileu breintiau mynediad defnyddwyr cyn gynted ag y byddant wedi gadael y cwmni.
Rheoli mynediad – awdurdodi pan fydd defnyddiwr wedi profi (drwy nodi enw defnyddiwr) bod ganddo’r awdurdod i gael mynediad i ffeiliau, ffolderi neu gymwysiadau penodol, dylai gael ei annog i brofi pwy ydyw. Mae tri dull sylfaenol o brofi hunaniaeth:
- Rhywbeth sydd ganddo fel cerdyn clyfar, allwedd neu docyn electronig – neu allwedd amgryptio unigryw ar hap.
- Rhywbeth mae’n ei wybod, fel cyfrinair, PIN neu enw ei fam cyn priodi.
- Rhywbeth y mae, fel sgan biometrig (ôl-troed neu iris).
Mae defnyddio un o’r ffactorau hyn, fel arfer cyfrinair, yn rhoi lefel resymol o gyfrinachedd yn hunaniaeth rhywun. Mae defnyddio awdurdodiad sydd angen dau neu dri ffactor yn fwy diogel am ei fod yn golygu ei bod yn anoddach ei ddynwared.
Ar gyfer cyfrineiriau, mae’n hanfodol gwneud yn siŵr bod y canlynol yn cael eu harsylwi:
- Gwneud yn siŵr bod cyflogeion yn defnyddio cyfrineiriau cryf. Sefydlu’r system i dderbyn cyfrineiriau cryf yn unig ac i gloi ar ôl sawl ymgais gan ddefnyddio’r cyfrinair anghywir.
- Addysgu defnyddwyr am bwysigrwydd cyfrineiriau a risgiau teilwra cymdeithasol.
- Newid cyfrineiriau diofyn.
- Gorfodi pobl i newid cyfrinair ar adegau rheolaidd a benderfynir ymlaen llaw.
- Pan fyddwch yn gwaredu cyfarpar nad oes ei angen mwyach, gwnewch yn siŵr ei fod yn cael ei glirio o gyfrineiriau yn ogystal â gwybodaeth gyfrinachol arall.