Gesla so ena prvih obrambnih linij pred nepooblaščenim dostopom v sistem. Ker si sestavo gesla navadno določi uporabnik sam je treba upoštevati tudi določene dobre prakse:

1. Vsa privzeta gesla mora uporabnik spremeniti pri prvi uporabi sistema.
2. Vsak uporabnik mora imeti svojevrstno geslo za dostop.
3. Dobrodošlo je, če so gesla iz velikih in malih črk, številk ter nealfanumeričnih znakov.
4. V geslih NE uporabljajte svojih osebnih podatkov, podatkov partnerjev, otrok sorodnikov.
5. Ne uporabljajte istih gesel za različne račune.
6. Gesel ne shranjujte nezaščiteno, ne zapisujte jih na listke in jih ne delite z drugimi.

Vzrok za nepravilnosti pri sestavi, hrambi in ščitenju gesel za dostop, je predvsem v tem, da si ljudje prevečkrat preveč poenostavimo naše delo. Varnostne ukrepe doživljamo kot breme in nepotrebno breme pri našem delu. Vendar, ko govorimo o varnosti občutljivih osebnih podatkov, mimo varnosti ne moremo iti. Geslo, ki nam je dodeljeno (privzeto geslo) za prvo prijavo v sistem, moramo nemudoma spremeniti, ko imamo možnost za to. Privzeta gesla so namreč dostikrat javno znana, nekatera pa najdemo kar na spletu.

Vsak izmed uporabnikov si mora nastaviti samosvoje geslo, saj če imajo sodelavci med seboj enaka gesla za dostop, so si jih izmislili skupaj, kar pomeni, da nastopi problematika deljenja gesel, posledično pa je to velika varnostna luknja, saj lahko posamezniki v sistem dostopajo tudi pod drugim imenom. V nekaterih sistemih namreč obstaja revizijska sled, ki beleži, kdo, kdaj in kaj je spreminjal oziroma do česa je dostopal v sistemu. V primeru incidenta lahko tako lažje odkrijemo storilca in ga tudi sankcioniramo ter preprečimo nadaljnje nepravilnosti. Kadrovske službe imajo po navadi dostop do velike količine osebnih (in tudi občutljivih) podatkov zaposlenih, zato je še posebej pomembno, da so dostopi omejeni.

Tudi sestava gesla je zelo pomembna. Lahka gesla ali tista, ki vsebujejo osebne podatke osebe, kateri geslo pripada, je izjemno lahko ugotoviti (še posebej, le je oseba katerega od teh podatkov delila na socialnih omrežjih). Izogibajte se torej uporabi tovrstnih podatkov pri sestavi gesla in zapomnite si, da daljše kot je geslo, lažje si ga je zapomniti. Tu seveda nastopi težava, ki se nanaša na pomnjenje tovrstnega gesla. Geslo tipa »&bikK09$#« si je zelo težko zapomniti, pa še posebno dolgo ni. V današnjem času uporaba gesla kot ene besede ni več varna, nadomestila pa jo je uporaba gesla kot stavka. Če pogledamo primer dobrega, močnega gesla v obliki stavka »Založba FM ima SuP3R izobraževanja!« vidimo, da pri sestavi nismo uporabili osebnih podatkov ali neključnega niza znakov, ki jih včasih težko najdemo na naši tipkovnici. Uporabili smo enostavne besede z velikimi in malimi črkami, vmes smo vrinili še številko, vse skupaj ločili z presledki (poseben znak) in na koncu dodali še ločilo (poseben znak). Vsekakor je geslo lahko za zapomniti in kljub svoji dolžini ga hitro vnesemo v prijavno polje. Le nekaj poskusov potrebujemo, da se vnese.

Ko smo sestavili močno geslo je tudi pomembno, da poskrbimo za njegovo varno hrambo. Samolepilni listki, prilepljeni na ekranu, niso primerno mesto za shranjevanje gesel, prav tako to ni ne podloga za miško ali pa hrbtna stran tipkovnice. Izogibajte se tudi uporabi beležk ali zvezkov, shranjenih v nezavarovanih predalih ali pa nešifriranih dokumentov tipa Microsoft Word in podobnih. Če geslo morate kam zapisati, naj bo ta medij pod ključem (zaklenjen predal, omara) ali pa še bolje, šifriran oziroma zaščiten z nekim glavnim geslom, s katerim boste dostopali do vseh ostalih.

Primer št. 11:

Kaj se je zgodilo: Organizacija je zaposlila novega delavca. Ta se je hitro vklopil v sistem organizacije in svoje delo opravljal slabo leto. Po tem je sledila odpoved delovnega razmerja s strani zaposlenega. Razlog je bil neznan, odpoved pa sporazumna. Organizacija sicer ni imela razdelanega postopka ukrepov v primeru odhoda zaposlenega iz organizacije.

Posledica: Kasneje se izkaže, da je zaposleni zapustil podjetje iz razloga, da vzpostavi svoj posel v novoodprtem lastnem podjetju. Ob odhodu je s seboj vzel poslovne podatke prejšnjega delodajalca, vključno s patenti, ki jih podjetje še ni registriralo. Po odhodu zaposlenega podjetje še vedno ni bilo prepričano ali bivši zaposleni lahko dostopa do sistema v organizaciji, saj so imeli omogočen oddaljen dostop, niso pa imeli razdelanega sistema pravic dostopa ali drugače, ko je bivši zaposleni zapustil podjetje, nobeden ni onesposobil njegovih podatkov za dostop. To so ugotovili šest mesecev po tem, ko buvšega zaposlenega ni bilo več v podjetju. Škoda, ki je nastala med tem je bila velika.

Pravne posledice: Bivšega zaposlenega so ovadili, ko je v tujini poskušal registrirati patent, prvotno v lasti bivšega delodajalce. Sprožili so pravdni postopek in vložili odškodninsko tožbo. Najeli so zunanje izvajalce za odpravo dosedanjih nepravilnosti v njihovem sistemu in izobraževanje zaposlenih na področju varovanja informacij. Sprejeti so bili tudi novi pravilniki in varnostne politike, ki so natačno določale kaj se sme in kaj ne, ter navaja tudi kazni za morebitne (namerne) kršitve.