5 rzeczy, o których musimy pamiętać, żeby praca zdalna nie stanowiła ryzyka dla organizacji

09 Czerwca 2020|Tagi: praca zdalna

Wiele organizacji w ostatnim czasie stanęło przed wyzwaniem, aby szybko przystosować się do pracy zdalnej. Niestety nie było czasu na to, aby kompleksowo się do tego przygotować. O ile w biurze nasza infrastruktura jest stworzona tak, aby zapewnić bezpieczeństwo, dużo ciężej jest zadbać o to w domu każdego pracownika. Na szczęście istnieją metody zwiększające bezpieczeństwo pracy zdalnej w domowym zaciszu. Warto się więc zastanowić, czy nasza praca online na pewno jest bezpieczna.

1. Przede wszystkim zapewnienie bezpiecznego dostępu do zasobów firmowych

Podstawowym zadaniem jest zapewnienie ciągłości dostępu do kluczowych dla naszej organizacji zasobów, przy jednoczesnym zachowaniu ich poufności i integralności. Idea ta dobrze reprezentowana jest przez tzw. triadę CIA (Confidentiality – poufność, Integrity – integralność i Availability – dostępność), która najczęściej przedstawiana jest w postaci tzw. trójkąta bezpieczeństwa. Zgodnie z tą ideą, aby utrzymać integralność i poufność systemu mocno musimy ograniczyć dostępność danych, np. odłączając je od źródeł dostępowych, czyli internetu. Niestety w tych czasach jest to niemożliwe, potrzebujemy szybkiego przekazywania informacji i dużej dostępności danych. To powoduje, że wystawiamy system na ryzyko utraty poufności i integralności. Dlatego aby poprawić bezpieczeństwo, przy zachowaniu dogodnego dostępu, konieczne jest przyjrzenie się trzem głównym elementom – szyfrowaniu danych, uwierzytelnieniu użytkownika i dostosowaniu polityki bezpieczeństwa.

zdjęcie przedstawia laptopa z napisem secure, telefon, okulary i filiżankę z kawą

2. Konieczna ochrona podczas wymiany danych

W kwestii szyfrowania należy pamiętać nie tylko o zabezpieczeniu nośników danych, ale także o ochronie podczas wymiany plików, czy wspólnej pracy. Aby zapewnić bezpieczny dostęp do firmowej sieci najlepiej jest użyć zaszyfrowanego tunelu VPN. Dzięki temu każde połączenie przechodzi przez specjalnie skonfigurowany serwer VPN, który ukrywa adres IP użytkownika i szyfruje wszystkie odbierane i wysyłane dane. Zaszyfrowane dane są niemożliwe do odczytania, nawet jeśli uda się je przechwycić.

zdjęcie przedstawia dłonie na klawiaturze oraz symbol bezpieczeństwa IT - kłódkę

3. Zabezpieczenie narzędzi do komunikowania się

Niestety w najbardziej popularnych komunikatorach zdarzają się przypadki włączania się do rozmowy nieuprawnionych osób. Jeśli rozmowy i dokumenty powinny zostać poufne, sugerujemy wybór sprawdzonego narzędzia, np. Cisco Webex, które nie tylko reprezentuje technologie komunikacji zintegrowanej, ale także zapewnia najwyższy poziom bezpieczeństwa. Podczas przesyłania czy przechowywania danych (np. czatu, wymiany plików, wideokonferencji) przez Cisco Webex, wszystkie informacje mają charakter zaszyfrowany na serwerach Cisco. Odszyfrowywanie danych odbywa się dopiero z poziomu klienta Webex, który pobiera dane z serwerów Cisco.

zdjęcie przedstawia hakera piszącego na klawiaturze oraz kody cyfrowe w tle

4. Dwustopniowe uwierzytelnianie zamiast jednoskładnikowego

Większość systemów zabezpieczonych jest przez SFA (Single-Factor Authentication) – czyli uwierzytelnienie za pośrednictwem tylko jednej kategorii poświadczeń, najczęściej nazwy użytkownika i hasła. Niestety często logujemy się za pomocą tych samych loginów i haseł w różnych miejscach, co powoduje, że wystarczy złamać je w jednym miejscu, aby uzyskać dostęp praktycznie wszędzie. Dlatego sugerujemy korzystanie z uwierzytelniania za pomocą przynajmniej dwóch czynników autentykacji - 2FA (Two-Factor Authentication). Dwustopniowe uwierzytelnianie zapewnia znaczny wzrost bezpieczeństwa – drugi faktor musi być fizyczny i potwierdzać tożsamość logującego się. Przykładowym faktorem mogą być tokeny, najczęściej występujące w postaci generowanych kodów wysyłanych mailem czy sms-em.

zdjęcie przedstawia palce wskazujące na słowo "password" pośród kodu binarnego

5. Dostosowanie polityki bezpieczeństwa

Firmowa polityka bezpieczeństwa powinna być zbiorem spójnych, precyzyjnych reguł i procedur zarządzania danymi, dokumentami i zasobami informatycznymi. Powinna określać które zasoby i w jaki sposób mają być chronione, a także obejmować opis możliwych rodzajów naruszenia bezpieczeństwa i opisy postępowania w takim przypadku, np. w razie wycieku danych, czy nieautoryzowanego dostępu. Polityka bezpieczeństwa musi definiować także poprawne i niepoprawne korzystanie z takich zasobów jak oprogramowanie, konta użytkowników i dostęp poszczególnych osób do danych. W skrócie, powinniśmy upewnić się, że wszyscy pracownicy wiedzą jakie dane muszą podlegać ochronie, jakie zasoby są krytyczne nie tylko z punktu widzenia firmy, ale także regulacji prawnych takich jak np. RODO. Konieczne jest również zdefiniowanie, które z naszych systemów są narażone na utratę danych i muszą podlegać szczególnej ochronie, a także przejrzeć mechanizmy kontroli dostępu (w tym poziomy uprawnień i jakie są zasady ich przyznawania).

 

Zapraszamy na darmowe szkolenia nt. cyberbezpieczeństwa, więcej informacji na stronie: https://atende.pl/pl/nasza-oferta/bezpieczenstwo/bezpieczenstwo-w-sieci

Tomasz Wiertelak, Business Development Manager w Atende S.A.