Bezpieczeństwo pracy zdalnej w czasach koronawirusa

Jest to nie lada wyzwanie dla działów administracji i IT, ale nie tylko, bo należy pamiętać, że ogromną rolę w zapewnieniu bezpieczeństwa, będzie odgrywał każdy pracownik pracujący z domu. Niezwykle ważne jest więc posiadanie przez firmę aktualnej polityki/procedury opisującej zasady tego rodzaju pracy i dopilnowanie, aby każdy pracownik uzyskał do niej dostęp i potwierdził przyjęcie do stosowania.

Organizując proces należy również wziąć pod uwagę, fakt, że o ile w biurze stacjonarnym godziny pracy są stałe, to pracownik pracujący z domu może rozciągnąć godziny pracy, i np. rozpocząć ją o godzinie 11 i przepracować pełne osiem godzin, kończąc ją o godzinie 19. Taki pracownik nie może zostać pozostawiony samemu sobie, szczególnie gdy realizuje zadania w ramach procesów krytycznych dla organizacji. Należy więc pomyśleć o zapewnieniu mu wsparcia pracownika działu Service Desk IT również poza standardowymi godzinami pracy.

Polecamy: Tarcza antykryzysowa – Podatki i prawo gospodarcze. Pakiet 5 ebooków

Jaki powinien być zakres polityki/procedury pracy zdalnej?

Celem dokumentu jest jasne określenie zasad na jakich pracownik może uzyskać uprawnienie do wykonywania pracy zdalnej w warunkach zapewniających bezpieczeństwo systemom i aktywom informacyjnym organizacji.

Zakres i rodzaj zdalnego dostępu będzie się różnił w zależności od potrzeb jakie mają poszczególne jednostki organizacyjne. Niektórym z nich wystarczy jedynie dostęp do mobilnej łączności, poczty elektronicznej i CRM zlokalizowanego w chmurze, inne, aby realizować swoje zadania będą potrzebowały dodatkowo dostępu do wewnętrznych systemów IT, narzędzi wspierających i zasobów sieciowych.

W obu przypadkach jak i każdym innym pracownik powinien uzyskać informację o tym jak i na jakich zasadach może uzyskać dostęp do zasobów niezbędnych do pracy, a także jak korzystać z tego dostępu w sposób zgodny z polityką bezpieczeństwa firmy.

Projektując proces nie należy także zapomnieć o dostawcach. Istnieje bowiem prawdopodobieństwo, że będzie konieczność udzielenia niektórym z nich zdalnego dostępu do zasobów, np. w przypadku, gdy część usług IT w organizacji podlega outsourcingowi lub trwają prace wdrożeniowe a praca w siedzibie fizycznej organizacji nie jest możliwa. W takim przypadku należy sporządzić odrębną procedurę zdalnego dostępu dla dostawców.

Pandemia przewróciła nasz świat do góry nogami, a systemy bezpieczeństwa wystawiane są dziś na wielką próbę. Cyberprzestępcy korzystają z każdej nadarzającej się okazji, aby wykorzystać nasze słabości i przejąć kontrolę nad danymi przetwarzanymi w organizacji. Kradzież danych osobowych lub danych stanowiących tajemnicę przedsiębiorstwa, może być dla organizacji równoznaczne z poważnymi stratami finansowymi i/lub utratą reputacji.

Dlatego już dziś w trosce o przyszłość warto się zastanowić nad porzuceniem standardowej strategii zabezpieczania brzegów sieci (tzw. zamek i fosa) i skierować swoją uwagę na koncepcję „zero trust” czyli działanie w myśl przekonania, że jako organizacja nie powinniśmy automatycznie ufać czemukolwiek i komukolwiek wewnątrz lub na zewnątrz naszej sieci.

Założenia przykładowego modelu „zero trust”:

1. Przyjmij strategię dostępu najmniej uprzywilejowanego. Przypisuj uprawnienia dostępu do zasobów w oparciu o dobrze zdefiniowaną potrzebę. Zaleca się przypisywanie uprawnień do grupy - dodawanie i usuwanie poszczególnych zasobów, aplikacji lub elementów danych z grupy w celu zmiany jej uprawnień.

2. Zapewnij bezpieczny dostęp do zasobów niezależnie od lokalizacji zarówno zasobu, jak i celu lub osoby, której służy. Na przykład wymaganie tego samego poziomu uwierzytelnienia w sieci LAN i poza nią.
3. Wymuszaj kontrolę dostępu na wszystkich poziomach. Najlepiej, gdy wymaga to więcej niż jednej metody uwierzytelniania na zasób, w tym zarówno sieci, jak i aplikacji.
4. Audytuj wszystko, np. potrzeby dostępu, zakresy uprawnień, logi.