В ситуацията на пандемия, една от основните препоръки към работодателите е служителите им да работят колкото се може повече от вкъщи. Ако сте от ИТ екипа на компания, която току-що е взела решение да следва тази препоръка, предполагаме, в главата ви се върти въпросът как да направите така, че коронавирусът да не понижи критично “имунитета” на дружеството и друг вирус от друг вид да порази тежко бизнеса ви.
Ето няколко предизвикателства, с които се сблъскваме ние в такива ситуации, заедно с възможните решения (няма да видите съвет за инсталиране на антивирусно решение – ако нямате такова, не пускайте никой да работи от вкъщи, без да има доказано ефективен антивирус на служебния си компютър).
Да направите така, че колегите ви да имат необходимия достъпи до информация и вътрешни ресурси, без да компрометирате сигурността си
Основно изискване към вас ще бъде да направите така, че колегите ви да могат да достъпват необходимите системи, ресурси, документи и данни от вкъщи, все едно са в офиса. Това може да бъде кошмар за всеки един системен администратор. Но има и много лесно решение – правилно конфигуриран SSL VPN (хубаво е защитната ви стена да има приятен и лесен за администриране WEB интерфейс, чрез който конфигурацията на SSL VPN-и да става за минути).
Решението:
Ограничаване на достъпа до конкретни географски райони или публични IP адреси. Най-добрата практика, разбира се, остава използване на SSL VPN. Използвайте защитна стена, конфигурирана с правила, които дават само необходимия достъп до ресурсите, нужни на потребителя. Пълен достъп до цялата корпоративна мрежа не е препоръчителен.
Не си правете експерименти със свободното публикуване на услуги и ресурси в Интернет чрез отваряне на портове – RDP, SMB и др. Хакерите само това чакат (повече прочетете тук).
Да знаете и контролирате какво реално правят колегите ви
Решенията:
Добавете решение за защита от източване на информация (DLP). Освен задължителната антивирусна програма, инсталирайте DLP решение, с което да контролирате кой какво и на кого изпраща, както и да получавате по-пълна картина на активностите на служителите т.е. да знаете до колко наистина се работи дистанционно.
Препоръчително е използването на EDR решение, което дава пълна видимост върху машината, както и възможност за реакция и разследване при инцидент. Тъй като физическия достъп до машината ще е ограничен, използването на решение, което предлага пълна видимост и възможност за реакция на по-ниско ниво е повече от препоръчителнo. При невъзможност за осигуряване на подобрен тип мониторинг, MDR е препоръчителната услуга.
Да въведете двуфакторна автентикация където е възможно.
Една от най-често срещаните причини за разбиване на потребителски акаунти е използването на слаби пароли (по данни на Microsoft около 40% от хакнатите бизнес акаунти на клиенти на компанията са компрометирани, защото паролите им са били лесни за отгатване).
Решението:
С ръста на работата извън офиса и предоставянето на отдалечени достъпи на подизпълнители, добавете още едно ниво на защита срещу използването на лесни за отгатване пароли и споделянето – дву-факторна автентикация.
Под това визираме да имате контрол върху това каква информация и до кого разпращат, споделят и редактират. Както и дали използват служебните си компютри само за служебни цели. И дали не стават жертва на атака, тъй като киберпрестъпниците може да се възползват от факта, че служителите ви нямат IT специалист до себе си.
Да управлявате използването на „алтернативни“ IT решения и канали за комуникация и обмен на информация
Доста често, в стремежа си да са по-продуктивни или просто да им е по-лесно, колегите ви използват т.нар. Shadow IT. Иначе казано, използват алтернативни технологични решения по свое усмотрение, за да обменят информация или да си говорят помежду си, да изпращат файлове, оферти, договори и т.н.
Например – вместо по официален канал, да комуникират през Viber, WhatsApp, Telegram и др. с клиенти, контрагенти и колеги. Или да използват лични услуги в „облака“, за да споделят служебна информация.
Решението:
За да решите този казус, не давайте акаунти с административни права на работещите вкъщи колеги. В никакъв случай не давайте възможност на служителите си да използват компютрите, с които достъпват служебни ресурси и услуги, с административни акаунти – дори и локални. Инсталирането и премахването на софтуер, както и допълнителни настройки на компютрите трябва да става само от вас (администратор) или от упълномощено за това лице.
Да предотвратите използването на личен компютър/телефон за работа (или още по-зле – обществен, например в интернет кафе)
Просто не позволявайте достъп до служебни ресурси през лични машини. Това може да ви донесе само главоболия, колкото и да е „грамотен“ човекът, работещ от вкъщи.
Да защитите достъпа до вътрешна информация и услуги през незащитена връзка (в повечето случаи отворен WiFi, примерно в кафето до вас)
Съветът ни е да се избягва изобщо използването на публични отворени мрежи за достъп до интернет – дори и не само по време на пандемия. При необходимост е препоръчително използване на 4G модем или създаване на Hot Spot върху телефона за споделяне на интернет свързаността през мобилния оператор.
И задължително: Използвайте Full Access VPN. Така, дори и от вкъщи, от кафето, парка, откъдето и да е, служителите ви ще са свързани изцяло чрез криптирана връзка през защитната стена. Ползата за вас е, че ще може да налагате политики и проверки за зловредни активности на целия трафик, генериран от потребителя.
Следете и прилагайте ъпдейти
Направете така, че дори и да работят от вкъщи,служителите ви да инсталират ъпдейти на операционните системи и приложениятана устройствата им.
Осигурете лесен канал за комуникация с вас и за докладване на инциденти
Комуникирайте редовно и адекватно със служителите си. Споделете с тях писмени правила за работа, съвети и препоръки, отговаряйте на въпросите им. Дайте им канал, по който да задават въпроси, да търсят съвети от вас и да ви съобщават за съмнително поведение или инциденти със сигурността.
Направете така, че да си спестите нерви, време, усилия и неприятности, като подсигурите сигурен дистанционен офис. Или се свържете с нас, за да ви помогнем и да го изградим заедно.
