Итак, мы снова возвращаемся к теме того, что коронавирусная инфекция изменила подход к работе навсегда. Многие колл-центры, менеджеры продаж, отдельные специалисты перевелись на работу из дома и вряд ли вернуться обратно в офисы. Просто потому что так удобнее и экономичнее. Любой из нас, в любой момент, тоже может быть переведён на удалённую работу и к этому нужно быть готовым
К сожалению, переход на удалёнку обладает не только плюсами, но и минусами. Главный минус – это растягивание периметра безопасности. А значит, вам сложнее своевременно реагировать на возникающие угрозы. Поэтому ответственность на безопасность в точке подключения ложится на плечи удалённого работника. Но ведь они не являются специалистами по информационной безопасности? Как же быть? Что же делать?
Ответ как всегда очень прост – нужно выполнять превентивные меры и тогда вам станет гораздо проще. Все помнят знаменитое выражение «Чисто не там где убирают, а там где не сорят». Так и здесь – безопасно не там где преодолевают угрозы, а там где им не подвергаются. И сейчас мы рассмотрим несколько практических рекомендаций, как избежать киберпроблем.
Во-первых, со стороны организации, должны определены четки правила и процедуры работы с корпоративными данными. Скорее всего, такие правила уже существуют в организации, но их нужно переформатировать именно для удалённой работы из дома. И начать нужно, конечно, с менеджмента паролей. То есть, это правила не только «придумывания» паролей, позволяющие создавать уникальные и надёжные пароли. Но и правила смены паролей – с какой частотой их необходимо менять. Желательно предоставить своим сотрудникам менеджер паролей (можно бесплатный), чтобы приучить их хранить пароли в защищённом месте.
Двухфакторная аутентификация не является панацеей, которая позволяет на 100% защитить аккаунт, но, безусловно, позволяет значительно улучшить безопасность ваши аккаунтов. Даже если учетная запись была скомпрометирована, мошенник все равно не сможет получить к ней доступ. Конечно, сотрудники не очень любят этот метод аутентификации, но это как раз от непонимания принципов информационной безопасности.
Использование VPN-сервисов в условиях удалённой работы становится обязательным. Ваш VPN-сервис должен регулярно обновляться и иметь лицензию. Да, сотрудникам это тоже вряд ли понравится, но это дополнительный барьер между мошенниками и данными компании, поэтому он необходим. Кроме того, использование VPN позволит вам ограничить круг устройств, которые могут подключаться к корпоративной сети, а значит, сотрудники не смогут подключать личные устройства.
Личная образованность сотрудников в вопросах информационной безопасности играет большую роль. По вполне понятным причинам, они не спешат самостоятельно просвящаться, а значит, вы должны им помочь в этом. Сотрудников нужно приучить к внимательности, к тому что они должны с недоверием относиться к незнакомым ссылкам, подозрительным сообщениями. Или к сообщениям, сулящим невероятную выгоду. Должны быть четкие правила, которые сотрудник должен знать на зубок и понимать, почему так, а не иначе.
И, конечно же, важной частью системы кибербезопасности, о которой мы не устаём говорить снова и снова, является контроль сотрудников. Сотрудники это не любят, они считают это не уважением и так далее. Но, как мы уже неоднократно говорили, у них нет ответственности за весь бизнес и когда компания будет вынуждена закрыться из-за действий их недобросовестного коллеги, для них это будет расстраивающим сюрпризом. Мониторинг можно осуществлять с помощью разных программ и важно, чтобы программа мониторинга не только осуществляла контроль, но и содержала в себе полезный рабочий функционал (например, для системного администрирования) и несла пользу для сотрудников.
И это не говоря о том, что программа мониторинга позволяет отслеживать возникшее напряжение в коллективе и своевременно на него реагировать.
Также, вы должны ограничить возможности сотрудников по получению важных данных компании. То есть, буквально, ограничить круг лиц, которые могут скачать определённые документы или файлы. Политики доступа должны быть тщательно пересмотрены и ужесточены, потому что, как показывает практика, у многих сотрудников имеется доступ, который не является критичным для работы, но зачем-то у них есть.
Использование превентивных мер значительно снижает шанс атаки на корпоративные данные. Но важной частью системы защиты являются сами сотрудники. Нужно помнить, что они – всего лишь люди, практически дети, если смотреть с точки зрения информационной безопасности. И вы должны их научить, присмотреть за ними, обеспечить их безопасность, чтобы они могли комфортно работать.
На этом всё, надеемся вам было интересно и вы узнали что-то новое!