Jak zajistit bezpečnou práci z domova a nezničit vaši firmu?

Paradoxně nemohl být lepší čas na prosazení bezpečnostních opatření než období první vlny pandemie. A nyní přichází (bohužel pro společnost) druhá šance.

Jak zajistit bezpečnou práci z domova a nezničit vaši firmu?


Vzdálený přístup k pracovním prostředkům (VPN) a práce mimo podnikové prostředí má své mantinely. Efektivita práce a nový benefit pro většinu „remoteworkerů“. Má to však svá ALE.

Zcela zásadní pro práci z domova jsou ty správné podmínky. Z pohledu kybernetické bezpečnosti se to nejzásadnější nachází v rizikovém rozšíření perimetru sítě do domácího prostředí. Již nemáme fyzickou kontrolu nad přístupem z firemního IT, zabezpečených a bedlivě sledovaných PC za firewallem. Ale máme domácí připojení, o kterých firemní IT nic nevědí, rodinná PC, na kterých potomci nainstalovali řadu softwaru z pochybných zdrojů, a podobně. V tomto článku bychom rádi zdůraznili ty nejzásadnější dílky ze skládačky pro bezpečný přístup, zejména ty, které často nejsou dokonalé či úplně chybí. Důvěřuj, ale prověřuj. Zařízení, uživatele i data.

Stanovte jasná pravidla i požadavky vzdáleného přístupu

Bez jasných pravidel a podmínek se zaměstnanci budou i nevědomky chovat velmi lehkovážně a rizikově. Pokud existuje firemní politika, směrnice či seznam bodů pro vzdálený přístup, je dobré ji aktualizovat a znovu připomenout. Popsat nejen v obecné rovině principy zabezpečení, ale hlavně jasně stanovit zapojení uživatele a jeho podíl na zabezpečení. Požadavky na zařízení, zvlášť na soukromá, na instalované aplikace (chcete Stream, Zoom, Javu…?), sdílená PC, ukládání firemních dat na lokální úložiště, aktualizovaný antimalware, zapnutý firewall atd. Podpis či souhlas uživatele znamená přijmutí spoluzodpovědnosti.

Použijte pro vzdálený přístup vhodný software

Ověření a vynucení požadavků na bezpečný přístup zajistí vhodný software. Ten před připojením kontroluje koncové uživatelské zařízení a uplatní omezení. Kontrola se může uskutečnit s ohledem na různou úroveň zabezpečení, místo přístupu, nebo mnoho jiných atributů. Na základě výsledného skóre je přístup povolen, zakázán, omezen nebo pouze zaznamená stav. Trendem i špičkou v oblasti zabezpečení je takzvaný podmíněný přístup (conditional access). Desítky atributů na straně PC, chování uživatele a aplikační připravenost určí, jaký bude udělen přístup do podnikové sítě. Můžete tak dosáhnout toho, že méně zabezpečený stroj bude sice do podniku připojen, ale pouze v režimu čtení. Zajímavou a cenově velmi příznivou varian­tou je jistě řešení třetích stran. Například stoupající hvězda FortiGate a Forti klient, která kontroluje aktualizace a zranitelnosti aplikací na PC, a ještě nabídne ověření pomocí SMS.

Vždy šifrujte data i jejich přenos

Zatímco přenos dat je z principu běžných vzdálených přístupů šifrován a je možné jej pohodlně vynutit, data samotná šifrována standardně nejsou. Minimálně pro operační systémy Microsoft Windows a mobilní telefony připojené ke službám Microsoft Exchange je možné zapnout šifrování lokálních úložišť (BitLocker, BitlockerToGo a Active sync), nebo moderní šifrování na základě samotného obsahu bez ohledu na to, kde data leží (Microsoft Information Protection).

Ochraňte identity – bez vícefaktorového přihlášení to nejde

Vzdálený přístup jen pomocí jména a hesla je hazard! Tečka. Bez dalšího faktoru přihlášení vzdálený přístup nepovolujte. Může to být jednoduše SMS zpráva na mobil spojený s uživatelem, může to být aplikace, jako jsou Microsoft či Google Authenticator nebo nějaký jiný třetí prvek. Řešení je poměrně levné a nasazené i jako zcela nový a samostatný prvek za pár dnů i ve velkých společnostech. Jak Microsoft 365, tak již uvedený Fortinet vícefaktorové přihlášení umožňují, a tak výjimky či výmluvy nejsou namístě.

Prověřujte, sledujte a vyhodnocujte aktivity VPN

Přehledný nástroj pro dohled nemusí být rovnou robustní řešení za miliony. Pohodlně si vystačíte s několika licencemi M365 E5 propojenými s vaším firewallem, log analyzátorem nebo jen zvýšenou kontrolou logů. Aktivity vzdáleného přístupu dennodenně sledujte, či přesuňte na dodavatele IT služeb.

Řádně vše vysvětlete zaměstnancům a svému IT

Statistiky ukazují, že za většinou bezpečnostních hrozeb je na počátku chyba uživatele. To, co se vám zdá jako samozřejmost, může být pro ostatní novinkou, nebo zásadním nepochopením. Připravte pro své uživatele srozumitelný způsob, jak jim celou problematiku vysvětlíte jejich řečí. Sdělte jim, o co jde v kybernetické bezpečnosti, začleňte je aktivně do celého procesu. Správně uchopená komunikace může uživatele postavit na vaši stranu a pomoci s udržením celkového zabezpečení. Odborné společnosti dnes nabízejí nejenom školení pro správce IT, ale pomáhají také s adopcí technologií koncovým uživatelům. Zábavnou formou, například pomocí interaktivního školení v Microsoft Teams, pomohou uživateli pochopit, adoptovat změny, akceptovat svou roli, a tím i spojenou odpovědnost.
Je to paradoxně uživatel, který nyní chce změnu, a to se často nestává. Tak využijte příznivé podmínky a zkuste prosadit i další úrovně zabezpečení, které by se ve standardní době prosazovaly velmi ztěžka. 

____
Autor je Managing partner ve společnosti Mainstream Technologies, která poskytuje služby významným zákazníkům a organizacím v ČR také v oblasti bezpečného přístupu.


Úvodní foto: Adobe Stock

Vyšlo v CIO Business World 5/2020
Časopis lze koupit se slevou 20 %





Komentáře