QualityAustria

Co warto wiedzieć, aby zapewnić bezpieczeństwo pracy zdalnej?

Baza wiedzy


Co warto wiedzieć, aby zapewnić bezpieczeństwo pracy zdalnej?

Co warto wiedzieć, aby zapewnić bezpieczeństwo pracy zdalnej?

Jak nie dać się oszukać w sieci? Czego każdy pracodawca powinien być świadomy, aby nie narazić firmy na straty w związku z wykonywaniem przez pracowników pracy w formie zdalnej? Co każdy pracownik powinien wiedzieć?

W związku z pandemią koronawirusa i koniecznością przejścia wielu organizacji na pracę zdalną, pytania te nabierają szczególnego znaczenia.

 

Bezpieczeństwo i kontrola w kontekście pracy zdalnej

 

Dobrze, gdy firmy monitorują u siebie sprawy bezpieczeństwa, zwłaszcza dziś, gdy mamy do czynienia z coraz większą liczbą ataków w sieci. Obecnie, gdy większość firm przeszła na pracę zdalną, to wzrost, jeśli chodzi o różnego rodzaju ataki jest naprawdę bardzo duży. Jest to szczególnie widoczne w części dotyczącej pracy administracyjnej, czyli tej części, w której przetwarzamy dane.

Tym bardziej jest to widoczne,  jeżeli wykorzystuje się systemy NBA (Network Bahavior Analysis), czyli systemy do analizy zachowań użytkowników w sieci. Ilość zagrożeń, jaka się pojawia, ilość ataków, gdzie widzimy w logach, gdy ktoś próbuje atakiem siłowym zaatakować skrzynki naszych pracowników, jest naprawdę zaskakująca.

 

 

 

Popularność Home Office.

 

Co ciekawe, z sondażu wynika, ze Polacy lubią pracę w modelu Home Office. Jak zawsze ma to swoje plusy i minusy. Wiele osób z chęcią wróciłoby już do pracy, bo widzi, że nie daje rady, albo widzi, że tworzą się zaległości. To zależy oczywiście od tego jak pracownicy są monitorowani. Bardzo ważne jest, żeby to mierzyć czy system monitorowania działa oraz czy i jak możemy to zweryfikować.

Bruce Schneier, jeden z guru kryptografii na świecie, powiedział: 

"Jeśli wezmę list, zamknę go w sejfie, ukryję sejf gdzieś w Nowym Jorku i każę Ci go przeczytać - to nie jest bezpieczeństwo.

Z drugiej strony, jeśli wezmę list, zamknę go w sejfie, a następnie przekażę Ci ten sejf wraz z jego specyfikacją techniczną oraz setką identycznych sejfów z ich kodami, abyś razem z najlepszymi włamywaczami świata mógł przestudiować jego zabezpieczenia - a Ty nadal nie będziesz go mógł otworzyć i przeczytać listu - to właśnie jest bezpieczeństwo".

Na co pracodawcy powinni zwrócić uwagę? Na to, z jakich urządzeń rzeczywiście odbywa się praca ich pracowników.

 

Przykład:

W logach służbowych nie tak rzadko można zaobserwować, że ktoś dostał komputer na przykład z zainstalowanym systemem Windows, a widoczny jest zupełnie inny system. Oznacza to, że dany pracownik wykorzystuje nie do końca to urządzenie, które powinien.

Warto to weryfikować, warto mierzyć, bo jeśli się tego nie robi, to tak naprawdę nigdy nie da się zadbać o bezpieczeństwo.

Jeśli mówimy, że coś naprawdę jest bezpieczne, to powinniśmy znać specyfikację tego jak jest i po kontroli całego procesu, czy po audytowniu tego procesu, ktoś powinien potwierdzić, że tak jest rzeczywiście i wszystko działa poprawnie.

 

Norma ISO 27001 – czym jest bezpieczeństwo informacji i jak je zapewnić?

 

Można powiedzieć, że norma ISO 27001 to w zasadzie jest „biblia” zarządzania bezpieczeństwem informacji w wielu organizacjach. Może nam ona pomóc zrozumieć jak jest zbudowany i jak działa taki system zarządzania oraz co jest w nim istotne (więcej informacji na ten temat w artykule: Czym jest ISO 27001? ).

 

 

Bardzo istotnym elementem zapewnienia bezpieczeństwa informacji jest zachowanie ich poufności, integralności i dostępności.

Co to oznacza w praktyce?

 

1) Poufność – oznacza to, że do informacji może mieć dostęp tylko ta osoba, która powinna.

 

2) Integralność – mówi, że ta informacja, z którą się zapoznajecie, to jest dokładnie ta sama informacja, którą stworzył jej twórca, i że nie została ona zmodyfikowana przez wirusa albo jakąś osobę w inny sposób.

 

Przykład:

Dla każdej księgowej, która na przykład tworzy prowizorium budżetowe w formularzu Excel, utracenie go nie byłoby aż takim problemem, gdyż sposobów odzyskania tego pliku jest dosyć dużo. Natomiast największy problem będzie wtedy, kiedy ktoś uderzy w integralność tego pliku, tzn. jeżeli ktoś dostanie się do tego pliku i np. w poniedziałek zmieni jedną wartość, we wtorek zmieni dwie kolejne wartości, w środę następną, w czwartek i piątek w sumie już nic nie musi zmieniać. W następny poniedziałek, przy założeniu takim, że wiele firm, zwłaszcza małych robi backupy całościowe, czyli ma 5 nośników i codziennie dokonuje zmian, to po 5 dniach organizacja nie ma już żadnych kopii zapasowych.

Integralność to bardzo niedoceniany aspekt bezpieczeństwa, ale bardzo istotny!

 

3) Dostępność – może się w dużym stopniu przyczynić do obniżenia poziomu bezpieczeństwa. W sumie dosyć łatwo zadbać o zapewnienie poufności i integralności informacji, natomiast zapewnienie dostępności to jest zawsze kompromis. Związane jest to między innymi z tym, że pracownicy chcą mieć dostęp do określonej informacji najprościej jak się da.

 

Ważne, aby zwracać uwagę na urządzenia końcowe poszczególnych użytkowników, bo to tam są największe zagrożenia, a nie systemy centralne, z których dana organizacja korzysta.

Należy też pamiętać o cytacie Bruca Schneiera: „Bezpieczeństwo nie jest produktem, lecz procesem”.

Nie można wdrożyć systemu bezpieczeństwa i nie można zapewnić bezpieczeństwa pracy zdalnej, jeżeli nie będzie się tego cały czas monitorować i nie nałoży się pewnych reguł, które, niestety w dużej mierze, będą ograniczać użytkownika.

 

Bezpieczeństwo pracy na miejscu w firmie a bezpieczeństwo pracy zdalnej – porównanie.

 

Zabezpieczenie od strony technicznej samego sprzętu jest dosyć proste, natomiast monitorowanie, a przede wszystkim spełnianie różnego rodzaju oczekiwań kierownictwa, poszczególnych pracowników, czy potrzeb biznesowych, które się pojawiają, powoduje często spore problemy.

Co zrobić, by było bezpiecznie?

Zastanówmy się jak to wyglądało wcześniej, a jak wygląda teraz.

 

 

Waszą organizację, bez względu na to, czy jesteście z sektora publicznego, czy prywatnego, buduje się jak swego rodzaju warownię. Oznacza to, że mieliście do tej pory zamek zabezpieczony zabezpieczeniami w stylu fosy, był jakiś most zwodzony, czyli to była jedyna droga, która prowadziła do zamku. Na końcu mostu były jakieś wrota, jakaś krata, na górze stali strażnicy. Skarbiec był schowany w trudno dostępnym miejscu.

Jak to wygląda z perspektywy bezpieczeństwa w sieci?

Identycznie.

Tak, jak mamy most zwodzony i drogę prowadzącą do zamku, tak mamy łącze do internetu. To łącze do internetu powinno być jedynym łączem do internetu, jakie firma posiada (należy pamiętać o backupie).

Zamiast wrot - obecnie mamy firewall, mamy router, mamy jakieś systemy typu: IDS, IPS, UDM.

Tak jak strażnicy stali na baszcie, tak teraz mamy program antywirusowy, jakiś filtr antyspamowy.

Te dane, które rzeczywiście chronimy są schowane w Data Center.

Co się zmieniło?

Zmieniło się to, że nasi pracownicy wyszli z zamku i pochowali się wśród drzew, a my chcemy, żeby było bezpiecznie.

To, że pracownik znajduje się w domu, to tak naprawdę chodzi o końcówkę jego urządzenia, które powinno stać się częścią firmy z miejsca, z którego łączy się z siecią. Od strony technicznej można to zrealizować bez problemu.

Ponieważ jednak dane przetwarzane w pracy zdalnej powinny być praktycznie tak samo bezpieczne jak w normalnej pracy, na dobrze zabezpieczonym stanowisku pracy, to najpierw trzeba zrobić porządną analizę ryzyka, ale o tym już w kolejnym artykule.

 

Wiedzę o bezpieczeństwie informacji można poszerzyć korzystając z poniższego linka: 

 

 

 

 

 

 



Quality Austria - Polska Sp. z o.o.

Quality Austria