Основные правила безопасности при удаленной работе
Основные правила безопасности при удаленной работе
Три главных риска при удаленной работе – незащищенные сети и личные устройства, низкая осведомленность сотрудников в вопросах ИБ и фишинг. Эти факторы увеличивают риск попадания вредоносных программ на устройства и утечки личной и служебной информации.
Стоит выделить несколько направлений, в которых должна развиваться информационная безопасность компании:
-
Обеспечение безопасного доступа к IT-сети компании с домашних устройств;
-
Выделение отдельных устройств для выполнения рабочих задач, если это возможно, либо контроль безопасности доступа к корпоративным приложениям;
-
Выбор оптимальных, с точки зрения безопасности, приложений для рабочих процессов;
-
Обучение персонала основам информационной безопасности, разработка необходимого регламента работы, нормативных требований;
-
Постоянный контроль и обновление прав доступа;
-
Создание дистанционной «кризисной» поддержки с правами удаленного прямого доступа к устройствам сотрудников во время кризисной ситуации.
Обучение каждого сотрудника компании мерам безопасности имеет решающее значение для защиты доступа к информации и критически важным системам. Инструкции по информационной безопасности во время удаленной работы, проведение различных курсов по ИБ, рассылка обучающих статей и другой информации будет способствовать повышению осведомленности сотрудников о рисках и методах защиты данных. При обучении особое внимание стоит уделить вопросам выявлению фишинга.
Подготовьте инструкцию по работе с данными компании, в которой отразите обязательные требования, такие как:
-
Запрет на совместное использование рабочих компьютеров и других устройств. Когда сотрудники приносят домой рабочие устройства, эти устройства не должны использоваться совместно или использоваться кем-либо еще в доме. Это снизит риск несанкционированного или случайного доступа к защищенной информации компании.
-
Информацию о компании нельзя загружать или сохранять на личных устройствах сотрудников или в облачных службах, включая флэш-накопители или облачные службы, такие как их личные учетные записи на Google, Яндекс Диски или Dropbox.
-
Все устройства сотрудников должны иметь последнюю версию ПО, которая устанавливается автоматически после перезагрузки устройства. Автоматическая загрузка обновлений не должна быть отключена.
-
Если сотрудники пользуются личными устройствами, они должны в обязательном порядке установить на антивирусное ПО.
-
Использование общих сетей для работы с корпоративными данными должно быть под строжайшим запретом.
Советы по безопасной удаленной работе:
-
Настройте двухфакторную аутентификацию. Двухфакторная аутентификация (2FA) создадут дополнительный барьер безопасности. Это может быть подтверждение по электронной почте, текстовое сообщение и т.д.
-
Используйте надежные пароли и шифрование данных. Используйте программное обеспечение для шифрования в целях защиты конфиденциальных данных, таких как записи сотрудников, информация о клиентах / партнерах, финансовые отчеты. Для полного шифрования можно использовать VeraCrypt или BitLocker.
-
Используйте VPN. Если ваша организация уже использует VPN, убедитесь, что он охватывает все отделы и всех сотрудников. Если ваша компания не использует VPN, внедрение этого инструмента удаленной работы критически важно для безопасности ИТ-инфраструктуры вашего бизнеса. При организации рабочего процесса через VPN необходимо исключить раздельное туннелирование (split tunneling) и упаковать пользовательский трафик в инфраструктуру с помощью периметровых средств защиты.
-
Используйте антивирус и средства защиты конечных устройств. Хорошее антивирусное программное обеспечение может выступать в качестве первой линии защиты, обнаруживая и блокируя известные вредоносные программы. Ко всему прочему существуют системы класса «Endpoint Detection & Response» (EDR), позволяющие следить за деятельностью сотрудников, проводить анализ сетевого трафика и моментально блокировать угрозы со стороны.
-
Защитите домашний роутер. Смените пароль маршрутизатора и убедитесь, что установлены обновления прошивки, чтобы можно было исправить уязвимости в системе безопасности. Шифрование должно быть установлено на WPA2 или WPA3. Ограничьте входящий и исходящий трафик, используйте самый высокий доступный уровень шифрования и отключите WPS.
-
Регулярно устанавливайте обновления. Постоянная проверка на неисправности, а также регулярные обновления ПО позволят вовремя устранить уязвимости и помешать взлому из вне.
-
Остерегайтесь фишинговых писем и сайтов. Не нажимайте на ссылки или вложения, если не доверяете отправителю или не уверены в содержимом.
-
Используйте зашифрованные сообщения. Основные сервисы обмена сообщениями, такие как WhatsApp и Telegram, по умолчанию или в качестве опции поставляются со сквозным шифрованием. Можно использовать специализированные провайдеры зашифрованной электронной почты, такие как Hushmail и SendInc.
-
Применяйте корпоративные меры безопасности. Публичные сервисы для обмена файлами (Google Диск, Облако mail.ru и т. д.) не дают 100 % защиты конфиденциальности информации. Для корпоративных целей лучше использовать защищенный удаленный центр.
-
Обеспечьте регулярное резервное копирование всей корпоративной информации на удаленных устройствах персонала.
Независимо от того, работаете ли вы удаленно или в офисе, следование этим советам по интернет-безопасности и их интеграция в корпоративную ИТ-политику поможет защитить ваш бизнес.