По всему миру сотрудники массово переводятся на работу из дома, как по причине карантина, так и в рамках сокращения издержек. Безусловно это самый массовый рост удаленной работы за всю историю. Но не стоит забывать о угрозах, которые скрываются в данном направлении.
Ниже я описал основные моменты на которые стоит обратить внимание и что можно предпринять, чтобы минимизировать риски в данных обстоятельствах.
ПК сотрудника. На ПК сотрудника, личный он или корпоративный должно ОБЯЗАТЕЛЬНО стоять антивирусное ПО. Без него время заражения ПК с подключением к глобальной сети Internet исчисляется часами. Также рекомендовано использовать персональные межсетевые экраны.
Программы удаленного доступа. Например, одна из самых популярных: TeamViewer - может быть уязвима в ряде версий. Сторонний человек может получить доступ к вашему ПК и выполнить действия для вывода денег или краже информации. Если вам нужно настраивать ПК удаленно пользуйтесь только последней официальной версией с включенным 2 FA. И вообще откажитесь от не лицензионного ПО на ПК с критичной или финансовой информацией, так как бесплатно это значит что кто-то за это платит. В лучшем случае это реклама или майнинг, в худшем троян, который ворует у вас информацию и деньги.
Распространение информации. Передавая информацию для обработки сотрудникам на личных ПК, вы сильно расширяете периметр ее обращения. И вероятность ее утечки к конкурентам как преднамеренно, так и случайно очень сильно возрастает. Контролируйте передачу критичной информации. Возможно стоит рассмотреть возможность подключения к терминальным серверам без права копирования, для обработки таковой информации. Вариант с предоставлением ноутбука с ограниченными правами тоже возможен, хоть и является менее эффективным.
Передача информации. Следует помнить, что вся передаваемая информация на флеш накопителях или по почте должна быть зашифрована. Можно использовать контейнеры Truecrypt, создавать запароленные архивы или использовать PGP. В любом случае это должна быть шифрованная передача информации любыми каналами - флеш накопитель, почта или мессенджеры. В противном случае не один канал не гарантирует безопасности передачи данных.
Сервисы. Если вы используете Google Docs озаботьтесь кому и на какой срок вы предоставляете доступ к документам. Если пользуетесь почтой, это должна быть именно корпоративная почта. Настоятельно рекомендую включить двухфакторную аутентификацию (2FA) для доступа ко всем важным сервисам.
Правовые аспекты. Вы не можете просто поставить на ПК сотрудника кейлогер, чтобы смотреть, что он делает или включить камеру. Это должно быть письменно согласовано с сотрудником. И в целом, если вы используете такие методы, то возможно это говорит о неправильной оценке эффективности сотрудника (KPI) и требуется приложить усилия для их корректирования. Также в рамках использования общедоступных сервисов и приложений поинтересуйтесь договором публичной оферты и правовыми аспектами договора.
Непрерывность бизнеса. Если у вас не внедрены процессы BCM (процессы непрерывностью бизнеса) то сейчас самое время озаботится этим вопросом. Описать процессы и подготовить планы реагирования. А если таковые есть, то это отличная возможность их протестировать. И начать стоит, например, с проверки систем бекапирования.
ПК сотрудника. На ПК сотрудника, личный он или корпоративный должно ОБЯЗАТЕЛЬНО стоять антивирусное ПО. Без него время заражения ПК с подключением к глобальной сети Internet исчисляется часами. Также рекомендовано использовать персональные межсетевые экраны.
Программы удаленного доступа. Например, одна из самых популярных: TeamViewer - может быть уязвима в ряде версий. Сторонний человек может получить доступ к вашему ПК и выполнить действия для вывода денег или краже информации. Если вам нужно настраивать ПК удаленно пользуйтесь только последней официальной версией с включенным 2 FA. И вообще откажитесь от не лицензионного ПО на ПК с критичной или финансовой информацией, так как бесплатно это значит что кто-то за это платит. В лучшем случае это реклама или майнинг, в худшем троян, который ворует у вас информацию и деньги.
Распространение информации. Передавая информацию для обработки сотрудникам на личных ПК, вы сильно расширяете периметр ее обращения. И вероятность ее утечки к конкурентам как преднамеренно, так и случайно очень сильно возрастает. Контролируйте передачу критичной информации. Возможно стоит рассмотреть возможность подключения к терминальным серверам без права копирования, для обработки таковой информации. Вариант с предоставлением ноутбука с ограниченными правами тоже возможен, хоть и является менее эффективным.
Передача информации. Следует помнить, что вся передаваемая информация на флеш накопителях или по почте должна быть зашифрована. Можно использовать контейнеры Truecrypt, создавать запароленные архивы или использовать PGP. В любом случае это должна быть шифрованная передача информации любыми каналами - флеш накопитель, почта или мессенджеры. В противном случае не один канал не гарантирует безопасности передачи данных.
Сервисы. Если вы используете Google Docs озаботьтесь кому и на какой срок вы предоставляете доступ к документам. Если пользуетесь почтой, это должна быть именно корпоративная почта. Настоятельно рекомендую включить двухфакторную аутентификацию (2FA) для доступа ко всем важным сервисам.
Правовые аспекты. Вы не можете просто поставить на ПК сотрудника кейлогер, чтобы смотреть, что он делает или включить камеру. Это должно быть письменно согласовано с сотрудником. И в целом, если вы используете такие методы, то возможно это говорит о неправильной оценке эффективности сотрудника (KPI) и требуется приложить усилия для их корректирования. Также в рамках использования общедоступных сервисов и приложений поинтересуйтесь договором публичной оферты и правовыми аспектами договора.
Непрерывность бизнеса. Если у вас не внедрены процессы BCM (процессы непрерывностью бизнеса) то сейчас самое время озаботится этим вопросом. Описать процессы и подготовить планы реагирования. А если таковые есть, то это отличная возможность их протестировать. И начать стоит, например, с проверки систем бекапирования.
Если у вас есть вопросы или необходима консультация по вопросам безопасности - обращайтесь на почту, буду рад помочь.
