среда, 22 апреля 2020 г.

Растущие риски удаленной работы и как с этим справиться

Прошло уже больше месяца после начала карантина, а компании перевели на удаленную работу сотрудников.

За это время большинство компаний: 

1. Начали экономить и остановили часть проектов.
2. Перевели сотрудников на удаленную работу.
3. Урезали бонусы и выплаты.
4. Ограничили или отменили внешние обучения.
5. Остановили набор сотрудников, а некоторые и вовсе сократили штат. 

Как следствие
1. Периметр информационной инфраструктуры размыт.
2. Количество утечек растет.
3. Сотрудники менее лояльны.
4. Бюджеты на решения и функции безопасности сокращаются.
5. Риски увеличиваются.

Но у хакеров таких проблем нет, они с радостью пользуются ситуацией, новыми возможностями и новыми уязвимостями систем и инфраструктуры. 
1. Появились вирусы, рассылки и приложения посвященные COVID (1, 2, 3).
2. Zoom и TeamViewer не панацея, а угроза (1 и 2).
3. Проникновение в инфраструктуру (1).

Хотелось бы написать, что для решения актуальных вопросов безопасности нужно внедрять DLP, IDM, SSO, BYOD и прочие мудреные и дорогие системы, но в ограниченных сроках и уменьшающихся бюджетах для большинства компаний это не реально. 

Что же реально можно сделать? 
1. Пересмотреть или провести анализ рисков.
2. Проанализировать и описать новые процессы.
3. Провести обучения персонала требованиям безопасности. 
4. Уделить дополнительное внимание мониторингу инцидентов.
5. Обратить внимание как организован удаленный доступ.
6. Построить процессы передачи информации. 
7. Попросить у производителей бесплатные лицензии на ограниченный период, если они предоставляют такую возможность. Рассмотреть внедрение бесплатных или условно бесплатных решений (но не решений с взломанными или ворованными ключами). Ничего совсем бесплатно не бывает - вы просто сами таким образом установите троян в своей инфраструктуре.
8. Внедрить везде где используется удаленный доступ - 2FA. 
9. Отдать часть функций сотрудникам смежных сфер, ресурсы которых освободились, если того позволяет их компетенция. Например, провести аудит учетных записей систем, проектному менеджеру или qa вполне по силам. Возможно, в будущем из кого то из них получится профильный специалист.
10. Привлечь специалиста по безопасности на контрактной основе с четко оговоренными KPI, что эффективнее и дешевле, чем специалист в штате.

Также будет полезно прочесть предыдущую статью по данной теме. 

Комментариев нет: