V dôsledku šíriacej sa pandémie musí veľké množstvo zamestnancov pracovať z domu. Dokáže však vaša spoločnosť zostať produktívnou a zabezpečenou aj za týchto okolností?
Vypuknutie koronavírusu (COVID-19) bolo oficiálne označené Svetovou zdravotníckou organizáciou (WHO) ako pandémia, čo znamená, že infekcia sa šíri súčasne vo viacerých krajinách. Slovensko zatvorilo školy, mimo svojich domovov sa ľudia môžu pohybovať len s rúškom a v nemocniciach a domovoch dôchodcov sú zakázané návštevy.
Popredné spoločnosti ako Google a Microsoft zamestnancom odporúčajú, prípadne nariaďujú, aby v tomto období pracovali z domu. Moderné technologické spoločnosti už samozrejme zaviedli potrebné opatrenia súvisiace s prácou na diaľku a veľká väčšina zamestnancov už s najväčšou pravdepodobnosťou používa na prácu laptopy.
V prípade mnohých menších firiem a organizácií je však situácia pravdepodobne veľmi odlišná. Pracovať na diaľku môže zrejme len malý počet zamestnancov, pričom samotná práca je často obmedzená na odosielanie e-mailov a podobné úlohy, ktoré si nevyžadujú prácu s prevádzkovými systémami spoločnosti. Dobrým príkladom sú napríklad výskumné spoločnosti alebo firmy pracujúce v oblasti služieb. Časť zamestnancov musí stále chodiť fyzicky do práce, pretože si ju reálne nevedia vziať domov. Takisto je potrebné spomenúť aj prevádzkový personál, v prípade ktorého je nepravdepodobné, že ide o mobilných zamestnancov, ktorí na prácu používajú prenosné zariadenia namiesto stolových počítačov.
Rozdeliť organizáciu na niekoľko menších skupín s odlišnými požiadavkami a následne hľadať riešenia pre každú z nich, pokiaľ ide o hromadný odchod z pracoviska, sa môže zdať ako príliš zjednodušený, hoci nevyhnutný postup vzhľadom na urgentnú situáciu v niektorých prípadoch.
Na zachovanie produktivity pri práci na diaľku je potrebné splniť niekoľko spoločných požiadaviek:
- počítač,
- rýchle internetové pripojenie,
- aplikácie na komunikáciu a realizáciu konferencií,
- vyhradený pracovný priestor (ideálne),
- telefón (voliteľne),
- sebamotivácia a disciplína,
- striktný pracovný režim.
Prečo je telefón voliteľný? Pokiaľ ide o prácu, telefón už v dnešnej dobe nemusí byť nevyhnutnosťou, pretože väčšina chatovacích aplikácií umožňuje priame volanie. Telefón môže byť skôr požiadavkou zo strany firmy než nevyhnutným zariadením.
Dôležité je, abyboli spoločnosti, organizácie a ich zamestnanci pripravení na zvýšené riziká v oblasti kybernetickej bezpečnosti spojené s prácou na diaľku. Čo patrí medzi výzvy, ktorým musia spoločnosti čeliť?
Fyzická bezpečnosť firemných zariadení
Zamestnanci budú vystavovať firemné zariadenia väčšiemu riziku, pretože opustia štandardné zabezpečenie svojich pracovísk. Zariadenia musia byť zabezpečené pred stratou a krádežou prostredníctvom rôznych opatrení, napríklad:
- Úplné šifrovanie disku zabezpečuje, že aj v prípade, že zariadenie skončí v nesprávnych rukách, zostanú firemné dáta chránené.
- Keď sa zariadenie nepoužíva, treba sa odhlásiť – doma aj na verejných miestach. Nie je ťažké zabrániť tomu, aby napríklad zvedavé dieťa omylom odoslalo e-mail šéfovi.
- Politika silného hesla – zaveďte povinné zadávanie hesla pri spustení systému, nastavte intervaly pre automatické uzamknutie a zakážte písanie hesiel na lepiace papieriky; niektorí ľudia to totiž ešte stále robia.
- Nikdy nenechávajte zariadenie bez dozoru alebo na verejnom mieste. Ak sa zariadenie nachádza v aute, malo by byť umiestnené v kufri a s vypnutou Wi-Fi a Bluetoothom.
Technológie používané v domácom prostredí
Požiadajte svojich zamestnancov, aby pred pripojením pracovných zariadení vykonali bezpečnostný audit svojej domácej siete a odhalili tak prípadné zraniteľnosti. Neustále sa zverejňujú informácie týkajúce sa zraniteľných IoT zariadení a toto je ideálny čas pre zamestnancov, aby vykonali potrebné opatrenia na zabezpečenie týchto zariadení silnými heslami a pravidelnou aktualizáciou firmvéru alebo softvéru.
Predtým, ako umožníte pripojiť pracovné zariadenia k domácej sieti, odporučte alebo dokonca nariaďte zamestnancom, aby používali nástroj, napríklad ESET Internet Security alebo aplikáciu ESET Mobile Security, ktorý dokáže skontrolovať zariadenia v domácej sieti. Takýto typ kontroly upozorní na zariadenia so známymi zraniteľnosťami, neaktuálnym softvérom/firmvérom, prípadne prednastavenými heslami, ktoré je potrebné zmeniť.
Prístup k firemnej sieti a firemným systémom
Identifikujte, či zamestnanec potrebuje prístup k internej sieti alebo len k e-mailu a cloudovým službám. Takisto je potrebné zvážiť, či by zamestnancom pri práci na diaľku mala byť poskytnutá rovnaká úroveň prístupu k citlivým dátam, akú majú na pôde firmy.
Ak je potrebný prístup k internej sieti:
- Prístup k internej sieti odporúčame povoliť len na zariadeniach, ktoré vlastní firma, aby mohli byť dané zariadenia plne spravovateľné IT tímom a tímom pre technologickú bezpečnosť.
- Na pripojenie zamestnancov pracujúcich na diaľku k internej sieti vždy používajte virtuálnu súkromnú sieť (VPN). Vďaka tomu zabránite útokom typu „man-in-the-middle“ (MITM) zo vzdialených lokalít. Pamätajte, že pri práci z domu prebieha dátová komunikácia cez verejné siete.
- Regulujte používanie externých zariadení, ako sú úložné zariadenia USB a periférne zariadenia.
Povolenie prístupu k e-mailu a cloudovým službám zo zariadenia zamestnanca:
- Používajte rovnakú bezpečnostnú politiku pokiaľ ide o antimalvérovú ochranu, firewall a podobne, ako v prípade zariadení spravovaných firmou. V prípade potreby poskytnite zamestnancom licencie pre rovnaké bezpečnostné riešenia, aké sa používajú na firemných zariadeniach. Ak potrebujete dodatočné licencie, kontaktujte svojho poskytovateľa bezpečnostných riešení. Môžu mať k dispozícii riešenia, ktoré vám pomôžu v tejto bezprecedentnej situácii.
- Obmedzte ukladanie, sťahovanie a kopírovanie dát. K úniku dát môže dôjsť na akomkoľvek zariadení, ktoré obsahuje citlivé firemné dáta.
- Zvážte poskytnutie prístupu k firemnej sieti prostredníctvom virtuálnych počítačov. Vďaka tomu budú zamestnanci pracovať v regulovanom prostredí a dôjde k obmedzenému vystaveniu firemnej siete domácim prostrediam. Takýto postup si môže vyžadovať náročnejšiu konfiguráciu, zároveň však môže ísť o ideálne dlhodobé riešenie.
Viacfaktorové overovanie (MFA) zabezpečuje, aby bol prístup, či už ide o cloudové služby alebo úplný prístup k sieti, poskytnutý iba oprávneným používateľom. Vždy, keď je to možné, používajte aplikáciu alebo fyzický hardvérový token na generovanie jednorazových kódov, ktoré slúžia na zabezpečenie overeného prístupu. Ak ste pod časovým tlakom a potrebujete riešenie nasadiť čo najrýchlejšie, v takom prípade môže byť vhodnejšie použiť na účely autentifikácie aplikáciu, pretože nie je potrebné obstarať hardvér a zabezpečiť jeho distribúciu. Systémy fungujúce na báze aplikácií poskytujú efektívnejšie zabezpečenie ako SMS správy, a to najmä v prípade, že zariadenie, na ktoré sú odosielané kódy, nie je spravované firmou. Takéto zariadenie sa môže stať obeťou útoku súvisiaceho s výmenou SIM karty.
Nástroje na spoluprácu a procesy autorizácie
Spomenúť tieto dve veci v jednom nadpise sa môže zdať zvláštne, hoci jedna vec môže zabrániť vzniku problémov s druhou.
- Poskytnite zamestnancom prístup k chatovacím, video a konferenčným systémom, aby mohli navzájom komunikovať. Vďaka tomu budú mať zamestnanci k dispozícii potrebné nástroje na udržanie produktivity a takisto im to pomôže udržiavať kontakt so svojimi kolegami.
- Používajte nástroje na spoluprácu ako formu zabezpečenia pred neoprávnenými pokynmi alebo transakciami. Kybernetickí zločinci pravdepodobne zneužijú fakt, že veľa zamestnancov v tomto období pracuje z domu, a pokúsia sa o útoky zamerané na kompromitáciu firemných e-mailov (tzv. BEC útoky). Ide o prípady, kedy podvodník žiada adresáta o bezodkladný prevod finančných prostriedkov bez možnosti osobného potvrdenia žiadosti. Používajte videokonferencie a chatovacie systémy ako formálnu súčasť schvaľovacieho procesu, aby potvrdenie prebehlo vždy osobne, a to aj v prípade, že ide o komunikáciu na diaľku.
Edukácia
Spoločnosť ESET už varovala, že momentálne sú v obehu početné podvody súvisiace s témou COVID-19, ktoré zneužívajú dezinformácie, nevedomosť a nedostatok istého druhu tovaru, napríklad rúšok. Keď sa zamestnanci presunú zo svojich pracovísk do uvoľnenejšieho prostredia, môže sa stať, že kliknú na rôzne odkazy, keďže sa okolo nich nenachádzajú kolegovia, ktorí by ich mohli pristihnúť pri pozeraní vtipného videa alebo návšteve rôznych webových stránok.
Absolvovanie školenia určeného na zvyšovanie povedomia o kybernetickej bezpečnosti je zvyčajne pre zamestnancov ak vôbec, tak len každoročnou povinnosťou. Určite by bolo rozumné ponúknuť zamestnancom svieži pohľad na vec a pomôcť im eliminovať ľudský faktor, ktorý sa kybernetickí zločinci snažia zneužiť. Zvážte spustenie kampane a realizáciu náležitých školení predtým, ako zamestnanci začnú pracovať na diaľku, prípadne hneď po tom.
Podpora a krízový manažment
V zhone poskytnúť zamestnancom vzdialený prístup neobetujte kybernetickú bezpečnosť ani schopnosť spravovať systémy a zariadenia. Schopnosť poskytovať podporu používateľom na diaľku je nevyhnutná na zabezpečenie bezproblémovej prevádzky, a to hlavne v prípade, že sa používatelia dostanú do karantény kvôli zdravotným problémom. Zamestnanci pracujúci na diaľku musia dodržiavať jasné pravidlá komunikácie, pokiaľ ide o IT podporu a krízový manažment v prípade, že sa stretnú s nezvyčajnými alebo podozrivými problémami, ktoré mohli vzniknúť v dôsledku bezpečnostného incidentu.
Z technologického hľadiska však existujú ďalšie aspekty, ktoré je potrebné zvážiť. Napríklad, môže ísť o zrušenie alebo obmedzenie používania RDP, o čom píše vo svojom nedávnom blogovom príspevku, ktorý napísal náš kolega Aryeh Goretsky.
Okrem technológie a funkčných procesov existujú aj ďalšie kľúčové faktory, ktoré majú vplyv na efektívnu prácu z domu:
- Komunikácia – zvážte tímové hovory jedenkrát denne, informujte ľudí o stave a dajte každému priestor podeliť sa o skúsenosti a problémy.
- Odozva – práca na diaľku nie je to isté ako práca v kancelárskom prostredí. Vytvorte jasné pravidlá týkajúce sa rýchlosti odozvy pre zamestnancov pracujúcich z domu v závislosti od typu komunikácie (e-mail, Slack, pozvánky do kalendára atď.).
- Reporting – línioví manažéri musia zaviesť postupy, ktoré im umožnia zistiť, či zamestnanci pracujúci z domu plnia zadané úlohy (povinné skupinové stretnutia, tímová spolupráca, denné/týždenné/mesačné reporty).
- Pracovný harmonogram – dohodnite si spôsob začatia a ukončenia pracovného dňa, pričom kľudne môže ísť aj o tak jednoduchú vec, ako je napríklad popriať si v skupinovej konverzácii dobré ráno a odštartovať tak svoj deň.
- Zdravie a bezpečnosť – je potrebné, aby si zamestnanci brali domov ergonomické klávesnice, ktoré používajú v kancelárii, aby mali rovnaký komfort? Práca z domu neznamená, že odpadá zodpovednosť za vytvorenie vhodného pracovného prostredia.
- Zodpovednosť – zabezpečte krytie majetku firmy v čase, keď sa nachádza u zamestnancov.
- Technická podpora – distribuujte kontaktné informácie. Všetci zamestnanci pracujúci na diaľku potrebujú vedieť, ako získať pomoc v prípade potreby.
- Socializácia – spájajte zamestnancov pracujúcich na diaľku, najmä virtuálne. Sociálna interakcia je dôležitou súčasťou motivácie a zvyšuje produktivitu. Zvážte pridelenie mentorov a povzbudzujte vytváranie priateľstiev, aby sa mal každý zamestnanec na koho obrátiť, keď sa potrebuje socializovať alebo pomôcť pri riešení problému.
- Dostupnosť – zaveďte politiku virtuálneho manažmentu „otvorených dverí“, rovnako ako v kancelárii. Zabezpečte, aby boli ľudia ľahko dostupní.
Nepredpokladajte, že všetci zamestnanci dokážu prejsť na prácu z domu efektívne a s minimálnou pomocou. Domov predsa len nie je kancelária a môžu potrebovať značnú pomoc, aby sa dokázali prispôsobiť zmene.
Z určitého pohľadu už svet nikdy nemusí byť rovnaký ako predtým. Takáto hromadná práca z domu sa môže ukázať ako spoločenský a pracovný experiment, na ktorý by sa v takomto rozsahu podujalo len veľmi málo spoločností. Vrátime sa ešte niekedy do práce tak ako predtým?
Zostaňte zdraví a v bezpečí!