Home office VS biztonság

A koronavírus (COVID-19) terjedésének megfékezése érdekében egyre több hazai vállalkozás esetében kerül előtérbe az otthoni munkavégzés. Ezen a területen azonban egyelőre sok a kérdőjel, mind a cégek, mind a munkavállalók oldalán. Összegyűjtöttük a legfontosabb tudnivalókat a biztonságos otthoni munkavégzéshez.

Miket érdemes a vállalkozásoknak megfontolni, ha el akarják kerülni az adatvesztéseket, vagy a bizalmas vállalati információk illetéktelen kezekbe kerülését? Végigmegyünk a legfontosabb tudnivalókon, de ha további kérdések is felmerülnének, az ESET szakemberei most díjmentesen segítenek a cégeknek.

Az otthoni munkavégzés (home office) váratlan és gyors elindítása komoly kihívás a munkaadóknak, a munkavállalóknak és az informatikai szakembereknek egyaránt. Nem egyszerű ugyanis IT oldalról azt megoldani, hogy egyik napról a másikra egy cég személyi állományának nagy része otthonról dolgozzon, kiváltképp, ha a vállalkozás technikai oldalról nincs felkészülve egy ilyen lépésre. Különösen nagy problémát jelenthet az otthoni munkavégzés a bizalmas adatokat kezelő, vagy komolyabb hardver- illetve szoftver környezettel dolgozó munkáltatók esetén.

Mit tehetnek a munkaadók? Ilyen rövid idő alatt jelentősebb hardver- és szoftverbeszerzések nem várhatók egy cég esetében, tehát minden vállalkozásnak a meglévő eszközállományával kell boldogulnia. A cégek többségénél ráadásul nincs kialakított eljárásrend egy ilyen helyzetre, amely tovább növeli a bizonytalanságot. Az első lépés, hogy a cégen belül a munkavállalók megfelelő tájékoztatást és oktatást kapjanak az otthoni munkavégzésről, annak feltételeiről, valamint arról, hogy a home office során az eltérő helyen történő munkavégzéskor alkalmazott törvényi kötelezettségek továbbra is érvényesek.

A munkaadónak tehát egyértelmű elvárásokat kell megfogalmaznia a munkavállalók felé, és ki kell alakítani egy megfelelő rendszert arra is, hogy az otthon elvégzett munkáról pontosan informálják a vállalatot (riportolás). Az otthonról történő munkavégzés során ugyanis a munkáltató nehezebben tudja ellenőrizni a feladatok elvégzését, azonban a különleges körülményektől függetlenül a munkavállaló továbbra is együttműködésre köteles, ezért a munkaadó jogosult akár nem szokványos módon is ellenőrizni a munkavégzést.

A hatékony és biztonságos otthoni munkavégzéshez szükséges legfontosabb lépések egy vállalkozás esetében:

– Megbízható eszközök biztosítása. Általában a saját eszközről történő távoli belépést a vállalkozások nagy része nem engedélyezi, vagy ha igen, akkor erősen korlátozva és pontosan szabályozva, hogy ki és mihez férhet hozzá, illetve aktív, rendszeresen frissített végpontvédelemnek kell lenni a munkavállaló eszközén. Amennyiben a dolgozó mégis saját eszközét használja, akkor ahhoz teljes hozzáférést kell biztosítani az IT-csoport tagjai számára.
https://www.eset.com/hu/vallalati/vegpontvedelem/windows-security/

– A megfelelő szoftverek biztosítása. Amennyiben a munkavállaló számára a távoli asztali elérés nem biztosítható, tehát saját otthoni eszközéről szükséges munkát végeznie, a megfelelő szoftverek biztosítása elengedhetetlen. A legtöbb otthoni eszköz általában rendelkezik az alap irodai szoftverekkel, azonban speciális, a biztonságos munkavégzéshez szükséges programok nem feltétlenül találhatóak meg a munkavállaló privát gépén, így ezekről a vállalatoknak saját érdekükben is gondolkodniuk kell.

– Nagy sávszélességű internetes kapcsolat megléte. Nagy mennyiségű adatok távoli mozgatásához, illetve a felhasználók zökkenőmentes hozzáférésének biztosításához megfelelő internetkapcsolat szükséges, amely már sok helyen adott, bizonyos esetekben azonban – főleg vidéki munkavállalók esetén – problémát okozhat.

– Biztonságos VPN. A cégek részéről mindenképpen szükséges egy megfelelő biztonsági szintű, legalább SSL-alapú VPN (Virtual Private Network, azaz virtuális magánhálózat) kapcsolat kialakítása, egy erős tanúsítvánnyal kombinálva – ez a biztonságos otthoni munkavégzéshez elengedhetetlen.

– Együttműködési eszközök. A távoli munkavégzéshez szükséges együttműködési eszközök (videokonferencia, chat, konferenciahívás) használatának bevezetése, engedélyezése.

– Hozzáférések kezelése. Célszerű csak a benti (céges) eszközükhöz való hozzáférés engedélyezése, így a házirendeket már nem kell külön szabályozni, hiszen arra az eszközre az érvényesül. Ezek például a különféle jogosultságok, mappákhoz való hozzáférések stb. Ezen kívül kötelezi kell a dolgozókat, hogy ha már nem használnak egy alkalmazást vagy programot, akkor minden esetben lépjenek ki belőle, hogy a család többi tagja véletlenül se tudjon kéretlen üzeneteket, adatokat küldeni a kollégák számára, amely megtévesztő lehet.

– Külső eszközök használatának korlátozása. Az olyan külső eszközök, mint az USB-meghajtók és más perifériák használatát korlátozni kell a biztonság érdekében.

– Vírusvédelem. Többrétegű, átfogó vírusvédelmi megoldás használata.

– Adatok titkosítása. A bizalmas üzleti adatok védelme, valamint az adatvédelmi előírásoknak való megfelelés ebben az esetben is kiemelten fontos. Ehhez elengedhetetlen az adatok megfelelő titkosítása, amely akár távolról is irányítható a vállalat szakemberei által. A titkosítás mellett, az adatok letöltését, másolását és tárolását is korlátozni kell a felhasználók eszközein.

– Megfelelő azonosítás. A nagyobb biztonság érdekében erősen javasolt a kétfaktoros azonosítás alkalmazása.

– Erős jelszavas védelem. A jelszavak használatának előírása rendszerindításkor, inaktivitás idejének beállítása, amely után újbóli bejelentkezés szükséges, valamint a jelszavak jól látható helyre való kiírásának tiltása – a monitorra ragasztott jegyzetek még mindig népszerűek a felhasználók körében.

– Feladatlista és ütemezés. Megfelelő feladatkiosztó (nyilvántartó és szervező) program, applikáció vagy weboldal használata annak érdekében, hogy a munkavállalók ne dolgozzanak feleslegesen a korlátozott kapcsolattartás esetén, illetve ne maradjon olyan feladat, amelyhez nem rendeltek felelőst.

– Biztonságos Wi-Fi hálózat. Tiltani, de legalábbis erősen korlátozni kell a nyilvános/nem biztonságos Wi-Fi hálózatokról történő munkavégzést, illetve az ezeken keresztül történő adatátvitelt. A céges üzleti titkokat is tartalmazható dokumentumok digitális továbbítása biztonságos módon kell, hogy történjen.

– Biztonsági mentések. Kötelezővé kell tenni a munkavállalók számára a gyakori, lehetőleg automatikus biztonsági mentéseket. Ezek általában a cég belső hálózatain, szerverein adottak, de egy otthoni privát gépen – a tárhelykapacitás korlátozottsága miatt – általában ki vannak kapcsolva.

– Elérhetőségek. Az IT csapat/felelős közvetlen elérhetőségének megadása, hiszen az otthoni munkavégzés során megnövekedett számú technikai problémával szembesülhetnek a munkavállalók. Jó, ha tudják, hogy pontosan kihez és milyen csatornákon fordulhatnak ezekben az esetekben.

A biztonságos és zökkenőmentes otthoni munkához további intézkedések bevezetése is javasolt:
– Időkorlátok megadása arra, hogy ki és mikor mihez férhet hozzá az adatokhoz/dokumentumokhoz
– Adatszivárgás elleni védelem DLP megoldás bevezetése és használata
– Az adatforgalom monitorozása (ki mennyi adatot tölt le-fel stb.)
– Kliens oldali szűrések
– Naplózás és az arra épített riasztások
– Mentési rendszer átalakítása az új helyzetre optimalizálva
– Dokumentációk felülvizsgálata és aktualizálása

A cégek többségénél egyelőre nincs kialakított eljárásrend egy ilyen helyzetben, a krízisre adott válaszok azonban hasznos tapasztalatokhoz juttathatják a céget, így egy esetleges jövőbeni járvány vagy egyéb vis maior helyzet esetén már felkészültebb lesz a vállalkozás az otthoni munkavégzéssel kapcsolatban.

A helyzetre való tekintettel a Sicontact most díjmentes tanácsadással segít azoknak a cégeknek, melyeknél távmunkával kapcsolatos technikai kérdések merülnek fel: legyen szó biztonságról, belső rendszerek otthoni használatáról, beállításokról, szűrőprogramokról, adatmentésekről – technikai segítségnyújtással kapcsolatban itt lehet kérdezni az ESET szakembereitől.

Forrás: https://antivirus.blog.hu