Ön is lehetővé teszi munkavállalói számára a távmunkát?
Egyre több vállalkozás szervezi át személyi állományát részleges vagy teljes home office, azaz otthoni munkavégzésre. A biztonságos, kockázatok nélküli távmunkához azonban nem elegendő, ha az alkalmazottak számára laptopot vásárolunk, vagy beállítjuk a hozzáférést az otthoni számítógépükön. Az eszközök biztosítása mellett a biztonságos munkavégzés feltételeiről is gondoskodnunk kell.
Ha cégünkben arra kényszerülünk, hogy egyik napról a másikra, veszélyhelyzetre reagálva oldjuk meg, hogy a munkavállalóink otthonról dolgozzanak, az különösen nagy terhet ró a vállunkra. Ha mindeközben technikai és jogi oldalról sem vagyunk felkészülve erre a lépésre, akkor még több nehézségbe fogunk ütközni.
Segítségképpen összegyűjtöttük a legfontosabb tudnivalókat a biztonságos otthoni munkavégzéshez, amelyeket a vállalkozásoknak érdemes megfontolniuk, ha el akarják kerülni az adatvesztéseket, vagy a bizalmas vállalati információk illetéktelen kezekbe kerülését.
Milyen eszközöket használjunk?
Céges eszközök
Biztonságosabb megoldás, ha céges laptopokat vásárolunk, amelyeket munkavállalóink használatára bocsátunk. Ilyenkor az informatikai háttérért felelős kolléga vagy egy külsős szakember feltelepíti a szükséges programokat, beállítja a szükséges jogosultságokat illetve a VPN kapcsolatot, melyen keresztül rácsatlakozhatnak a belső céges hálózatra.
Ezek az intézkedések megfelelő mértékű kontrollt nyújtanak számunkra.
Otthoni eszközök
Ha a laptop vásárlás nem megoldható, vagy az asztali számítógépet nem bocsátjuk rendelkezésükre, akkor a dolgozók otthoni eszközeit is elláthatjuk VPN-kapcsolattal a céges hálózat eléréséhez.
Ez a céges eszköz biztosításánál kevésbé biztonságos, kevésbé ellenőrizhető megoldás a munkavégzéshez.
VPN – a biztonságos távmunka elengedhetetlen kelléke
Ha egy olyan rendszert szeretnénk kiépíteni, amely biztonságos home office használatot tesz lehetővé, akkor annak az alapja mindenképpen a megfelelő VPN csatorna lesz.
A munkavállalók a VPN kapcsolaton keresztül elérhetik belső, irodai számítógépüket és az egyéb vállalati erőforrásokat. Fontos, hogy a VPN kapcsolat megfelelő biztonsági szinttel rendelkezzen, legalább SSL alapú legyen, ami erős tanúsítvánnyal van kombinálva. A legjobb, ha minden felhasználónak saját tanúsítványt biztosítunk, ha ez nem megoldható, akkor ideiglenesen a közös tanúsítvány is megoldást jelenthet.
Milyen a biztonságos VPN kapcsolat?
A Windowsban alapból megtalálható PPTP nem biztosít biztonságos kapcsolatot. Hosszú távon mindenképpen SSL alapú VPN megoldás javasolt, például az OpenVPN, amely elterjedt, általános és szinte minden közepesnél jobb eszköz támogatja. Ha nagyon sürgősen van szükségünk VPN megoldásra, akkor a Windowsban megtalálható L2TP-t is használhatjuk, IPsec protokollal a titkosított forgalom biztosítása érdekében.
Tipp: ha a VPN kapcsolatot a hirtelen átállás miatt nem tudjuk megoldani, biztosítsuk a munkavállalóinknak a megfelelő szoftvereket, főként akkor, ha az alap irodai szoftverek mellett speciális programokat is használnak.
A virtuális magánhálózat elérése után két alapvető irányban indulhatunk tovább:
Céges eszköz esetén
Ha a felhasználó a céges laptopjával csatlakozott, akkor azon már úgy tud dolgozni, mint amikor bent ül az irodában, mivel ott minden hálózati mappa, levelezés, ügyviteli alkalmazás telepítve és konfigurálva van.
Otthoni eszköz esetén
Ha a felhasználó a saját otthoni eszközéről csatlakozik a VPN-hez, akkor a legpraktikusabb, ha távoli asztali kapcsolattal bejelentkezik a céges gépére, így az ott beállított jogosultságokkal fér hozzá a hálózat erőforrásaihoz. Gyakorlatilag virtuálisan „beül” az irodába, amikor bejelentkezik a céges gépére. Továbbá, ha így jár el, akkor a céges adatok nem kerülnek ki az otthoni számítógépére.
Tipp: Ne engedélyezzük a VPN csatlakozást otthoni eszközről abban az esetben, ha azon nincs beállítva jelszóval védett bejelentkezés.
Fontos: a céges tűzfalon a távoli asztali eléréshez használatos port megnyitása a mai támadási trendek fényében egyáltalán nem javasolt, még akkor sem, ha a hozzáférést erős, egyedi jelszó védi. Az ilyen belépési pontok például a zsarolóvírus támadások közkedvelt célpontjai.
Hogyan alakítsunk ki munkavállalóink számára minél biztonságosabb távmunka környezetet?
Ellenőrzött eszközök: biztosítsunk munkavállalóink számára megbízható, naprakész végpontvédelemmel ellátott laptopot vagy számítógépet. Ha ez nem megoldható, és az otthoni eszközüket kell használniuk, akkor szabályozzuk ennek feltételeit, például tegyük kötelezővé a megfelelően beállított, aktív végpontvédelem használatát az eszközön. Az eszközök operációs rendszerét és szoftvereit tartsuk naprakészen, ez a céges laptopok esetében távmenedzsmenttel egyszerűen megoldható.
Hozzáférések: javasoljuk, hogy csak a céges, benti eszközökhöz biztosítsunk hozzáférést a felhasználóknak, így nem kell a házirendeket módosítanunk, hiszen a vállalati eszközökre ezek már érvényesülnek. Ilyenek például a jogosultságok, mappahozzáférések. Figyeljünk arra, hogy minden dolgozó csak ahhoz férjen hozzá, ami a munkájához szükséges.
Védelem: használjunk többrétegű, átfogó végpontvédelmi megoldást minden céges eszközön, és ne feledkezzünk meg a mobil eszközök biztonságáról sem.
Kétfaktoros azonosítás: a távoli bejelentkezésekhez használjunk kétfaktoros azonosítást, amely a jelszó mellett plusz biztonsági réteggel, egy egyszer használatos kód megadásával vagy egy push értesítésre történő koppintással is hitelesíti a bejelentkezést.
Feladatkiosztás: szükségünk lesz egy megfelelő feladatkiosztó programra, alkalmazásra vagy weboldalra, amellyel elkerülhetjük, hogy a személyes kapcsolattartás hiányában valamelyik kollégánk feleslegesen dolgozzon, vagy olyan feladat maradjon, amelyhez nem rendeltünk felelőst.
Együttműködési eszközök: határozzuk meg, hogy milyen, a távoli munkavégzéshez szükséges együttműködési eszközöket (videokonferencia, chat, konferenciahívás) vezetünk be a kapcsolattartáshoz.
Internetkapcsolat: szabályozzuk, hogy munkavállalóink csak otthoni, jelszóval védett wifivel csatlakozhassanak a hálózatra. Tiltsuk meg a nyilvános, nem biztonságos wifi hálózatokról történő munkavégzést és adatátvitelt.
Külső eszközök használatának korlátozása: az olyan külső eszközök, mint az USB-meghajtók és más perifériák használatát korlátozni kell a biztonság érdekében.
Biztonsági mentések: a legjobb megoldás, ha automatikus biztonsági mentéseket állítunk be, rendszeres időközönként. Ezek általában a cég belső hálózatain, szerverein adottak, de egy otthoni privát gépen általában ki vannak kapcsolva. Ezért érdemes szabályozni, hogy a munkavállalók ne tárolhassanak céges adatokat a felhasználói számítógépeken, és minden esetben a céges hálózatra mentsék el a munkához szükséges fájlokat.
Segítségnyújtás: adjuk meg az IT csapat/felelős közvetlen elérhetőségét, mert a munkavállalóink az otthoni munkavégzés során megnövekedett számú technikai problémával fognak szembesülni.
Adatok titkosítása: a bizalmas üzleti adatok védelme, valamint az adatvédelmi előírásoknak való megfelelés ebben az esetben is kiemelten fontos. Ehhez elengedhetetlen az adatok megfelelő titkosítása, amely akár távolról is irányítható a vállalat szakemberei által. A titkosítás mellett, az adatok letöltését, másolását és tárolását is korlátozni kell a felhasználók eszközein.
Erős jelszavas védelem: állítsuk be, hogy a rendszer jelszót kérjen indításkor, illetve adjuk meg az inaktivitás idejét, amely után újbóli bejelentkezés szükséges. Hívjuk fel a munkavállalók figyelmét arra, hogy ne ugyanazt a jelszót használják az összes online felületen. Tiltsuk meg a jelszavak jól látható helyre való kiírását – a monitorra ragasztott jegyzetek még mindig népszerűek a felhasználók körében. Szabályozzuk, hogy mindenki kellő körültekintéssel bánjon a birtokában lévő jelszavakkal, és ne mentse el a jelszavát a belépési felületeken, mert az minden esetben biztonsági rést nyit a legjobb és legbiztonságosabb rendszeren is. A legjobb megoldás, ha a jelszavak kezeléséhez titkosítással rendelkező jelszókezelő alkalmazást használunk, mint például az ESET Password Manager.
Hozzáférések korlátozása: szabályozzuk, hogy a cég tulajdonában álló eszközöket ne használhassa a munkavállalón kívül más felhasználó (pl. gyerekek). A játékok, szoftverek letöltése, ingyenes streaming oldalak használata biztonsági kockázatot jelent. Ha a céges laptop biztosítása nem megoldott, a munkavállaló saját gépén érdemes jelszóval védett, külön felhasználói fiókot készíteni a munkavégzéshez.
Mit tehetünk még?
A legfontosabb lépések megtétele után még további intézkedéseket hozhatunk:
- Megadhatunk időkorlátokat arra, hogy ki, mikor férhet hozzá a dokumentumokhoz.
- Bevezethetünk adatszivárgás elleni védelmet, DLP megoldást.
- Monitorozhatjuk, ki mekkora mennyiségű adatot tölt le-fel.
- Kliens oldali szűrésekkel megszabhatjuk, hogy például milyen weboldalakat érhetnek el, milyen külső eszközöket (pl. pendrive) használhatnak munkavállalóink az adott kliensen.
- Identity management: meghatározhatjuk, hogy ki, mikor, milyen erőforráshoz fér hozzá.
Tipp: védelmünket érdemes még egy plusz réteggel kiegészíteni: a munkavállalóinkkal. Amellett, hogy a cég biztonsági szabályait megismertetjük velük, készítsük fel őket a lehetséges biztonsági kockázatokra! Ezt online oktatás formájában is kényelmesen megtehetjük.