Pracuj zdalnie i bezpiecznie – kilka praktycznych zasad Security Officer’a

W chwili obecnej nadal wiele osób pracuje zdalnie, z domu lub z innych miejsc, w których przebywamy i mamy dostęp do Internetu. Osoby odpowiedzialne za bezpieczeństwo ich organizacji i instytucji zaczynają przyglądać się jak zespoły funkcjonują w tym czasie oraz jak zapewnić ochronę pracownikom i zasobom, z których ci pracownicy korzystają.

Nawiązując do raportu opracowanego w kwietniu b.r. przez (ISC)2, około 96% organizacji przeniosła co najmniej część swoich pracowników w tryb pracy zdalną. Blisko połowa decydentów przesunęła na ten tryb pracy wszystkie osoby pracujące dotychczas w biurach. Biorąc to wszystko pod uwagę chciałbym podzielić się z kilkoma praktycznymi zasadami bezpieczeństwa, które pozwolą zabezpieczyć nie tylko organizacje i instytucje, ale również osobiste zasoby – które są niemniej ważne.

1. Nie pozostawiaj Procedur i Standardów bezpieczeństwa w biurze

Za każdym razem kiedy korzystasz z dostępu do służbowych programów, poczty email, czy danych będąc poza siecią Twojej organizacji, czy Instytucji narażasz ją na ryzyko. Aby je minimalizować przestrzegaj zasad bezpieczeństwa zdefiniowanych i zaimplementowanych przez Twojego pracodawcę. To trochę jak z dobrymi manierami w związku, nie pamiętamy o nich wyłącznie w dniu rocznicy ślubu.

2. Przerzuć się na zasoby chmurowe

Przejdź na zasoby chmurowe, których używa Twoja organizacja, czy instytucja. To nie tylko poprawia integralność danych, ale i umożliwia pozostałym pracownikom i kolegom z zespołu dostęp do plików i programów w tym samym czasie. Wyklucza to konieczność trzymania poufnych danych na stacjach roboczych. Same plusy, brak minusów.

3. Regularnie zmieniaj hasła

Truizm, który trzeba powtarzać. Uboga „higiena haseł” pozostaje jednym z największych czynników ryzyka w przypadku osób wykonujących pracę zdalną. Czy jest to zbyt proste hasło, czy też hasło które nigdy nie jest zmieniane. Nieodpowiednie hasła zwiększają ryzyko ich ujawnienia przez cyberprzestępców. Aby osiągnąć lepsze rezultaty zdecyduj się na takie hasło, które zawiera 12 znaków (a najmniej 8), zawiera cyfry oraz wielkie i małe litery alfabetu. Dodanie znaku specjalnego jeszcze bardziej wzmocni hasło. Warto pamiętać o tym, aby haseł nie spisywać i nie pozostawiać w widocznych miejscach. Hasła możesz trzymać w pliku zabezpieczonym hasłem, a dobrym rozwiązaniem w tym przypadku jest korzystanie z managera haseł (np. KeePassXC). Za pomocą tego rozwiązania nie tylko przechowasz klucze dostępu, ale i wygenerujesz odpowiednio silne i unikatowe hasła dla każdej strony, którą chcesz chronić.

4. Ograniczaj dostęp do plików i danych

Fakt, że posiadasz możliwość nadawania dostępu do plików i danych nie oznacza, że powinieneś to robić w przypadku każdej osoby, która Ciebie o to poprosi. Każda dodatkowa osoba lub urządzenie, które ma dostęp do danych poufnych zwiększa ryzyko ujawnienia tych danych. Aby wzmocnić bezpieczeństwo Twojej organizacji lub instytucji, ogranicz dostęp jedynie do tych, które są biznesowo uzasadnione. Dodatkowo, jeśli jesteś właścicielem tych danych zweryfikuj od czasu do czasu, czy nadane już dostępy są nadal aktualne. Być może ktoś zmienił zespół lub departament i na przykład nie potrzebuje już dostępu do danych finansowych lub kadrowych.

5. Aktualizuj oprogramowanie i aplikacje

Jeśli chodzi o czynniki ryzyka bezpieczeństwa, nieaktualne oprogramowanie i aplikacje są w czołówce na mojej liście. Dla najlepszych efektów, upewnij się, że jesteś podłączony do serwerów swojej organizacji, czy instytucji, a automatyczne aktualizacje na urządzeniach służbowych działają poprawnie. Połączenie z serwerami wymaga coraz częściej uruchomionego VPN, sprawdź czy łączysz się w ten sposób. Swoje prywatne urządzenia także aktualizuj regularnie, ponieważ mogą stanowić słabe ogniwo całego łańcucha. Dlaczego to jest w ogóle tak ważne? Poufne dane mogą trafić w ręce cyberprzestępców poprzez dziury w aplikacjach i całych systemach operacyjnych, z których korzystamy na co dzień. Przestępcy wykorzystując je coraz częściej wprowadzają do systemów złośliwe oprogramowanie, które szyfruje te dane i blokuje nam dostęp do nich. Odzyskanie jest możliwe po przelaniu określonej sumy, często w formie kryptowaluty, co utrudnia śledzenie transferu pieniędzy. Regularne aktualizacje są więc jednym z kluczowych warunków zapewniających bezpieczną i stabilną pracę naszego komputera, oraz funkcjonowanie naszej działalności.

6. Używaj własnego Wi-Fi lub mobilnego hot spot’u

Publiczne Wi-Fi nie jest bezpieczne, ani nie jest prywatne. Zwłaszcza, że ustawienia bezpieczeństwa często są wyłączone w takich sieciach, aby ułatwić użytkownikom korzystanie z nich. To zła wiadomość, jeśli korzystasz z publicznego Wi-Fi do sprawdzania służbowej poczty, korzystasz z dostępu do danych lub wysyłasz pliki poprzez FTP (a nawet SFTP). Upewnij się także, czy Twoje własne Wi-Fi nie jest publiczne, a hasło do tej sieci jest silne. Tak samo jak nie zostawiasz otwartych drzwi do swojego mieszkania, czy samochodu.

7. Wyloguj się, uśpij lub zamknij klapę komputera

Kiedy wiesz, że nie będziesz pracować dłuższą chwilę, bo właśnie udajesz się na lunch bardzo dobrze jest uśpić komputer lub zamknąć jego klapę. Sprzęt służbowy coraz częściej posiada bitlocker, więc działaniem tym sprawisz, że dysk twardy zostanie zaszyfrowany na czas Twojej nieobecności i zabezpieczony przed kradzieżą danych. Kiedy odchodzisz od klawiatury, aby wziąć kawę wystarczy, że zablokujesz ekran. Aby to zrobić użyj kombinacji klawiszy: WIN+L.

8. Uważaj na ataki phishing’owe

Cyberprzestępcy rozsyłają wiadomości e-mail przygotowane w podstępny sposób, aby zmylić  i narazić Ciebie i Twoją organizację na kradzież poufnych informacji, a w efekcie straty finansowe i utratę reputacji. W ostatnim czasie bardzo modne są treści powiązane z koronawirusem. Moja złota zasada jest taka: sprawdź czy wiadomość jest wewnętrza, czy zewnętrza (czyli spoza Twojej organizacji), sprawdź adres nadawcy. Jeśli źródło wiadomości jest podejrzane, możesz założyć że załącznik lub hyperlink doprowadzi do zainstalowania złośliwego oprogramowania na stacji roboczej, z której korzystasz. Każda taka wiadomość powinna zostać zgłoszona do zespołu IT lub zespołu bezpieczeństwa.

9. Bądź przygotowany na wsparcie podczas pracy zdalnej

Kiedy coś z Twoim sprzętem, albo jego oprogramowaniem wyraźnie idzie nie po Twojej myśli wówczas to co możesz zrobić to szybki kontakt z zespołem IT lub zespołem bezpieczeństwa. Niekiedy nie obejdzie się bez raportowania incydentu bezpieczeństwa. Gorzej jest jeśli nie możesz zgłosić problemu bezpośrednio, ponieważ pracujesz zdalnie. W takiej sytuacji odpowiednia osoba powinna być poinformowana przy użyciu dostępnych Tobie środków komunikacji. Idealnie jeśli uda się na czas zneutralizować ryzyko bezpieczeństwa – z doświadczenia mogę powiedzieć, że im wcześniej podejmujemy działania tym mniejsze są skutki powstałego incydentu. Dlatego upewnij się, czy wiesz jak zgłosić incydent bezpieczeństwa lub skontaktować się z zespołem wsparcia technicznego w swojej organizacji lub instytucji, niekoniecznie przy użyciu komputera.

10. Bądź profesjonalny i odnoś sukcesy

Motto bezpieczników często brzmi tak: „nie możesz być zbyt bezpieczny”. Dlatego niekoniecznie rozmawiaj o swoich klientach i szczegółach dotyczących projektów w miejscach publicznych. Warto zastanowić się, czy nie są to informacje strategiczne, więc poufne. Podczas pracy w miejscach publicznych zwróć uwagę na to, czy ludzie za Tobą nie widzą danych poufnych na ekranie Twojego komputera. Nie warto zostawiać komputera bez opieki. Przykłady można mnożyć, ale puenta jest taka: kieruj się rozsądkiem - dzięki temu możesz odnosić sukcesy na wielu płaszczyznach jednocześnie.