Основные правила безопасности при удаленной работе

Основные правила безопасности при удаленной работе

Три главных риска при удаленной работе – незащищенные сети и личные устройства, низкая осведомленность сотрудников в вопросах ИБ и фишинг. Эти факторы увеличивают риск попадания вредоносных программ на устройства и утечки личной и служебной информации.

Стоит выделить несколько направлений, в которых должна развиваться информационная безопасность компании: 

1. Обеспечение безопасного доступа к IT-сети компании с домашних устройств;

2. Выделение отдельных устройств для выполнения рабочих задач, если это возможно, либо контроль безопасности доступа к корпоративным приложениям;

3. Выбор оптимальных, с точки зрения безопасности, приложений для рабочих процессов;

4. Обучение персонала основам информационной безопасности, разработка необходимого регламента работы, нормативных требований;

5. Постоянный контроль и обновление прав доступа;

6. Создание дистанционной «кризисной» поддержки с правами удаленного прямого доступа к устройствам сотрудников во время кризисной ситуации. 

Обучение каждого сотрудника компании мерам безопасности имеет решающее значение для защиты доступа к информации и критически важным системам. Инструкции по информационной безопасности во время удаленной работы, проведение различных курсов по ИБ, рассылка обучающих статей и другой информации будет способствовать повышению осведомленности сотрудников о рисках и методах защиты данных. При обучении особое внимание стоит уделить вопросам выявлению фишинга. 

Подготовьте инструкцию по работе с данными компании, в которой отразите обязательные требования, такие как:

1. Запрет на совместное использование рабочих компьютеров и других устройств. Когда сотрудники приносят домой рабочие устройства, эти устройства не должны использоваться совместно или использоваться кем-либо еще в доме. Это снизит риск несанкционированного или случайного доступа к защищенной информации компании.

2. Информацию о компании нельзя загружать или сохранять на личных устройствах сотрудников или в облачных службах, включая флэш-накопители или облачные службы, такие как их личные учетные записи на Google, Яндекс Диски или Dropbox.

3. Все устройства сотрудников должны иметь последнюю версию ПО, которая устанавливается автоматически после перезагрузки устройства. Автоматическая загрузка обновлений не должна быть отключена.

4. Если сотрудники пользуются личными устройствами, они должны в обязательном порядке установить на антивирусное ПО.

5. Использование общих сетей для работы с корпоративными данными должно быть под строжайшим запретом.

Советы по безопасной удаленной работе:

1. Настройте двухфакторную аутентификацию. Двухфакторная аутентификация (2FA) создадут дополнительный барьер безопасности. Это может быть подтверждение по электронной почте, текстовое сообщение и т.д.

2. Используйте надежные пароли и шифрование данных. Используйте программное обеспечение для шифрования в целях защиты конфиденциальных данных, таких как записи сотрудников, информация о клиентах / партнерах, финансовые отчеты. Для полного шифрования можно использовать VeraCrypt или BitLocker.

3. Используйте VPN.  Если ваша организация уже использует VPN, убедитесь, что он охватывает все отделы и всех сотрудников. Если ваша компания не использует VPN, внедрение этого инструмента удаленной работы критически важно для безопасности ИТ-инфраструктуры вашего бизнеса. При организации рабочего процесса через VPN необходимо исключить раздельное туннелирование (split tunneling) и упаковать пользовательский трафик в инфраструктуру с помощью периметровых средств защиты.

4. Используйте антивирус и средства защиты конечных устройств. Хорошее антивирусное программное обеспечение может выступать в качестве первой линии защиты, обнаруживая и блокируя известные вредоносные программы. Ко всему прочему существуют системы класса «Endpoint Detection & Response» (EDR), позволяющие следить за деятельностью сотрудников, проводить анализ сетевого трафика и моментально блокировать угрозы со стороны.

5. Защитите домашний роутер. Смените пароль маршрутизатора и убедитесь, что установлены обновления прошивки, чтобы можно было исправить уязвимости в системе безопасности. Шифрование должно быть установлено на WPA2 или WPA3. Ограничьте входящий и исходящий трафик, используйте самый высокий доступный уровень шифрования и отключите WPS.

6. Регулярно устанавливайте обновления. Постоянная проверка на неисправности, а также регулярные обновления ПО позволят вовремя устранить уязвимости и помешать взлому из вне.

7. Остерегайтесь фишинговых писем и сайтов. Не нажимайте на ссылки или вложения, если не доверяете отправителю или не уверены в содержимом.

8. Используйте зашифрованные сообщения. Основные сервисы обмена сообщениями, такие как WhatsApp и Telegram, по умолчанию или в качестве опции поставляются со сквозным шифрованием. Можно использовать специализированные провайдеры зашифрованной электронной почты, такие как Hushmail и SendInc.

9. Применяйте корпоративные меры безопасности. Публичные сервисы для обмена файлами (Google Диск, Облако mail.ru и т. д.) не дают 100 % защиты конфиденциальности информации. Для корпоративных целей лучше использовать защищенный удаленный центр. 

10. Обеспечьте регулярное резервное копирование всей корпоративной информации на удаленных устройствах персонала.

Независимо от того, работаете ли вы удаленно или в офисе, следование этим советам по интернет-безопасности и их интеграция в корпоративную ИТ-политику поможет защитить ваш бизнес.