Jak zajistit kybernetickou bezpečnost během home office?

Řada firem už minulý týden v rámci prevence doporučila svým zaměstnancům práci z domova, všechny ostatní, kde je to možné, na tento režim přešla v pondělí.

Řada společností je na podobný režim v podstatě připravená – týmy jsou zvyklé na občasné video konference, lidé běžně používají sdílené servery a připojují se přes VPN. Shrnuli jsme pro vás, jaké aspekty kybernetické bezpečnosti byste neměli zapomenout ohlídat.

Fyzická bezpečnost firemních zařízení

Jakmile si zaměstnanci vezmou zařízení domů, vystavují jej vyššímu riziku. Zařízení by měla být chráněná proti ztrátě dat nebo krádeži. Ochrana může vypadat například takto:

  • Šifrování disku – díky tomu se firemní data nedostanou do nepovolaných rukou.
  • Odhlášení, když se zařízení nepoužívá – toto opatření chrání firemní e-mail před bláznivými vzkazy psanými kočkou nebo nudících se dětí.
  • Silná hesla – jako IT specialista ve firmě zaveďte pravidla pro hesla tak, aby nebylo možné je prolomit brute force útokem.

Bezpečnost v domácím prostředí

Poučte zaměstnance, co by si měli zkontrolovat, než do své domácí sítě zapojí firemní zařízení. Případně můžete na dálku provést bezpečnostní audit případných zranitelností. Pokud je ke stejné síti připojené i zařízení IoT, nejprve doporučte aktualizovat firmware, kvůli nedávným zranitelnostem.

Zvažte využití aplikace, která by monitorovala bezpečnost domácí sítě a případně vás jako administrátora upozorňovala na zranitelná zařízení, neaktualizovaný software nebo nevhodná hesla.

Přístup k firemní síti a systémům

Rozhodněte, zda daný zaměstnanec potřebuje přístup do interní sítě nebo si vystačí s konkrétní aplikací a e-mailem. Nastavte přístupová práva k datům podle potřeby – jiná patrně bude mít recepční a jiná finanční ředitel.

  • Pokud povolíte přístup do interní sítě:
    • Umožněte přístup jen firemní zařízením, u kterých máte pod kontrolou bezpečnostní standardy.
    • Vždy používejte VPN k připojení na dálku. Toto opatření pomáhá předcházet man-in-the-midle útokům.
    • Kontrolujte použití externích zařízení, jako jsou USB a další paměťové disky.
  • Pokud umožníte přístup k e-mailu a aplikacím v cloudu ze zařízení zaměstnance:
    • Trvejte na stejném standardu zabezpečení proti malware, firewallu a podobně jako mají firemní zařízení. V nutných případech můžete rozšířit své firemní licence na zařízení zaměstnanců.
    • Omezte možnost ukládat, stahovat a kopírovat data. Citlivá firemní data mohou uniknout z jakéhokoli zařízení.
    • Zvažte vytvoření virtuálních stanic, prostřednictvím kterých by bylo možné se k datům připojit.
     

Nastavte u všech služeb, které to umožňují, více faktorové přihlašování. Budete tak mít jistotu, že k datům mají přístup jen povolané osoby. Byť by se k nim dostalo jen dítě, či domácí mazlíček. Pokud nemáte k dispozici hardware na generování přístupových kódů, můžete sáhnout po aplikaci, která umožňuje zasílání SMS.

Nástroje pro spolupráci a proces autorizace

Může se vám zdát zvláštní tyto aspekty spojit, ale předejdete tak řadě problémů.

  • Poskytněte přístup k chatu, video hovorům a konferencím, aby spolu mohli zaměstnanci komunikovat. Podpoříte tak produktivitu práce a umožníte zachovat alespoň omezený sociální kontakt.
  • Používejte nástroje pro organizaci práce, abyste předešli neautorizovaným pokynům a transakcím. Útočníci mohou vyzkoušet různé phishingové útoky, například o urgentní transakci nebo autorizaci nějaké osoby. Ujistěte se, že podobné pokyny budou potvrzeny „osobně“ ve video chatu nebo nástroji pro management práce.

Krizový management a podpora

I když zajišťujete vzdálený přístup narychlo, nepolevujte z bezpečnostních standardů.  Zásadní je také možnost nabízet na dálku uživatelům podporu, obzvláště pokud jsou v karanténě.

Nastavte vzdálenou správu (RDP), ale dejte si pozor, aby porty nebyly vystavené na internetu. Vždy použijte nejprve VPN pro připojení do firemní sítě, poté teprve přístup ke zdrojům přes RDP.  Změňte výchozí port z 3389 a omezte přístup k RDP jen na vybrané jedince, které jej potřebují.

Povolte NLA (Network Level Authentication). Nezapomínejte aktualizovat a nikdy nepoužívejte RDP na nepodporovaných operačních systémech.

Krom technických a funkčních procesů je potřeba, aby fungovaly i ty lidské, pokud má zůstat zachována efektivita práce.

Podpořte proto týmy, aby si jednou denně zavolali a operativně řešili plán práce a nadále komunikovali. Stejně tak trvejte na virtuálních projektových schůzkách, aby důležité úkoly nestály. Nastavte si rozvrh, kdy je možné zastihnout ostatní kolegy, například minimální dobu, po kterou je nutné být online.

 

Je samozřejmé, že na práci z domova nejsou všichni zvyklí. Buďte proto shovívaví, ale přesto apelujete na zodpovědnost, každého z kolegů. Nabídněte lidem v karanténě pomoc na dálku a politiku otevřených dveří, pokud by i toto potřebovali překonat.

 

Připravili jsme pro vás několik návodů, jak detekovat pokusy o průnik do vaší sítě pomocí produktů ESET a jak se tomu bránit. Více se dozvíte na stránkách technické podpory.