Používání neschválených aplikací a zařízení, připojování k nezabezpečeným sítím Wi-Fi, ponechávání privátních informací bez dohledu a ignorování aktualizací zabezpečení mobilních technologií – to vše přináší nárůst kybernetických rizik jako důsledek snahy firem o „supermobilitu“.
Alvaro Hoyos, ředitel zabezpečení informací ve společnosti OneLogin, přináší rady, jak udržet patřičnou kontrolu i při využití mobilního způsobu práce.
1. Nadefinujte realistické zásady zabezpečení
Když zavedete zásady, které jsou příliš přísné nebo neodpovídají aktuální zralosti bezpečnostního programu vaší společnosti, je pravděpodobné, že je budou vaši zaměstnanci sabotovat nebo zcela ignorovat.
Když pracovníci zjistí, že jsou pravidla sice přísná, ale proveditelná, budou mnohem otevřenější, aby za vámi chodili s problémy a obavami, jak mají dodržovat zásady a stále odvádět svou práci.
To je důležité zejména pro mobilní pracovníky, kteří se mohou cítit tím více vzdáleni od vaší společnosti, čím déle jsou vzdáleni od sídla a podnikových zásad a postupů.
Stejně důležité ale je, aby vaše zásady přímo zohledňovaly mobilní pracovníky a poskytovaly rozumné alternativy pro pravidla, která nejsou aplikovatelná na cestách nebo při práci z domova.
2. Bezpečnost začíná u vašeho personálu
Školení pro zvyšování povědomí o zabezpečení by mělo obsahovat i část specifickou pro mobilní pracovníky. Většina společností zajišťuje školení pro zvyšování povědomí s větším důrazem na témata, která jsou relevantní pro práci v kanceláři – například používání přístupových karet a zásady čistého stolu.
Podobně jako vaše zásady by i vaše školení mělo mít také obsah relevantní pro mobilní pracovníky – například nebezpečí veřejných přístupových bodů Wi-Fi a použití výměnných médií.
Důraz by měl zahrnovat nejen mobilní hardware, ale také řešení mobilního softwaru v podobě aplikací SaaS. Dokonce i někteří vaši zaměstnanci pracující v kanceláři spadají do kategorie mobilních pracovníků, pokud se někdy připojují do firemního systému z domova nebo o víkendu.
Zahrnutím obsahu zaměřeného na mobilní pracovníky tak ve skutečnosti zajistíte potřeby týkající se veškerého personálu.
3. Udržujte komunikační kanály otevřené
Pravidelná komunikace je zásadní. Schopnost lidí se učit a pamatovat si informace se velmi liší v závislosti na konkrétním jednotlivci. Aniž zacházíme do podrobností o složitostech vzdělávání dospělých, je vhodné připomenout fakt, že opakováním se dosáhne lepších výsledků.
Pokud školení a připomenutí, že je nutné dodržovat zásady, probíhá jen jednou ročně, někteří lidé si to nebudou pamatovat. Kratší časové úseky, někdy naplánované a jindy nečekané, jsou proto pro zapamatování vhodnější.
Důležité je také udržet komunikaci tematicky zaměřenou a pro personál obsahově zajímavou. Pokud vaši zaměstnanci pochopí, že principy používané v práci mohou využívat i ve svém osobním životě, je vyšší pravděpodobnost, že si takové informace lépe zapamatují pro svůj vlastní prospěch.
Když nastane dobře známý bezpečnostní incident, jako byl například průlom do služby LinkedIn, je to ideální příležitost připomenout personálu riziko používání stejných hesel na více místech a výhody silných hesel.
Při velkém množství koncových uživatelů pracujících mimo kancelář by mělo být snadné vytvořit sdělení, které si může každý rychle přečíst v e-mailu či v aplikaci pro zasílání zpráv.
4. Integrujte vícefaktorovou autentizaci
Vzhledem k tomu, že více než polovina zaměstnanců přistupuje k pracovním aplikacím mimo kancelář, měli by zaměstnavatelé používat řešení vícefaktorové autentizace, které zajistí, že k informacím budou mít přístup jen oprávnění lidé.
Vícefaktorová autentizace požaduje po zaměstnancích, aby při vzdáleném přihlašování do pracovní aplikace či systémů prokázali svou totožnost použitím telefonu nebo chráněného hesla.
Když jste v minulosti viděli Roberta u stolu Alice, jak se pokouší přihlásit k jejímu počítači, byl to celkem ukázkový bezpečnostní incident. V dnešní době se však velké množství vašich zaměstnanců přihlašuje ke svým systémům bez dohledu, takže vynucování vícefaktorové autentizace (obvykle s využitím něčeho, co máte) pomáhá snižovat riziko, že se přihlásí k notebooku Alice někdo jiný než ona.
5. Zmocněte zaměstnance – lidský firewall
Zaměstnavatelé mohou zmocnit pracovníky, aby se stali součástí jejich plánu detekce již na počátku. Správci obvykle přijímají všechny druhy automatických varování vyvolávaných aktivitami, které jsou buď vysoce rizikové, nebo notoricky podezřelé.
Zmocnění koncových uživatelů tak, že je informujete o aktivitách, nad kterými mají přímou kontrolu, jako jsou například změna jejich hesla nebo přihlašování z nové lokality, může pomoci začlenit zaměstnance do plánu včasné detekce.
Geolokace se také stala populárním doplňkem těchto varování – zaměstnanci dostávají informaci, že se přihlásili z nového místa, což je užitečné, zejména pokud jsou neustále na cestách a přihlašují se z různých sítí.
6. Pochopte rizika mobility pro data vaší firmy
Mobilní zařízení používaná pracovníky v kancelářích a mobilními uživateli by neměla být zdrojem úniku libovolných vašich dat. Měli byste předpokládat, že existuje vysoké riziko, že může dojít ke krádeži mobilního zařízení nebo k jeho prosté ztrátě, takže byste se na to měli odpovídajícím způsobem připravit.
Je to snadnější, pokud vaši mobilní pracovníci používají aplikace SaaS, ale může to vyžadovat více plánování, pokud tomu tak není.
Jako naprosté minimum by se měly dokumenty v mobilních systémech každý den zálohovat. Měli byste také používat zásady klasifikace důvěrnosti dat, aby koncoví uživatelé dokázali dobře vyhodnotit, jaká data lze zkopírovat do mobilních zařízení a jaká by se neměla kopírovat nikdy a nikam.
7. Mobilní zařízení pečlivě sledujte
Zaměstnanci používají více mobilních zařízení než v minulosti – a tak se snadno stane, že dojde k jejich ztrátě či odcizení hardwaru. Řešení pro sledování a inventarizaci majetku umožní zaměstnavatelům vědět, kdo zařízení má a kde se používá.
Tato řešení nejsou ......
Tento příspěvek vyšel v Security Worldu 1/2017. Oproti tomuto příspěvku je podstatně obsáhlejší a přináší spoustu dalších tipů, jak vylepšit firemní IT.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU