Быстрые шаги к повышению безопасности домашней работы – CloudSavvy IT

Новая норма предполагает меньшее количество людей в офисах и большее количество людей, работающих из дома. Полный или неполный рабочий день, большая часть сотрудников сейчас работает удаленно. Это создает новый набор проблем безопасности.

Новая Норма

Есть причина, по которой профессионалы в области безопасности ненавидят внезапные изменения, особенно радикальные. Риск появления уязвимости из-за того, что что-то было упущено из виду или кто-то действовал в спешке – хотя и в глубине души – слишком реален.

Пандемия COVID-19 принесла такие изменения большинству организаций. Рабочих заставляли сидеть дома и работать удаленно. Компании, у которых были некоторые возможности удаленной работы, должны были попытаться быстро расширить это. Другим организациям пришлось постараться собрать что-то как можно быстрее. В таких сценариях безопасность редко стоит на первом месте.

Излишне говорить, что предприятия, которые вообще не имели возможности удаленной работы, были наименее подготовлены к тому, чтобы справиться с изменениями. Отсутствие возможности удаленной работы означало, что в бизнесе либо совсем не было портативных компьютеров, либо было очень мало. Многим из них пришлось разрешить надомным работникам использовать для работы свои собственные домашние компьютеры.

ИТ-отдел, который внезапно оказался распределенным и работающим из дома, теперь должен был поддерживать ИТ-инфраструктуру, которая в одночасье видоизменилась, включив в нее устаревшие и неподдерживаемые операционные системы, домашние маршрутизаторы и оборудование от любого числа производителей.

Если что-то из этого звучит знакомо, вот несколько эффективных шагов, чтобы вернуть некоторую безопасность в ситуацию.

Использовать шифрование

Организация, заботящаяся о безопасности, уже будет шифровать портативные и мобильные устройства, такие как ноутбуки, планшеты и смартфоны. На корпоративных ПК это легко сделать и бесплатно, если вы используете правильную версию Microsoft Windows. Microsoft Windows 10 Профессиональный, Корпоративный и Образовательный поддерживать Шифрование устройства BitLocker. Windows 10 Home этого не делает. Напротив, если вы используете компьютер Apple, macOS по умолчанию поддерживает шифрование устройства и прямо по всем направлениям.

Шифрование вашего компьютера защищает ваши данные от доступа, если устройство попадет в чужие руки. Даже если злоумышленники извлекут жесткий диск и попытаются прочитать его на другом устройстве, им это не удастся.

Однако при электронной передаче файлов возникает другой вид риска. Если они будут перехвачены злоумышленниками, они смогут прочитать их, если они не зашифрованы перед передачей. Это легко сделать. Все Продукты Microsoft Office позволяют сохранять файлы с паролем. Это шифрует их, защищая от посторонних глаз.

Другие приложения могут не предлагать такую ​​возможность. Если вы используете программный пакет, который не предлагает шифрование из приложения, вы все равно можете зашифровать файлы перед их отправкой. Используйте бесплатную утилиту, например 7Zip или одно из других приложений для архивирования, чтобы сжать ваши файлы и зашифровать их паролем. Это также уменьшает размер файлов, сокращая время передачи и требования к хранилищу.

Архивирование файлов – отличный способ инкапсулировать коллекции разрозненных файлов, которые были созданы с помощью различных программных пакетов, которые должны распространяться как пакет связанных документов. Сжатие их в один файл означает, что вам нужно отправить кому-то только этот файл, и вы знаете, что у него есть весь набор файлов.

Сообщите пароль получателю, используя другой носитель – или, по крайней мере, другое сообщение – чем тот, на котором хранятся файлы. И не используйте пароли повторно, не делайте их предсказуемыми или шаблонными. Например, не используйте имя клиента и дату.

Пользователи старых версий Windows могут также позволить им забрать свой офисный компьютер домой. Если вы этого не сделаете, он останется неиспользованным только в пустом офисе, что обесценится. Почему бы не позволить им использовать текущее безопасное устройство, которое известно вашей ИТ-команде, внесено в реестр аппаратных активов и над которым вы можете полностью контролировать?

Усиление домашнего Wi-Fi

Внутренний Wi-Fi может быть безопасным, но часто это не так. Начните проект прямо сейчас, чтобы ваша ИТ-команда поработала над домашними работниками, убедившись, что учетные данные администратора маршрутизатора по умолчанию были изменены, что используются безопасные и надежные пароли, и обновит прошивку.

Убедитесь, что используется наиболее безопасный протокол, который предлагает устройство, и измените пароль на уникальный и безопасный пароль. Это означает, что друзья и посетители не смогут подключиться к Wi-Fi во время посещения, и в этом суть. Если устройство поддерживает это, создайте гостевой Wi-Fi, чтобы семья и друзья могли выйти в Интернет. Они получат необходимый доступ, будут отделены от основного Wi-Fi, и им не нужно будет получать частный пароль Wi-Fi.

Вы можете подумать о том, чтобы полностью скрыть основную сеть Wi-Fi, но большинство домашних пользователей сочтут эту систему проблематичной для жизни. То же самое касается Фильтрация MAC-адресов, грустно.

Включите межсетевой экран и проверьте правила межсетевого экрана. Если маршрутизатор устаревший, замените его.

VPN, RDP и 2FA

Используйте зашифрованные безопасные методы связи, такие как Виртуальные частные сети (VPN) или Microsoft Протокол удаленного рабочего стола (RDP). Или, более строго говоря, они безопасны, если на них установлены актуальные исправления и каждый использует уникальные и надежные пароли. Убедитесь, что вы ограничили количество попыток, прежде чем учетная запись будет заблокирована.

Везде, где это поддерживается, внедряйте двухфакторная аутентификация (2FA) или многофакторная аутентификация (MFA). Используйте системы, в которых есть приложения-аутентификаторы, или устройства, генерирующие коды. Системы, использующие Система обмена небольшими сообщениями (SMS) текстовые сообщения менее безопасны.

Если ваши сотрудники используют облачные сервисы, помните, что многие из них смогут обеспечить двухфакторную аутентификацию без дополнительных затрат. Включите его и используйте эти бесплатные функции в своих интересах.

Тестирование на проникновение

Угрожающие актеры – это много всего, но они не тупые. Они знают, что произошел фундаментальный сдвиг в рабочих привычках и что персонал теперь удален и имеет удаленный доступ к ИТ-ресурсам в главном офисе.

Они также знают, что многим организациям приходилось создавать свои решения для удаленной работы как можно быстрее. И они будут знать, что очень немногие из них будут посещены повторно. Таким образом, запреты безопасности и промахи, которые игнорировались, когда топ-менеджер кричал, чтобы «просто заработало», все еще будут присутствовать.

Быть инициативным. Проведите тестирование на проникновение в своей организации до того, как это сделают киберпреступники. Проведите тестирование, просмотрите результаты и сразу же устраните самые серьезные уязвимости.

Расставьте приоритеты для остальных и проработайте их в порядке серьезности.

Соответствие и стандарты

Изменение рабочей среды и практики означает, что многие ваши процессы и процедуры необходимо будет изменить. Ваше управление необходимо будет пересмотреть, чтобы убедиться, что инструкции и средства контроля, которыми наделен персонал, по-прежнему имеют смысл и применимы в новой ситуации. Если они нуждаются в исправлении или обновлении, сделайте это как можно скорее.

В частности, проверьте свою политику паролей, приемлемую политику использования и правила хранения и передачи данных. Переход к домашней работе мог противоречить существующим правилам о том, что ИТ-оборудование забирают домой, не подключаются к домашним сетям, получают доступ только к корпоративным ресурсам с корпоративных компьютеров и т. Д. Очень важно, чтобы сотрудники понимали, какие правила все еще применяются, какие были отменены и какие.

Не забудьте просмотреть свои сертификаты и аккредитации по стандартам. Если ваша организация достигла соответствия каким-либо стандартам, таким как ISO 27001, Cyber ​​Essentials, или Структура кибербезопасностиИТ-среда, которую вы описали, задокументировали и создали процессы, больше не существует. Вам необходимо привести все свое управление в соответствие с новой ситуацией.

Необходимо будет пересмотреть законодательство о защите данных, чтобы увидеть, как оно соотносится с вашей текущей деятельностью по обработке данных. Если вы вносите изменения в свои политики и процедуры защиты данных, обязательно обновите свою Политику конфиденциальности, чтобы субъекты данных были проинформированы об изменениях.

Мойте руки в течение 40 секунд

Как и другие режимы гигиены, которые имеют решающее значение в настоящее время, помните также о своей базовой гигиене кибербезопасности. Правильное понимание основ будет иметь большое значение для победы в битве.