W obliczu epidemii, home office wydaje się być w wielu przypadkach jedynym wyjściem z sytuacji. Model ten nie jest jednak optymalny zarówno z punktu widzenia pracodawcy, jak również pracowników, zwłaszcza jeśli mają pod opieką dzieci. Problem stanowi również zapewnienie odpowiedniego bezpieczeństwa firmowym danym, do których pracownik uzyskuje zdalny dostęp.
HOME OFFICE WYMAGA BEZPIECZNEGO ZDALNEGO DOSTĘPU DO DANYCH FIRMOWYCH
W poprzednim wpisie dotyczącym niezwykle popularnego dziś modelu home office główny nacisk położyliśmy na konieczność zapewnienia ciągłości pracy systemów informatycznych organizacji, tak by pracownicy przez cały czas mieli dostęp do danych. Na tym tle ważny jest także problem zapewnienia odpowiedniego poziomu bezpieczeństwa, by podczas realizacji pracy zdalnej, tajemnice przedsiębiorstwa nie wpadły w niepowołane ręce. Problem jest o tyle poważny, że w większości przypadków firmy nie realizowały wcześniej takiego modelu pracy i po prostu nie były na niego przygotowane.
Skalę zjawiska home office obrazuje wynik ankiety przeprowadzonej w dniu 16 marca br. przez Konfederację Lewiatan (organizację pozarządową reprezentującą interesy prywatnych przedsiębiorców), z której wynika, iż możliwość wykonywania pracy zdalnej została wdrożona już w 88 % firm, zaś swoje obowiązki w formie pracy zdalnej wykonywało 21 % pracowników. W badaniu wzięło udział 210 przedsiębiorstw zatrudniających niemal 110 tysięcy pracowników.
Epidemia niejako przymusiła je do poszukiwania na szybko nowych rozwiązań, stąd nie wszyscy zdążyli z wprowadzeniem odpowiednich procedur i zasad regulujących pracę w tym trybie. Z punktu widzenia bezpieczeństwa firmowych danych udostępnianych pracownikom pracującym zdalnie, newralgiczne obszary, wymagające szczególnej uwagi stanowią:
OPRACOWANIE PROCEDUR
Stworzenie polityki na podstawie której będzie realizowana praca zdalna przez pracowników poszczególnych działów firmy to podstawa bezpieczeństwa firmowych zasobów. Nie wystarczy oddelegować bowiem załogi do wykonywania obowiązków bez wychodzenia z domu, warto wytłumaczyć im według jakich zasadach mają je realizować, tj. czy praca ma być wykonywana przy wykorzystaniu wyłącznie sprzętu firmowego, czy też pracownicy mogą korzystać z własnych komputerów, czy na powierzonym sprzęcie mogą instalować jakiekolwiek oprogramowanie, czy wykonywanie pracy wymaga stosowania jakichś dodatkowych zabezpieczeń, w jakich godzinach praca ma być realizowana oraz czy logowanie do firmowych serwerów będzie możliwe w każdym czasie, czy tylko w wybranym przedziale czasowym, a także w jaki sposób mają rozliczać się z wykonanych zadań.
Rada: Pomimo, że sytuacja, związana z wprowadzeniem w ostatnich dniach stanu zagrożenia epidemicznego, zaskoczyła wszystkich przedsiębiorców nieprzygotowanych do zorganizowania pracy dla swojej załogi w trybie online, to dla bezpieczeństwa danych firmowych warto wskazać chociażby podstawowe zasady pracy w trybie home office.
BEZPIECZEŃSTWO I JAKOŚĆ ŁĄCZA INTERNETOWEGO
W przypadku wykonywania pracy w siedzibie pracodawcy, wewnętrzna sieć jest zazwyczaj zabezpieczona przed nieuprawnionym dostępem osób trzecich. Powierzając realizację obowiązków z zacisza domowego pracowników, firma nie wie z jakich łącz internetowych korzysta pracownik, jaki dostawca go obsługuje, czy łącze jest jakkolwiek zabezpieczone, a także czy do domowej sieci pracownika nie są podłączone inne osoby, np. sąsiad zza ściany.
Rada: W celu zminimalizowania ryzyka warto skonfigurować pracownikom VPN, tworzący bezpieczne połączenie pomiędzy urządzeniami wykorzystywanymi przez pracowników, a infrastrukturą firmową oraz zapewniający ochronę przed zagrożeniami z zewnątrz.
KORZYSTANIE PRZEZ PRACOWNIKÓW Z PRYWATNEGO SPRZĘTU
Praca na prywatnym komputerze zawsze pociąga za sobą niebezpieczeństwa dla tajemnicy przedsiębiorstwa. Przede wszystkim, nie wiadomo, czy pracownik korzysta z aktualnego oprogramowania antywirusowego, zapewniającego ochroną przez zagrożeniami z sieci. Po drugie istnieje niebezpieczeństwo skopiowania danych firmowych na komputer pracownika. Po trzecie, pracodawca zupełnie nie ma kontroli nad tym, kto prócz pracownika ma dostęp do sprzętu, a tym samym, nie ma pewności, że dostęp do danych firmowych będzie miał tylko pracownik, a nie także nieuprawnione osoby trzecie.
Rada: Biorąc pod uwagę powyższe ryzyka warto wyposażyć pracownika w komputer firmowy, wyposażony w niezbędne oprogramowanie, tak by realizacja obowiązków i wszelkie operacje z wykorzystaniem danych firmowych były realizowane wyłącznie na zaufanym sprzęcie.
USTALENIE ZASAD KOMUNIKOWANIA SIĘ ZESPOŁU
W normalnych warunkach polecenia i zadania do wykonania przekazywane są pracownikom w trakcie osobistych rozmów, czy odpraw całego zespołu. W trybie pracy zdalnej nie jest to możliwe, zatem warto wskazać narzędzia i kanały, których pracownicy mają używać w komunikacji z firmą.
Jeśli organizacja posiada wewnętrzną pocztę, to biorąc pod uwagę uwagi dotyczące VPN i sprzętu, na którym pracują pracownicy, kanał powinien zapewnić bezpieczeństwo. Jeśli nie ma takiego narzędzia, lepiej będzie jeśli pracownik będzie korzystał z poczty w domenie firmowej, zamiast prywatnego konta mailowego.
Rada: Korzystanie z poczty firmowej będzie bezpieczniejsze dla przesyłanych wiadomości – przede wszystkim pozwoli to na zidentyfikowanie sytuacji, w której cyberprzestępcy będą próbowali podszyć się pod pracownika korzystając z maila pochodzącego spoza domeny.
Najbliższe tygodnie, a może nawet miesiące to ciężki czas dla funkcjonowania przedsiębiorstw, biorąc pod uwagę potrzebę izolowania pracowników oraz unikania dużych skupisk ludzi. Niemniej jednak trzeba jakoś zorganizować pracę firm, tak by mogły przetrwać i po wygaśnięciu epidemii, wrócić do normalnego trybu. Dlatego warto zapewnić bezpieczeństwo pracy zdalnej i chronić tajemnice przedsiębiorstwa przed dostępem osób nieuprawnionych.