A TechTarget „IT-prioritások 2020-2021” felmérése alapján a vállalatok 65 százaléka tervez 2021-ben javítani a távoli munkavégzés körülményein. A munkatársak otthoni kiberbiztonsága tehát egy megoldandó probléma, amire különös figyelmet kell fordítani. Gyártónk, a Stormshield elemzését közöljük.
A világjárvány következtében az életünk mindennapi részévé vált a távoli munkavégzés, melynek kihívásaival minden menedzsernek meg kell birkóznia. A járulékos következmények, gondolunk itt elsősorban a vállalat informatikai rendszerének védelmére, viszont gyakran háttérbe szorulnak, miközben összemosódik a magánélet a szakmai élettel, a munkakörnyezet a személyes környezettel.
De hogyan egyeztethető össze a távmunka és a biztonság?
A számadás ideje
Mivel világszerte már több mint egy éve vannak járványügyi korlátozások, ideje számadást venni, milyen következményekkel járt a tömeges és hirtelen jött távmunka rendszer az elmúlt évben. Miközben egyes vállalatok nem készültek fel kellőképpen, más cégek kihasználták a példátlan helyzetben rejlő előnyöket, és véglegesítették a már létező távmunka szabályzatukat.
„Sok vállalatnak bele kellett tanulnia, és eközben a távmunka számos mítosza is megdőlt. Ugyanakkor a távoli munkavégzés komplex kérdés maradt azokban a szektorokban, ahol kiemelt szerepe van a személyes titoktartásnak, például a honvédelemben vagy a pénzügyben” – nyilatkozta Adrien Brochot, a Stormshield termékmenedzsere.
Mindenesetre egy új trend van kialakulóban: az adatvédelem – különösen a távmunka kontextusában – minden vállalat számára kiemelt jelentőségű lett.
A vállalati IT-biztonság próbája
A Stormshield 2020-as
„Digitális átalakulás barométer”-e szerint a vállalatok negyede kompromisszumokra kényszerült annak érdekében, hogy fenntartsa az üzletmenet folyamatosságát. A kezdeti lezárásokkal a vállalatoknak távolról kellett eligazítást adniuk a munkatársaiknak a távmunka követelményeiről, és eközben kevés figyelem hárult a biztonságra. Sok vállalatnak azzal kellett szembesülnie, hogy nem áll rendelkezésére a kellő mennyiségű informatikai eszköz, ezért az alkalmazottak – a biztonság mellőzésével – a saját gépeikről dolgoztak.
„Azoknak a szervezeteknek, amelyek nem szoktak hozzá a távmunka rendszerhez, mindent hirtelen, az alapokról kellett felépíteniük, és eközben kompromisszumokra kényszerültek a biztonság tekintetében.” – Maxime Nempont, a Stormshield bitonsági igazgatója.
A hálózaton kívülről történő csatlakozások megnövekedett száma is kihívás elé állította az informatikai és biztonsági csapatokat. Sokan felhőalapú és webes megoldásokra tértek át, ami viszont azt eredményezte, hogy a gyártóknak és szolgáltatóknak főtt a fejük az exponenciálisan megugró kereslet és terhelés miatt.
Bizalmi kérdések is felmerültek. Pontosabban bizalmatlansági kérdések, amiket a szakma ma már a
„nulla bizalmon alapuló hálózati hozzáférés” (ZTNA) fogalmában egyesít. Az elv egyszerű: sose bízz a felhasználó azon kérésében, hogy hozzáférjen a vállalat erőforrásaihoz. Ellenőrizd a munkaeszköze biztonságát és foganatosíts további autentikációs intézkedéseket.
A járványügyi válság igencsak előtérbe helyezte ezt a szemléletet.
A távmunkára történő tömeges migrációban bátorítást és igazolást leltek azok a vállalatok, amelyek már korábban is fejlett távmunka metodológiát érvényesítettek. A felkészületlen szervezetek számára azonban nagy kihívást jelentett a távmunka megszervezése és biztonsága, különös tekintettel arra, hogy a pandémia idején megnövekedett a kibertámadások száma.
Vakfoltok keletkeztek az informatikai és biztonsági csapatoknál, hiszen a szervezet kiberbiztonsági védőernyőjén kívül eső, otthonról dolgozó kollégák munkakörülményeire nem láttak rá kellő mértékben. A ZTNA fogalomkörében: az otthoni munkaállomások a megbízhatatlan kategóriába tartoznak.
A HR csapatok központi szerepe
Talán nem meglepő, hogy a magánélet és a szakmai élet ilyetén összemosódásának HR szempontból is releváns következménye van. Sylvie Blondel, a Stormshield emberi erőforrások igazgatójának elmondása szerint tartani kellett a lelket a munkatársakban, mert a radikálisan megváltozott munkakörülmények és a járvánnyal összefüggő aggodalmak következtében kevésbé tudtak figyelni a kiberbiztonsági elvárásokra. A HR és az IT csapatok tehát minden eddiginél szorosabb együttműködésre kényszerültek a veszélyes helyzet kezelésének érdekében. Kiderült, hogy a két különálló szakma, ha összedugja a fejét, eredményesen képes felrázni a munkatársak lankadó kiberbiztonsági éberségét.
Újra kell gondolnunk a home office fogalmát?
A távmunka a COVID után is általános jelenségként velünk marad, sőt, sokak szerint ez lesz mostantól az uralkodó munkavégzési forma. Az új trend újfajta kiberfenyegetéseket is magával hoz. Erre számítva a szervezeteknek kiberbiztonsági előírásokkal kell kiegészíteniük a home-office szabályzataikat, és azokat végre is kell hajtatniuk. De mit jelent ez a konkrétan? Hogyan biztosítható tartósan a távoli munkavégzés a biztonság beáldozása nélkül?
A munkatársak fokozott ébersége
Az informatikai döntéshozókat a struccpolitika veszélye fenyegeti. Nem lehet már csak úgy betérni az irodába és figyelmeztetni a munkatársakat a kiberbiztonsági elvárásokról és gyakorlatról. De ettől még az otthonról dolgozó munkatársak kellő tájékozottsága és ébersége kulcsfontosságú, sőt, fontosabb, mint valaha. És ez változatlanul az IT-vezetők felelősségi körébe tartozik. Emlékeztetni kell a dolgozókat, hogy a távoli munkavégzéssel nagyban nőttek a kiberbiztonsági fenyegetések, és az otthon dolgozás még mindig cégben dolgozást is jelent. A TechTarget kimutatása szerint a vállalatok 58 százaléka 2021-ben is prioritásként kezeli a munkatársi tudatosság fokozását.
De ne feledkezzünk meg a felhasználói élmény fokozásáról sem! Ha egyszerűen használható és hatékony szolgáltatásokat, funkciókat biztosítunk az alkalmazottak számára (csak egy példa: böngészőbe integrált automatikus titkosítás), a kiberbiztonsági tudatosságuk is bízvást nőni fog.
A kiberbiztonság szavatolása a vállalat falain kívül is
A mobilitás és az IT-biztonság nem jóbarátok. A kettő talán mégis úgy egyeztethető össze a leghatékonyabban, ha a nem-szeretem szabályozás mellett az IT-szakemberek megkönnyítik a váltást, és – legalábbis az informatikai eszközök és szolgáltatások használatának tekintetében – otthon is céges körülményeket biztosítanak a munkatársak számára. Így megtarthatók a vállalati környezetben felvett jó szokások. A kiberbiztonság már rég nem csak műszaki, hanem emberi kérdés is, hiszen el kell érni a munkatársaknál a legalapvetőbb biztonsági ellenőrző lista rutinszerű végrehajtását.
Emellett rendelkezésre állnak a munkatársak autonómiáját csökkentő fejlett eszköz- és hozzáférésvezérlő megoldások, amelyek segítségével a rendszergazdák távolról konfigurálhatják az eszközöket és jogosultságokat.
Mi a helyzet a mobilhozzáférés biztonságával?
Összefoglalva tehát, a paradigmaváltás következtében fokozott figyelmet kell fordítani az olyan technikai intézkedésekre, mint például a szigorú tűzfalházirend definiálása, a végponti biztonság, a VPN konfiguráció vagy a többlépcsős autentikáció.
Ám mára az is kiderült, hogy a munkatársak az okostelefonjukat mobil munkaállomásként hajlamosak használni, márpedig egy mobiltelefon használata közben kevésbé figyelnek a biztonságra, mint amikor egy laptop vagy PC előtt ülnek. A távolról vezérelt mobileszköz tehát szintén záloga a kiberbiztonságnak a távmunka korában. Erre a mobileszközmenedzsment (MDM) megoldások adhatnak hatékony választ.
Forrás:
Stormshield.com – Remote working… a corporate security loophole that needs closing?
Kapcsolódó képzések:
Hálózati, végponti és adatvédelem a Stormshield kiberbiztonsági termékeivel
Ipari eszközök védelméről szóló képzések