Az új normálisnál kevesebb ember vesz részt az irodákban, és több ember dolgozik otthon. Teljes munkaidőben vagy részmunkaidőben a munkaerő nagy része most távolról dolgozik. Ez új biztonsági kihívásokkal jár.
Az új normális
Ennek oka, hogy a biztonsági szakemberek utálják a hirtelen változásokat, különösen a drasztikus természetűeket. A sebezhetőség bevezetésének kockázata, mert valamit figyelmen kívül hagytak, vagy valaki sietve cselekedett – bár a legfontosabb érdekek a szívében – túlságosan is valóságos.
A COVID-19 járvány éppen ilyen változást hozott a legtöbb szervezet számára. A dolgozók kénytelenek voltak otthon maradni és távolról dolgozni. Azoknak a vállalatoknak, amelyek valamilyen távmunka-képességgel rendelkeztek, meg kellett próbálniuk ezt gyorsan növelni. Más szervezeteknek meg kellett próbálniuk a lehető leggyorsabban összeállítani valamit. A biztonság ritkán kerül előbbre ilyen esetekben.
Mondanom sem kell, hogy azok a vállalkozások, amelyeknek semmilyen távmunka-képessége nem volt, a legkevésbé készültek felelni a változásra. Távoli munkavégzésre való képesség hiánya azt jelentette, hogy nem volt vagy nagyon kevés laptop volt a vállalkozásban. Sokuknak el kellett engednie, hogy az otthoni dolgozók saját otthoni számítógépeiket használják.
Az informatikai részlegnek – amelynek hirtelen otthoni terjesztése és munkája volt – támogatnia kellett az egyik napról a másikra mutált informatikai birtokot, hogy ide tartoznak az elavult és nem támogatott operációs rendszerek, otthoni útválasztók és számos gyártó hardvere.
Ha ezek közül bármelyik ismerősnek hangzik, íme néhány hatékony lépés, amellyel visszahozhat némi biztonságot a helyzetbe.
Használja a Titkosítást
A biztonságtudatos szervezet már titkosítja a hordozható és mobil eszközöket, például laptopokat, táblagépeket és okostelefonokat. Vállalati számítógépeken ez egyszerűen elvégezhető és ingyenes – mindaddig, amíg a Microsoft Windows megfelelő verzióját használja. Microsoft Windows 10 Pro, Enterprise és Education támogatás BitLocker eszköz titkosítás. A Windows 10 Home nem. Ezzel szemben, ha Apple számítógépet használ, a macOS alapértelmezés szerint támogatja az eszköz titkosítását, és közvetlenül a fórumon.
A számítógép titkosítása megvédi adatait a hozzáféréstől, ha az eszköz rossz kezekbe kerül. Még akkor is, ha a fenyegetés szereplői eltávolítják a merevlemezt, és megpróbálják elolvasni egy másik eszközön, meghiúsulnak.
Másfajta kockázati kitettség fordul elő azonban, ha a fájlokat elektronikus úton továbbítják. Ha a fenyegetés szereplői elfogják őket, akkor képesek lesznek elolvasni őket, kivéve, ha továbbításuk előtt titkosítják őket. Ezt könnyű megtenni. Mind a Microsoft Office termékek lehetővé teszi a fájlok jelszóval történő mentését. Ez titkosítja őket, megvédve őket a kíváncsi tekintetek ellen.
Előfordulhat, hogy más alkalmazások nem kínálják ezt a lehetőséget. Ha olyan szoftvercsomagot használ, amely nem kínál titkosítást az alkalmazáson belül, akkor is el tudja titkosítani a fájlokat, mielőtt elküldi őket. Használjon ingyenes segédprogramot, mint pl 7Zip vagy a többi archiváló alkalmazás egyikével tömörítheti fájljait és titkosíthatja őket jelszóval. Csökkenti a fájlok méretét, csökkenti az átviteli időt és a tárolási igényeket.
A fájlok tömörítése nagyszerű módja annak, hogy különböző szoftvercsomagokkal létrehozott különböző fájlok gyűjteményeit tömörítsék, amelyeket a kapcsolódó dokumentumok csomagjaként kell terjeszteni. Ha egyetlen fájlba tömöríti őket, akkor csak azt kell elküldenie valakinek, hogy egy fájl, és tudja, hogy megvan a teljes fájlkészlet.
Közölje a jelszót a címzettel egy másik adathordozóval – vagy legalábbis más üzenettel -, mint a fájlokat hordozó. És ne használja újra a jelszavakat, és ne tegye kiszámíthatóvá vagy képletessé. Ne használja például az ügyfél nevét és a dátumot.
A Windows ősi verzióival rendelkező felhasználók számára azt is megengedhetik, hogy az irodai számítógépet vigyék haza. Ha nem, akkor csak üres irodában fog leértékeletlenül ülni. Miért ne engedhetnék, hogy olyan aktuális, biztonságos eszközt használjanak, amely az informatikai csapat számára ismert, szerepel a hardvereszközök nyilvántartásában, és amelyek felett teljes ellenőrzést gyakorolhat?
Harden otthoni Wi-Fi
A belföldi Wi-Fi lehet biztonságos, de gyakran nincs így beállítva. Indítson most egy projektet, hogy informatikai csapata végigjárja az otthoni dolgozókat, és ellenőrizze, hogy az alapértelmezett router adminisztrációs hitelesítő adatok megváltoztak-e, hogy biztonságos és robusztus jelszavakat használnak-e, és frissítse a firmware-t.
Győződjön meg arról, hogy az eszköz által kínált legbiztonságosabb protokollt használják, és változtassa meg a jelszót egyedi, biztonságos jelszóra. Ez azt jelenti, hogy a barátok és a látogatók nem fognak tudni bekapcsolódni a Wi-Fi-be, amikor ellátogatnak, ez a lényeg. Ha az eszköz támogatja, hozzon létre egy vendég Wi-Fi-t, hogy a család és a barátok hozzáférhessenek az internethez. Megkapják a szükséges hozzáférést, el vannak különítve a fő Wi-Fi-től, és nem kell megkapniuk a privát Wi-Fi jelszót.
Fontolóra veheti a Wi-Fi fő hálózatának teljes elrejtését, de a legtöbb otthoni felhasználó ezt problémás rendszernek találja. Ugyanez vonatkozik MAC-cím szűrés, szomorúan.
Kapcsolja be a tűzfalat, és ellenőrizze a tűzfal szabályait. Ha az útválasztó archaikus, cserélje ki.
VPN-ek, RDP és 2FA
Használjon titkosított biztonságos kommunikációs módszereket, mint pl Virtuális magánhálózatok (VPN) vagy a Microsofté Távoli asztali protokoll (RDP). Vagy szigorúbban véve biztonságban vannak, ha naprakészen vannak javítva, és mindenki egyedi és robusztus jelszavakat használ. Győződjön meg arról, hogy korlátozza a kísérletek számát, mielőtt egy fiók zárolva lenne.
Bárhol támogatott, valósítsa meg kétfaktoros hitelesítés (2FA) vagy többtényezős hitelesítés (MFA). Használjon hitelesítő alkalmazásokkal rendelkező rendszereket vagy kódokat generáló eszközöket. Használó rendszerek Kis üzenetküldő rendszer (SMS) szöveges üzenetek kevésbé biztonságosak.
Ha a munkaerő felhőalapú szolgáltatásokat használ, ne feledje, hogy ezek közül sokan képesek kétfaktoros hitelesítést biztosítani külön költség nélkül. Kapcsolja be, és használja ki ezeket az ingyenes szolgáltatásokat az Ön előnyére.
Penetrációs vizsgálat
A fenyegetõ színészek sok minden, de nem buták. Tudják, hogy a munkaszokásokban elmozdulás történt, és hogy a munkaerő mostanra távoli és távolról fér hozzá az IT-erőforrásokhoz a központi irodában.
Azt is tudják, hogy sok szervezetnek a lehető leghamarabb meg kellett hoznia távoli megoldásait. És tudni fogják, hogy közülük nagyon kevesen kerülnek felülvizsgálatra. Tehát továbbra is jelen lesznek azok a biztonsági no-no és botcsillagok, amelyeket figyelmen kívül hagytak, amikor a C-suite azt kiabálta, hogy „csak működjön”.
Legyél proaktív. A számítógépes bűnözők előtt végezzen penetrációs tesztet a szervezetén. Végezze el a tesztelést, tekintse át az eredményeket, és azonnal kezelje a legsúlyosabb sérülékenységeket.
A maradékot helyezze fontossági sorrendbe, és dolgozza át súlyosságuk szerint.
Megfelelés és szabványok
A munkakörnyezet és a gyakorlat megváltozása azt jelenti, hogy sok folyamatot és eljárást módosítani kell. A kormányzást felül kell vizsgálni, hogy megbizonyosodjon arról, hogy a személyzetre vonatkozó útmutatásoknak és ellenőrzéseknek továbbra is van-e értelme és továbbra is érvényes az új helyzetben. Ha módosításra vagy frissítésre van szükségük, ezt a lehető leghamarabb végezzék el.
Különösen ellenőrizze a jelszópolitikát, az elfogadható használati szabályzatot, valamint az adattárolásra és -átvitelre vonatkozó szabályokat. A házimunkára való áttérés megsértette az informatikai eszközök hazavitelére, a hazai hálózatokhoz való csatlakozásra, a vállalati erőforrásokhoz csak a vállalati számítógépekről történő hozzáférésre vonatkozó meglévő szabályokat stb. Létfontosságú, hogy a személyzet megértse, milyen szabályokat kell továbbra is alkalmazni, melyeket helyettesítettek és mire.
Ne felejtse el ellenőrizni a szabványok tanúsítását és akkreditációit. Ha szervezete eleget tett bármely szabványnak, mint pl ISO 27001, Cyber Essentials, vagy a Kiberbiztonsági keretrendszer, az Ön által leírt, dokumentált és létrehozott folyamatok IT-birtoka már nem létezik. Minden kormányzását összhangba kell hoznia az új helyzettel.
Az adatvédelmi jogszabályokat felül kell vizsgálni, hogy lássák, miként kapcsolódnak az Ön jelenlegi adatfeldolgozási tevékenységeihez. Ha módosítja adatvédelmi irányelveit és eljárásait, mindenképpen frissítse adatvédelmi irányelveit, hogy az érintettek tájékoztatást kapjanak a változásokról.
Mosson kezet 40 másodpercig
Mint más, jelenleg kritikus higiéniai rendszerek, emlékezzen az alapvető kiberbiztonsági higiéniára is. Az alapok megfelelő megszerzése nagyban hozzájárul a csata megnyeréséhez.
