Заплахи

Работещи от дома на неподготвени компании представляват "мюрета", според IAITAM

Владимир Владков

Много компании и правителствени агенции по цял свят вече изпратиха голяма част от служители си у дома, за да работят отдалечено в отговор на епидемията от коронавирус. Всяка седмица още хиляди работодатели вероятно ще последват примера им, отново заради тревогата от лесното заразяване. Международната асоциация на мениджърите на ИТ активи (IAITAM) обаче предупреждава, че повечето работодатели може би са се втурнали да вземат това решение, без да обмислят как да защитят най-чувствителните си данни.

"Винаги казваме, че не можете да управлявате това, за което не знаете, и това ще се окаже истина с кошмарни последици за много компании и правителствени агенции, които се опитват да се справят със ситуацията от коронавирус. Импулсът да изпращат служители вкъщи за работа е разбираем, но компаниите и агенциите без планове за непрекъсваемост на бизнеса със силен компонент за управление на ИТ активи (ITAM) ще бъдат "мюрета" за пробиви и хаквания на данни, които са там извън контрола на компанията", твърди д-р Барбара Рембиса, президент и изпълнителен директор на IAITAM.

Като пример Рембиса цитира доклад на IAITAM за 2015 г., в който се посочва, че 17 процента от лаптопите на Комисията за ценни книжа и борси на САЩ (SEC) не са били там, където е трябвало да бъдат, а в 22 процента има неправилна информация за потребителите. Вашингтонският офис на SEC е изпратил всички служители у дома миналата седмица заради откриването на заразен с коронавирус в централата на агенцията. При обстоятелствата, цитирани в доклада на IAITAM, Комисията за ценни книжа ще има малка увереност, че знае кой работи дистанционно на кои машини и при какви обстоятелства.

В най-добрия случай в момента компания или агенция има план за непрекъсваемост на бизнеса, който включва ITAM компоненти, както и план, описващ кой може да изпраща служители в дома им с ИТ активи, които работят правилно. При този подход някои служители, които използват висок клас скъпи компютри и друго оборудване, може да не могат да работят от вкъщи, а други, които изискват само лаптоп и софтуер за обработка на текстове, ще могат да работят извън офиса с лекота.

Ако вашата компания изпраща хора в дома им с оборудване, IAITAM дава следните съвети:
  • Излезте от профилите на всички ИТ активи, които се носят у дома, и осигурете тяхното проследяване. Никакви ИТ активи не трябва да могат да напускат офиса на компанията за първи път, без официално да се отчита всяко тяхно движение.
  • Уверете се, че за достъп до фирмените системи е инсталирана надеждна защитна стена и силни пароли. Компаниите и агенциите, които планират правилно, ще "мащабират" мрежата си, за да се справят с промяната на трафика от работното място до отдалечения достъп.
  • Помислете дали е необходимо служителите да подпишат споразумение за неразкриване на информация (NDA ) относно данните, до които ще имат достъп извън офиса. Данните често са значително по-ценни от информационните активи, в които се съхраняват те. Жизненоважна за компанията информация може да бъде застрашена и съответно NDA изпраща съобщение до служителите, че имат сериозни отговорности, които трябва да бъдат спазвани.
  • Предоставете обучение на служителите за това как да управляват отговорно своето оборудване и данните на компанията. Например родителите, които са свикнали да позволяват на дете или съпруг/а да използват личен смартфон или компютър, трябва да бъдат научени как да избегнат това с ИТ активи на компанията. Компаниите могат също да забранят използването на ИТ активи на компанията в обществени Wi-Fi мрежи като кафенета и ресторанти за бързо хранене.
  • Следете използването на данни от служителите и други дистанционни практики. Хубаво е да се предполага, че всеки ще спазва правилата и ще бъде "отборен играч", но това не винаги се случва. Всеки потенциал за злоупотреба с данните може да се увеличи в среда на работа от дома. Не забравяйте, че повечето пробиви на данните са причинени от вътрешни лица, а не от външни хакери.
  • "Затегнете юздите" на практиката за използване на собствено устройство (BYOD). Реалността е, че колкото по-дълго някой е извън офиса, толкова по-голяма е вероятността той да извършва фирмена дейност на личния си смартфон, компютър, таблет или друг актив тип BYOD. Такова устройство може просто да бъде личен телефон, който получава служебна е-поща. Ако договорът на служителя или политиката на компанията не дават на организацията права върху данните в тези устройства, мениджърът на ИТ активите ще трябва да направи допълнение, предоставящо права на организацията. Служителят може да притежава устройството, но данните, свързани с работата, са 100 процента собственост на компанията.

А какво да кажем за компаниите и правителствените агенции, които не се позовават на плановете си за непрекъсваемост на бизнеса с вградени защити ITAM, а сега изпращат служителите вкъщи, за да работят върху задачи на техните лични устройства? (Това би могло да се прилага и за компании и агенции, които имат такива планове, и ITAM, но се втурнаха заради страха от коронавирус и не използваха защитени варианти.) За тези компании и агенции списъкът на потенциалните проблеми е по-дълъг:
  1. Компаниите и агенциите ще имат малко информация за устройствата, които се използват за извършване на бизнес. При липсата на най-основната система за управление на мобилни устройства (MDM), компаниите ще бъдат "почти напълно слепи" за това кой има достъп до техните данни.
  2. Компаниите и агенциите, които не изискват от служителите си да работят отдалечено чрез виртуална частна мрежа (VPN), ще разчитат на персонални Wi-Fi системи, които може да са незащитени и/или вече пробити. Неподготвените компании могат да открият, че техните VPN мрежи не са подготвени за огромната вълна от външен трафик. Компаниите, които позволяват на служителите да използват BYOD устройства за извършване на бизнес в обществени Wi-Fi системи, могат да бъдат още по-уязвими към атаки.
  3. Колкото по-дълго служителите работят отдалечено от уязвими системи, толкова по-голяма мишена са за фишинг и други атаки. Вече има безброй подобни атаки, свързани със страховете от коронавирус. Работещите в големи компании и държавни агенции може да се окажат в заплетена ситуация. При липсата на обучение и непрекъснати указания от тяхната компания чувствителните данни на личните им устройства могат да бъдат изложени на значителен риск.
  4. Данните на личните устройства (извън обсега на компания) вероятно ще останат там, когато служителят се върне на работа. Това създава огромен риск, ако личното устройство бъде дадено или продадено на трето лице или неправилно изхвърлено. В тези сценарии чувствителните данни за компанията ще бъдат изложени на риск напълно неволно и в крайна сметка ще стане публично достояние.





© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X