6 sfaturi de securitate pentru angajații care folosesc dispozitive personale la serviciu

Christian Ali Bravo

February 16, 2024

Confidențialitate Cybersecurity How To

Din moment ce a ajutat organizațiile să elimine perturbările cauzate de pandemie, munca la distanță (care mai târziu s-a transformat adesea în muncă hibridă) a devenit o practică obișnuită. Cu granițele dintre serviciu și acasă devenind mai neclare ca niciodată, mulți oameni doresc sau chiar au nevoie să acceseze resursele de lucru nu numai din orice locație și la orice oră, ci și de pe orice dispozitiv, pentru a finaliza taskurile de lucru și pentru a accesa datele companiei.

Pe de altă parte, utilizarea dispozitivelor personale pentru serviciu, fie exclusiv sau împreună cu dispozitivele puse la dispoziție de angajator, vine cu riscuri crescute de securitate cibernetică, cu atât mai mult dacă nu este susținută de practici și precauții solide de securitate. În timp ce preocupările legate de aranjamentele privind folosirea propriului dispozitiv (BYOD) nu sunt deloc noi, dependența crescută de dispozitivele personale pentru muncă a dat o nouă viață provocărilor potențial disruptive ale securizării datelor corporative și a necesitat o reevaluare și ajustare a politicilor existente pentru a se adapta mediului de lucru în continuă evoluție.

Deci, cum pot angajații și organizațiile să atenueze riscurile cibernetice asociate cu dispozitivele deținute de angajați și să evite periclitarea datelor corporative și a datelor clienților lor? Deși nu există o soluție „unică pentru toate”, iată câteva măsuri care vor contribui în mare parte la protejarea companiilor de daune.

1. Reduceți suprafața de atac corporativă

Utilizarea de către angajați a dispozitivelor fără supervizarea departamentului IT devine, în special dacă nu este reglementată, o amenințare majoră pentru datele corporative. Într-o epocă în care actorii malițioși caută în mod constant crăpături în armurile companiilor, limitarea numărului de astfel de puncte potențiale de intrare este o idee foarte bună. Este important, prin urmare, că organizațiile trebuie să facă un inventar al fiecărui dispozitiv care accesează rețelele lor, precum și să stabilească standarde de securitate și configurații pe care trebuie să le îndeplinească dispozitivele angajaților pentru a asigura un nivel de protecție de bază.

Aplicațiile neaprobate sau alt software de pe dispozitivele deținute de angajați reprezintă o sursă comună de risc pe care fenomenul shadow IT îl reprezintă pentru integritatea, disponibilitatea și confidențialitatea datelor și sistemelor corporative. Pentru a împiedica accesul nereglementat al terților la datele sensibile, organizațiile pot beneficia de pe urma creării unei „bariere” între informațiile personale și cele legate de muncă de pe dispozitive și pot impune separarea aplicațiilor pe lista neagră sau lista albă. Există și alte modalități de a ține sub control dispozitivele deținute de angajați cu ajutorul unui software dedicat de gestionare a dispozitivelor mobile, ceea ce ne duce la următorul punct.

2. Actualizați software-ul și sistemele de operare

Importanța instalării actualizărilor de securitate pentru a corecta vulnerabilitățile cunoscute în timp util nu poate fi exagerată, deoarece aproape că nu trece o zi fără știri despre noile vulnerabilități descoperite în software utilizat pe scară largă.

Asigurarea faptului că angajații lucrează pe dispozitive actualizate este cu siguranță mai ușoară atunci când folosesc laptopuri și smartphone-uri emise de companie și se pot baza pe suport din partea departamentului IT care poate monitoriza statusul și poate instala actualizări de software pe computerele lor imediat după lansarea acestora. Multe companii folosesc în prezent software-ul de gestionare a dispozitivelor pentru a ajuta nu doar instalarea de actualizări pe dispozitivele angajaților, ci și înăsprirea generală a securității acestora.

Dacă sarcina de a menține actualizat software-ul de pe dispozitivele lor revine angajaților înșiși, organizațiile pot, cel puțin, să fie diligente atunci când vine vorba de a le reaminti atunci când sunt disponibile patch-uri de securitate, oferindu-le ghiduri de utilizare pentru aplicarea actualizărilor și monitorizarea progresului.

3. Stabiliți o conexiune sigură

Dacă un angajat de la distanță trebuie să acceseze rețeaua organizației, organizația trebuie să fie conștientă de acest lucru. Aceștia pot folosi nu doar rețelele Wi-Fi de acasă, ci și rețelele Wi-Fi publice. În oricare dintre scenarii, o rețea privată virtuală (VPN) configurată corespunzător, care permite ca cei care lucrează de la distanță să acceseze resursele corporative ca și cum ar fi stat la birou, este o modalitate ușoară de a reduce expunerea punctelor slabe ale organizației care altfel ar putea fi exploatate de infractorii cibernetici.

O altă modalitate de a activa conectivitatea de la distanță în mediul IT al unei organizații este prin Remote Desktop Protocol (RDP). Când o mare parte a populației lumii a trecut la lucrul de acasă, numărul de conexiuni RDP a crescut brusc – la fel și atacurile împotriva endpoint-urilor RDP. Au existat multe cazuri în care atacatorii au găsit modalități de a exploata setările RDP prost configurate sau parolele slabe pentru a obține acces la rețelele companiei. Un criminal cibernetic de succes poate folosi aceste căi de acces pentru a elimina proprietatea intelectuală, a cripta și a păstra toate fișierele corporative pentru răscumpărare, poate păcăli un departament de contabilitate pentru a transfera bani în conturile aflate sub controlul său sau pentru a face ravagii în copiile de rezervă ale datelor companiei.

Vestea bună este că există multe modalități de a vă proteja împotriva atacurilor cauzate de RDP. Accesul RDP trebuie configurat corect, inclusiv prin dezactivarea RDP cu acces la internet și prin utilizarea unor parole puternice și complexe pentru toate conturile care pot fi conectate prin RDP.  

Citește și: Remote Desktop Protocol: Configuring remote access for a secure workforce

4. Protejați datele vitale ale companiei

Stocarea datelor corporative confidențiale pe un dispozitiv personal prezintă în mod clar un risc, mai ales dacă dispozitivul este pierdut sau furat, nu este protejat prin parolă și hard disk-ul nu este criptat. Același lucru este valabil și pentru scenariul în care lăsați pe altcineva să folosească dispozitivul. Chiar dacă este „doar” un membru al familiei, această practică poate duce totuși la compromiterea datelor vitale ale companiei, indiferent dacă acestea sunt stocate local sau, așa cum este obișnuit în era de lucru de oriunde, în cloud.

Câteva măsuri simple, cum ar fi protecția cu parolă puternică și blocarea automată ca și cerințe obligatorii și instruirea angajaților despre necesitatea de a împiedica pe oricine altcineva să folosească dispozitivul, vor contribui în mare măsură la protejarea datelor companiei împotriva daunelor.

Pentru a limita riscul ca informațiile confidențiale să fie accesate de persoane neautorizate, organizațiile ar trebui să cripteze datele sensibile atât în tranzit, cât și în repaus, să implementeze autentificarea cu mai mulți factori și conexiunile de rețea securizate.

5. Folosiți aplicații de videoconferință securizate

Serviciile de videoconferință au cunoscut un boom datorită pandemiei, deoarece toate întâlnirile care au fost inițial în persoană au fost mutate în lumea virtuală. Organizațiile ar trebui să creeze linii directoare pentru utilizarea serviciilor de videoconferință, cum ar fi ce software să folosească și cum să securizeze conexiunea.

Mai precis, este recomandat să utilizați software care vine cu caracteristici de securitate robuste implicite, inclusiv criptare end-to-end și protecție prin parolă pentru apeluri, care va proteja datele confidențiale de privirile indiscrete. Inutil să spunem că software-ul pentru videoconferințe trebuie să fie actualizat cu cele mai recente patch-uri de securitate pentru a se asigura că orice lacună software este blocată cât mai repede.

6. Implementați soluții de securitate de renume

Am fi neglijenți dacă nu menționăm că renunțarea la software-ul de securitate multistrat de renume pe dispozitivele care au acces la sistemele corporative este o rețetă sigură pentru dezastru. Un astfel de software, mai ales dacă este gestionat de echipa de securitate IT a companiei, poate salva pe toată lumea de multe bătăi de cap și, în cele din urmă, de pierderi de timp și financiare. Printre altele, acest software poate oferi măsuri de protecție împotriva celor mai recente amenințări malware, poate securiza datele corporative chiar dacă dispozitivul este pierdut sau furat și, în cele din urmă, poate ajuta administratorii de sistem să mențină dispozitivele în conformitate cu politicile de securitate ale companiei.

Asigurarea faptului că dispozitivele și datele au un backup regulat precum și testări constante ale copiilor de rezervă și oferirea de cursuri de formare privind conștientizarea securității pentru întreg personalul sunt alte practici evidente, iar controalele tehnice periodice nu ar fi complete dacă angajații nu ar înțelege riscurile crescute care vin odată cu utilizarea dispozitivelor personale pentru sarcini de birou.

Christian Ali Bravo February 16, 2024
Articole Similare

Cum să partajați online fișiere sensibile în siguranță

Sfaturi pentru protecția vieții private: precauții de aplicat atunci când utilizați o aplicație mobilă de sănătate

Securitatea cibernetică a alegerilor: protejarea urnelor de vot și consolidarea încrederii în integritatea alegerilor

Tot ce trebuie să știți despre link-urile de tip IP grabber
Discussion

Lasa un comentariu

Protecția datelor