În vreme ce pandemia forțează mulți angajați să lucreze de acasă, poate compania dvs. să rămână în continuare productivă și totuși în siguranță?

Focarul de coronavirus (COVID-19) a fost declarat oficial de Organizația Mondială a Sănătății (OMS) drept pandemie, ceea ce înseamnă că infecția se răspândește rapid în mai multe țări. Statele Unite ale Americii au impus interdicții de călătorie pentru 28 de țări europene, multe țări au închis școlile și universitățile, iar adunările cu un număr mai mare de oameni au fost anulate.

Companiile de tehnologie de înalt profil, precum Google și Microsoft, încurajează sau impun ca personalul lor să adopte o politică de lucru de acasă. Pentru companiile moderne de tehnologie, infrastructura și politicile necesare pentru funcționarea angajaților de la distanță nu sunt o noutate, iar majoritatea membrilor lor lucrează pe laptop-uri.

Cu toate acestea, pentru multe alte companii și organizații mai mici, situația este diferită. Posibilitatea de a lucra de la distanță este probabil limitată la un număr mic de companii, în principal la cele care se bazează pe comunicarea prin e-mail sau prin alte sisteme non-operaționale. Sectorul educațional este un exemplu bun: universitățile oferă de mulți ani opțiuni pentru cursuri online de la distanță, în timp ce liceele și unitățile școlare se bazează pe faptul că personalul și elevii se întâlnesc față în față pentru a învăța. De asemenea, trebuie luate în considerare, în acest exemplu, operațiunile școlii și echipele administrative, pentru că de cele mai multe ori, angajații nu au fost pregătiți vreodată pentru activitatea de la distanță și folosesc majoritar sisteme desktop și nu laptop-uri.

Împărțirea organizației în doar câteva grupuri cu cerințe diferite și tratarea nevoilor fiecăruia pentru a implementa lucrul de acasă poate părea o abordare simplistă, dar este esențială, având în vedere necesitățile speciale ale unor cazuri. Folosind drept exemplu sistemul educațional, există studenți (clienții în acest caz), profesorii facultății, administrația și departamentele operaționale generale. Școala nu poate funcționa fără interacțiunea semnificativă a elevilor, profesorii au nevoie de facilități tehnice virtuale pentru a susține lecțiile, iar echipele de administrare au nevoie de acces la rețea, iar acest lucru reprezintă nevoile minime.

Pentru a fi productivi, există câteva cerințe simple de care au nevoie toți angajații de la distanță. În calitate de angajat care a lucrat "remote" în majoritatea vieții sale profesionale, recomand îndeosebi ultimele două puncte:

• Un calculator
• Conexiune bună la internet
• Aplicații pentru chat și conferințe
• Un spațiu de lucru dedicat (preferat)
• Opțional, un telefon
• Auto-motivație și disciplină
• Rutină strictă

De ce este opțional telefonul? În mediul de astăzi este posibil să nu fie necesar, mai ales că majoritatea aplicațiilor de chat permit apeluri directe. Nevoia unui telefon poate fi o cerință de afaceri, mai degrabă decât un dispozitiv esențial.

Companiile și organizațiile trebuie, și acest lucru este important, să se pregătească atât intern, dar să își pregătească și angajații cu privire la riscurile crescute de securitate cibernetică asociate cu munca de la distanță. Care sunt o parte dintre provocările care ar trebui să fie abordate?

Securitatea fizică a dispozitivelor companiei

Angajații vor expune dispozitivele companiei la un risc sporit, pentru că părăsesc siguranța sau securitatea infrastructurii de lucru de la birou. Ca angajat care lucrează de la distanță, mă duc adesea în spații publice pentru a lucra; există o multitudine de spații de lucru comune și individuale de lucru și este o formă de socializare. Echipamentele de lucru trebuie însă protejate în acest caz împotriva pierderilor și furtului. Vă recomand să:

• Utilizați criptarea full-disk ce asigură faptul că și în situația în care dispozitivul cade în mâini greșite, datele companiei nu pot fi accesate.
• Să vă deconectați din aplicațiile folosite la lucru atunci când nu folosiți dispozitivul în acest scop, atât acasă, cât și în locurile publice. Situația nedorită în care un copil curios poate trimite accidental un e-mail către manager sau către un client poate fi evitată cu ușurință. De asemenea, accesul unei persoane străine la informațiile afișate este blocat, eliminând orice risc de neatenție într-un spațiu public.
• Implementați o politică puternică de parole - activați parolele la pornirea dispozitivului sau aplicației, setați după ce perioadă de inactivitate să se închidă dispozitivul și nu permiteți ca parolele să fie disponibile vreodată pe foi de hârtie: oamenii continuă să facă acest lucru!
• Nu lăsați niciodată dispozitivul nesupravegheat sau la vedere. Dacă îl transportați în mașină, atunci ar trebui să fie așezat în portbagaj.

Ce se află în mediul tehnologic de acasă

Cereți angajaților să verifice propriul mediu de lucru împotriva vulnerabilităților, înainte de a conecta dispozitivele de lucru. Există știri continue cu privire la  vulnerabilitățile echipamentelor IoT (Internet of Things) și acesta este un moment excelent pentru ca angajații să ia măsuri privind securizarea acestora cu parole puternice și să actualizeze firmware-ul / software-ul acestora la cele mai recente versiuni disponibile.

Vă puteți sfătui angajații sau chiar le puteți cere să utilizeze o aplicație de connected home monitoring înainte de a conecta dispozitivele de lucru la rețelele de acasă. Scanarea sau monitorizarea vor evidenția dispozitivele cu vulnerabilități cunoscute, versiunile software sau firmware neactualizate sau prezența parolelor implicite care trebuie modificate.

Accesarea de la distanță a rețelei și sistemelor companiei

Stabiliți dacă angajatul are nevoie de acces la rețeaua internă a organizației sau doar acces la serviciile de e-mail bazate pe cloud. Și luați în considerare dacă același nivel de acces la datele sensibile de care se bucură la fața locului ar trebui acordat atunci când angajatul este în afara spațiului de lucru.

Dacă este nevoie de acces la rețeaua internă a organizației:

• Recomand ca acest lucru să se realizeze numai cu un dispozitiv deținut de companie, astfel încât controlul complet al dispozitivului de conectare să fie sub conducerea echipei IT.
• Utilizați întotdeauna un VPN pentru a conecta angajații de la distanță la rețeaua internă a organizației. Acest lucru împiedică atacurile in-the-middle din locații îndepărtate: nu uitați că, de acum lucrați de acasă, iar fluxul de informații circulă acum în rețelele publice.
• Controlați utilizarea dispozitivelor externe, cum ar fi stocarea USB și dispozitivele periferice.

Permiterea accesului la serviciile de e-mail și cloud de pe un dispozitiv propriu al unui angajat:

• Implementați aceeași politică de securitate endpoint pentru antimalware, firewall, etc. ca și în cazul unui dispozitiv administrat de organizație. Dacă este necesar, furnizați angajatului o licență pentru aceleași soluții utilizate pe dispozitivele deținute de companie. Dacă aveți nevoie de licențe suplimentare, contactați furnizorul. Este posibil să aibă soluții care să vă protejeze în timpul acestui eveniment fără precedent.
• Limitați capacitatea de a stoca, descărca sau copia date. O breșă de date se poate întâmpla de pe orice dispozitiv care stochează date sensibile.
• Luați în considerare utilizarea mașinilor virtuale pentru a oferi acces: acest lucru menține angajatul într-un mediu controlat și limitează expunerea rețelei companiei la mediul de acasă. Această opțiune poate fi mai complex de configurat, dar ar putea fi o soluție superioară pe termen lung.

Autentificarea multifactor (MFA) vă asigură că accesul, fie la serviciile bazate pe cloud fie la rețea, este realizat numai de către utilizatorii autorizați. Ori de câte ori este posibil, utilizați un sistem bazat pe o aplicație mobilă sau un token hardware fizic pentru a genera coduri unice care acordă acces autentificat. Întrucât implementarea unei astfel de opțiuni poate implica mai multe resurse, o soluție bazată pe o aplicație mobilă elimină nevoia de a procura și distribui hardware-ul. Sistemele bazate pe aplicații mobile oferă o mai mare securitate decât mesajele SMS, mai ales dacă dispozitivul folosit pentru a primi codurile nu este un dispozitiv gestionat de organizație și ar putea fi supus unui atac de tip swap SIM.

Instrumente de colaborare și procese de autorizare

Poate părea ciudat să punem împreună aceste două denumiri în același titlu, dar unul poate ajuta la prevenirea problemelor dacă este folosit împreună cu celălalt.

• Oferiți acces la sisteme de chat, video și conferințe, astfel încât angajații să poată comunica între ei. Astfel sunt oferite instrumentele de productivitate necesare care îi ajută pe angajați să rămână conectați cu ceilalți colegi.
• Folosiți instrumentele de colaborare pentru a vă proteja împotriva instrucțiunilor neautorizate sau tranzacțiilor nesolicitate. Infractorii cibernetici se vor folosi probabil de oportunitatea pe care munca de la distanță o reprezintă pentru a lansa atacuri de tip Business Email Compromise (BEC). Prin intermediul e-mail-ului este trimisă o cerere falsă, ce pare a fi urgentă, de către un infractor cibernetic,  prin care se solicită transferul urgent de fonduri, fără posibilitatea de a valida cererea în persoană. Asigurați-vă prin sisteme de conferință video / chat, ca parte formală a sistemului de aprobare, că orice astfel de validare să se facă „personal”, chiar dacă de la distanță.

Instruire

Conform unui articol recent privind coronavirus, există numeroase escrocherii care se bazează pe panica provocată de COVID-19, cum ar fi vinderea de măști de protecție, promisiunea existenței unui vaccin sau informații false menite să dezinformeze. Atunci când angajații sunt mutați de la locul de muncă și sunt plasați într-un loc mai confortabil, ei pot accesa mai ușor astfel de link-uri, pentru că nu mai există colegi care să-i poată vedea urmărind un clip amuzant sau vizitând o pagină web.

Cursurile de instruire privind conștientizarea securității cibernetice sunt de obicei o cerință anuală pentru angajați. Ar fi indicat să oferim în această perioadă, informații suplimentare care să contribuie la evitarea problemelor ce pot apărea din cauza factorului uman, acel element pe care escrocii încearcă mereu să-l exploateze. Ar fi o idee bună să oferiți o serie de sfaturi sau training-uri despre securitatea cibernetică înainte ca angajatul să înceapă să lucreze de la distanță... sau cât mai curând posibil după ce se întâmplă acest lucru.

Suport și managementul crizelor

În grabă pentru a oferi acces la distanță, nu sacrificați securitatea cibernetică sau abilitatea de a gestiona sisteme și dispozitive. Capacitatea de a oferi suport utilizatorilor de la distanță va fi esențială pentru a asigura o funcționare fără probleme, mai ales dacă utilizatorii vor fi în carantină din cauza problemelor de sănătate. Angajații de la distanță trebuie să aibă protocoale clare de comunicare pentru suportul IT și pentru gestionarea crizelor dacă se confruntă cu probleme neobișnuite sau suspecte care ar putea fi rezultatul unei breșe a datelor.

Există, desigur, sfaturi suplimentare din perspectiva tehnologiei; de exemplu, eliminarea sau limitarea utilizării RDP (Remote Desktop Protocol), așa cum este detaliat într-un articol recent realizat de către Aryeh Goretsky.

Dincolo de tehnologie și procesele funcționale, există și alți factori cheie pentru a lucra de acasă eficient:

• Comunicare – Puteți realiza apeluri telefonice/video cu echipa o dată pe zi, să vă informați pe scurt privind statusul de lucru și să oferiți tuturor posibilitatea de a împărtăși experiențe și dacă au întâmpinat probleme.
• Rapiditatea de răspuns – Muncitul de la distanță nu se poate compara cu lucrul într-un mediu fix. Stabiliți linii clare despre cât de rapid este de așteptat ca un angajat de la distanță să răspundă la o solicitare, în funcție de tipul de comunicare, e-mail, invitații de calendar etc.
• Raportare - Managerii trebuie să implementeze proceduri care să le permită să constate dacă angajații de la distanță își îndeplinesc cerințele și se pot folosi de următoarele acțiuni: întâlniri de grup obligatorii, colaborare în echipă, rapoarte zilnice / săptămânale / lunare.
• Program de lucru - Agreați o metodă de start și de încheiere a zilei, chiar dacă poate fi un simplu grup de chat în echipă prin care membrii să spună bună dimineața când își încep ziua.
• Sănătate și siguranță - Tastaturile ergonomice din birou trebuie să fie duse acasă pentru a oferi același confort în care sunt obișnuiți angajați. Munca de acasă nu înlătură responsabilitatea de a oferi un mediu de lucru propice.
• Răspundere - Asigurați-vă activele companiei aflate în posesia angajatului.
• Suport tehnic - Distribuiți datele de contact: toți angajații de la distanță trebuie să știe cum să obțină suport atunci când este nevoie.
• Socializare - Reuniți angajații de la distanță, într-un mod virtual. Interacțiunea socială este o parte importantă a motivației și crește productivitatea.
• Accesibilitate - Stabiliți o politică virtuală deschisă de gestionare a problemelor, la fel cum există în birou. Asigurați-vă că oamenii sunt accesibili cu ușurință.

Nu presupuneți că toți angajații pot trece la funcționarea de la distanță în mod eficient cu puțină asistență sau îndrumare. Acasă nu este biroul și pot avea nevoie de asistență semnificativă pentru a se adapta.

Din punct de vedere filosofic, lumea s-ar putea să nu mai fie niciodată aceeași, deoarece acest val imens de oameni care lucrează de acasă s-ar putea dovedi a fi un experiment social / de muncă pe care puține companii l-ar fi implementat vreodată la o asemenea scară. Ne vom întoarce însă vreodată la birou în același mod?

Rămâneți în siguranță și sănătoși!