Denne artikel er et særligt bidrag fra Jeff Dawley , grundlægger, Cybersecurity Compliance Corporation . Hvis du er interesseret i at bidrage med indhold til CVCA Central, bedes du kontakte vores redaktion.
Og der var vi alle, midt i marts, og sendte vores hold hjem til deres hjem med de enheder, der var tilgængelige. Alle kæmper pludselig for at oprette fortrolig adgang, online kommunikationsstandarder og en form for struktur for ressourcer, der nu er tvunget til at jonglere et hjemmeliv med opretholdelse af jobkontinuitet.
Mens mange mennesker allerede var fjernaktiverede, var store dele af vores arbejdsstyrke forblevet bundet til deres fysiske kontorplacering af forskellige årsager.
Med denne pludselige ændring, eller når der tages fat på enhver ekstern arbejdssituation, er der steder, der skal opretholde et minimumsniveau af cybersikkerhed for at beskytte organisationens aktiver.
Der er to sider af denne cybersikkerhedsmønt. For det første skal organisationen selv forberede sig for bedst muligt at støtte en fjernarbejdsstyrke. Dette omfatter alt fra etablering af politikker og bemanding af supportfunktionen til anskaffelse og kontrol af enheder. For det andet skal den enkelte ressource forene det, der tidligere har været et personligt cyber-miljø, med krav til cybersikkerhed på kontorniveau, blot at tilslutte en sikker enhed til et ubeskyttet hjemmenetværk vil ikke beskytte dine data.
Lad os først tage fat på det nødvendige arbejde på organisationssiden.
Trin et er en samling af opgaver designet til at forhindre uønskede hændelser i at ske gennem uddannelse, bevidsthed og overensstemmelsestest. Sørg for, at du har eller laver politikker for acceptabel brug af teknologi, privatliv, databeskyttelse, sociale medier og brug af billeder, ideelt komplimenteret af en politik dedikeret til fjernarbejde. Ud over at have politikker på plads, vil det at køre regelmæssige online uddannelsesmoduler efterfulgt af quizzer og phishing-simuleringer forstærke vigtigheden af bevidsthed hos dine teams. Desværre har kaosset og usikkerheden omkring den aktuelle pandemi både reduceret vores opmærksomhed på cybersikkerhed og øget muligheden for dårlige aktører til at kompromittere vores systemer og data. Ifølge Trend Micro var der over 907.000 kendte ondsindede spam-e-mails relateret til coronavirus ved udgangen af Q12020, sammen med 48.000 hits på ondsindede URL'er.
For det andet er en række tekniske beslutninger og relateret dokumentation omkring forbindelsesmetoder, autentificering og enhedsbeskyttelse. Sørg for, at dit niveau eller din risikoappetit bliver mødt med passende teknologikontroller. Fjernadgang kan aktiveres gennem flere sikkerhedsmetoder som tunneling (VPN'er) eller sikre portaler eller mindre sikre muligheder som fjernskrivebordsadgang eller direkte applikationsadgang (uden at tilføje noget ekstra sikkerhedslag), hvor risiko eller fortrolighed forbliver mindre vigtig. Derudover bør rollebaseret adgang begrænse adgangen til kun de systemer, der kræves af den enkelte bruger for at udføre deres opgave. Kombiner dette med mindst to-faktor-godkendelse ved login, relativt korte timeout-perioder og en robust adgangskodepolitik for at reducere risikoen for at blive kompromitteret. For mere sofistikerede organisationer kan du låse administratorrettigheder på enhederne og udføre enhedssundhedstjek, før du giver adgang. Med hensyn til enheder bør alle endepunkter, der forbinder til et arbejdsnetværk, opdateres med de seneste sikkerhedsrettelser og godkendt virusbeskyttelse.
Og endelig konceptet med en katastrofeopsving og forretningskontinuitetsplan. Hvis du ikke har udarbejdet en før nu, er dette din mulighed. Du har et virkeligt eksempel på, hvad der skal gøres, hvis du ikke har fysisk adgang til dit primære arbejdssted, og de erfaringer, du har lært nu, vil gavne dig i fremtiden.
Flere oplysninger om, hvordan du imødekommer din organisations bredere cybersikkerhedsbehov, kan findes i en cybersikkerhedsramme kaldet NIST CSF, en af de lettest forståelige og mest implementerede cybersikkerhedsrammer.
Som om det ikke var udfordrende nok at gennemtænke disse ting fra et organisatorisk perspektiv, er vi nødt til også at overveje de praktiske og følelsesmæssige behov hos vores eksterne arbejdsstyrke. At finde os selv og vores teams, der arbejder hjemmefra, betyder uventet, at vi skal jonglere med bekymringen omkring den globale pandemi og vores kære, børn og andre enhedsbrugere i huset, kæledyr og kaffe, fælles arbejds-/livsrum osv. Det sidste folk vil bekymre sig om, hvorvidt deres adfærd udsætter deres arbejdsplads for et cyberangreb eller ej.
Der er måder, hvorpå du kan hjælpe med at løse nogle af de grundlæggende ting omkring cybersikkerhed, så du og dit team kan holde tankerne tilbage på de ting, der betyder mest.
Her er et par tips til, hvordan du sikrer dit arbejde hjemmefra:
Sørg for, at du er opdateret på din virksomheds politikker omkring brug af teknologi, databeskyttelse og privatliv. Disse vil omfatte retningslinjer for adgangskodekompleksitet og eventuelle krav til at holde dig opdateret med din cyberuddannelse og phishing/compliance-test.
Det er vigtigt at kende alle de enheder, der forbinder til det netværk, du bruger til arbejdet. Du bør også begrænse eller helt begrænse, hvem der ellers i husstanden har adgang til din arbejdsenhed.
Kører du et separat netværk til arbejdet eller en sikker, dedikeret tunnel til dit arbejdsmiljø? Har du en kompleks adgangskode? Ved du, hvordan du holder dig opdateret med patches, sikkerhedsopdateringer og antivirussoftware? Hvis svaret er nej til nogen af disse spørgsmål, bør du kontakte din IT-afdeling eller IT-serviceudbyder for at få råd.
Dæk dit kamera til, når det ikke er i brug, og før du begynder et videoopkald, skal du se tilbage fra kameraet for at sikre, at der ikke er nogen fortrolige oplysninger til rådighed. Ideelt set ville du foretage sådanne opkald fra et privat rum, der har en fysisk lås, og kun ved hjælp af virksomhedens godkendte teknologi.
Følg din organisations vejledning omkring, hvornår du skal e-maile, og hvornår du skal bruge andre sikre metoder til udveksling af data. Du bør også undgå at gemme følsomme filer på din lokale maskine.
Lås dine døre, når du går, og hold altid din teknologi ude af syne uden for din bolig, når den ikke er i brug.
Vi har talt om, hvordan du hjælper med at sikre din organisations it-miljø, når du implementerer en ekstern arbejdsstyrke, og vi behandlede, hvad enkeltpersoner kan gøre for at forhindre cyberangreb i deres hjemmearbejdspladser. Nøglen til de fleste af disse tips er simpelthen bevidsthed. Hvis du og dine teams forbliver opmærksomme på potentielle farer, risici og mulige angreb, så har du en bedre chance for at undgå dem helt.