Jak zabezpieczyć urządzenia pracowników w firmie?
Telefon w firmie jeszcze kilkanaście lat temu służył właściwie tylko do prowadzenia rozmów biznesowych. Dziś ma zdecydowanie większe zastosowanie, stając się nierzadko alternatywą dla komputera. Tym samym stanowi jeden z newralgicznych punktów w firmowym systemie informatycznym, będąc podatnym na rozmaite zagrożenia. A to dopiero wierzchołek góry lodowej.
Komputer i telefon w firmie to dwa podstawowe źródła zagrożeń. Po przemnożeniu ich przez liczbę pracowników szybko można się zorientować w tym, jak wiele jest potencjalnych źródeł wycieku danych. Należy więc zadbać o odpowiednie zabezpieczenia każdego z tych urządzeń, ale też o zwiększenie świadomości każdego pracownika. Jedno i drugie pozwala gwałtownie zmniejszyć ryzyko ewentualnych naruszeń.
Służbowy telefon w firmie – zacznij od niego
Mówiąc "telefon" mamy dziś najczęściej na myśli smartfona – urządzenie, będące w rzeczywistości miniaturowym komputerem. Choć jeszcze kilkanaście lat temu tego typu sprzęt rzadko był obiektem ataków ze strony cyberprzestępców, to w ostatnich latach liczba złośliwych programów na Androida i iOS-a dynamicznie rosła. Dlatego tak ważne jest, by odpowiednio zabezpieczyć telefony swoich pracowników, bo zagrożenie czyha na każdym kroku.
Najprostszym, a zarazem często pomijanym zabezpieczeniem, jest hasło dostępu. To zaskakujące, jak wiele osób nie korzysta z takiej ochrony i daje dostęp do zawartości telefonu po zwykłym przesunięciu palcem po ekranie.
Dalsza część artykułu pod materiałem wideo
Hasłem dostępu może być zwykły kod PIN lub wzór, ale jeszcze większe bezpieczeństwo zapewni metoda biometryczna, taka jak odczyt linii papilarnych czy zdjęcie twarzy. Wprawdzie nie uchroni to telefonu przed cyberatakiem, ale wyraźnie zminimalizuje ryzyko przejęcia wrażliwych danych w wyniku kradzieży urządzenia lub jego zgubienia.
Pozostańmy w temacie haseł, ponieważ dobrym pomysłem może także okazać się korzystanie z menedżera haseł. To oprogramowanie, które zapamiętuje wszystkie hasła (do poszczególnych usług i systemów), a dostępu do nich strzeże inne hasło. Menedżer sprawia, że korzystanie ze skomplikowanych haseł jest mniej problematyczne (nie trzeba ich zapamiętywać).
Dodać wypada, że dobre hasła powinny być długie i unikalne (dobra zasada to jedno hasło – jedna usługa). Aby dodatkowo zabezpieczyć firmowe dane, można wymusić na pracownikach regularną zmianę haseł (na przykład co miesiąc lub dwa).
Warto też pamiętać o regularnym wykonywaniu kopii zapasowych – to z kolei pozwoli zabezpieczyć się przed utratą danych, na przykład w wyniku awarii urządzenia. Dzisiaj konfiguracja takiego zabezpieczenia jest bardzo prosta – można w tym celu wykorzystać internetowe narzędzia i wirtualne dyski w chmurze.
Wreszcie, kluczem do zapewnienia bezpieczeństwa jest regularne aktualizowanie systemu i oprogramowania. Warto o to zadbać, a przynajmniej przeszkolić pod tym kątem pracowników. Zresztą szkolenia z zakresu bezpieczeństwa IT na pewno się przydadzą. I to im szerzej zakrojone, tym lepiej.
Jak zabezpieczyć komputer służbowy?
Silne hasła stanowią podstawę bezpieczeństwa także na komputerach służbowych. W ich przypadku organizacja może wymusić stosowanie haseł zgodnych z polityką (np. dłuższych niż 14 znaków i zawierających znaki specjalne).
Konfigurując komputer służbowy dla swojego pracownika pracodawca lub firmowy dział IT powinien zadbać o aktualność systemu operacyjnego, instalację oprogramowania antywirusowego oraz zachowanie dla siebie uprawnień administratora. Dzięki temu użytkownik nie będzie miał możliwości zmiany ustawień i instalowania aplikacji, co znacząco zredukuje zagrożenia. Programy pobierane z nieoficjalnych źródeł stanowią jedno z najpoważniejszych zagrożeń.
Nie bez powodu coraz popularniejszym rozwiązaniem jest także tworzenie firmowych VPN-ów, czyli prywatnych sieci wirtualnych. Uniemożliwiają one przechwytywanie informacji poprzez komputery znajdujące się poza siecią – z zewnątrz po prostu nie można się dostać do elementów firmowej infrastruktury.
Wewnątrz takich wirtualnych sieci można umieścić wszystkie firmowe systemy, takie jak portal HR, bazy danych, narzędzia komunikacyjne czy helpdesk (którego zapytania mogą naprowadzić cyberprzestępców na ewentualne luki).
Pracownicy powinni też zostać jasno poinformowani o tym, że komputer służbowy powinien służyć im wyłącznie do realizacji zadań zawodowych, a od prywatnych spraw jest osobisty komputer. Równocześnie ten ostatni w żadnym stopniu nie powinien być wykorzystywany do pracy (nawet do tak prozaicznych czynności jak sprawdzanie poczty e-mail). W skrócie chodzi o to, by dane dotyczące organizacji w ogóle nie opuszczały "strefy bezpieczeństwa".
Każde urządzenie stwarza zagrożenie. I każdy pracownik
Nie tylko telefon czy komputer. Potencjalnym źródłem zagrożenia może być tak naprawdę każde urządzenie, biorące udział w przetwarzaniu informacji firmowych. Warto więc też zadbać o odpowiednie zabezpieczenie pendrive’ów, zewnętrznych dysków twardych i innych nośników danych.
Dbanie o aktualność oprogramowania drukarek i innych urządzeń peryferyjnych także powinno znajdować się wysoko na liście priorytetów. Cyberprzestępcy często uzyskują dostęp do danych właśnie w ten sposób, że wykorzystują luki w sterownikach (łatane przez producentów w ramach aktualizacji).
Najlepszy zabezpieczeniem jest jednak tak naprawdę pracownik świadomy potencjalnych zagrożeń. Dlatego też…
Najpierw ucz, potem wymagaj
Aby móc wymagać od swoich pracowników odpowiedzialnego podejścia do bezpieczeństwa IT, najpierw trzeba im powiedzieć, czym takie podejście się charakteryzuje. Eksperci ds. cyberbezpieczeństwa niezwykle często zwracają uwagę na to, że nawet najlepsze zabezpieczenia będą na nic, jeśli użytkownicy nie będą świadomi zagrożeń. Dlatego właśnie tak ważnym elementem firmowej strategii powinny być regularnie przeprowadzane szkolenia.