Praca zdalna na dłużej. Czy dane w Twojej firmie pozostaną bezpieczne?

Dla wielu osób praca zdalna jest obecnie koniecznością, jednak jest to trend obecny na rynku już od dłuższego czasu. Co istotne, eksperci wskazują, że ten model w wielu firmach utrzyma się na dłużej. W badaniu Gartnera prawie jedna czwarta ankietowanych dyrektorów finansowych zakłada, że co najmniej 20% personelu na stałe będzie pracować zdalnie.[1] Może to przynieść wymierne korzyści, jednak niezwykle ważne jest dobre przygotowanie, szczególnie w zakresie zabezpieczenia danych. Tymczasem w ankiecie przeprowadzonej przez firmę Kingston, aż 38% osób pracujących zdalnie dla małych i średnich firm uznało, że nie ma wsparcia technologicznego, ani wiedzy, które mogą pomóc im w pracy z domu lub miejsc publicznych.[2]

Sam trend wdrażania pracy zdalnej w firmach, przynajmniej w częściowym zakresie np. raz w tygodniu, nie jest już niczym nowym i często stanowi istotną korzyść z punktu widzenia pracownika, a także pracodawcy. Jak wynika z badania Homejob zrealizowanego przez ARC Rynek i Opinia w listopadzie/grudniu 2019[3] aż 70% badanych deklarowała, że chętnie by skorzystała z możliwości pracy zdalnej, gdyby miała taką możliwość.

Praca zdalna – szansa czy zagrożenie?

Umożliwienie pracy zdalnej, choć stanowi wartość dodaną dla pracowników lub kandydatów do pracy, jest szczególnie na początku pewnym wyzwaniem i wymaga dobrego przygotowania. Brak wsparcia w zakresie sprzętu, ale również wiedzy o tym, jak bezpiecznie pracować w tym trybie, może skłaniać pracowników do korzystania z nieautoryzowanych rozwiązań, które często nie spełniają wymogów RODO czy ustawy o cyberbezpieczeństwie. Tym samym mogą narazić firmę na utratę danych i konsekwencje prawne. Natomiast wszelkie realne działania, które firma podejmuje, aby chronić dane, mogą być argumentem przy ewentualnym rozpatrywaniu sprawy przez UODO.

Kilka głównych zagrożeń, które można wymienić w kontekście pracy zdalnej to m.in. fakt, że pracownicy mogą korzystać ze swoich prywatnych urządzeń np. sprawdzać pocztę na telefonie czy przesyłać dokumenty na prywatny laptop. Zagrożeniem może być również konieczność podłączenia do publicznych sieci WI-FI, a także po prostu cyberataki – wśród nich m.in. zaawansowane metody phishingowe. – mówi Robert Sepeta, Business Development Manager w Kingston Technology w Polsce. I dodaje: Wszystkie te zagrożenia można minimalizować, w dodatku często nie wymagają one wcale bardzo dużych nakładów finansowych. Istotne znaczenie w zapewnieniu bezpieczeństwa pracy zdalnej ma m.in. szyfrowanie danych z poziomu samego urządzenia.

Bezpieczny sprzęt

Warto pamiętać, że każdy sprzęt biurowy, może zostać zgubiony lub ukradziony, zwłaszcza wtedy, gdy pracownik wykonuje swoje obowiązki w różnych miejscach lub pracuje zdalnie w niepełnym wymiarze godzin. Zagrożeniem jest każda sytuacja, która wymaga przemieszczania się ze sprzętem służbowym takim jak laptop, telefon czy choćby pendrive. Najprostszym, a jednocześnie najskuteczniejszym sposobem zapobiegania negatywnym skutkom pracy zdalnej jest wykorzystanie urządzeń szyfrowanych sprzętowo. W przypadku użycia szyfrowanych pamięci USB czy nośników SSD, dane są zabezpieczone w każdym miejscu i czasie – niezależnie od połączenia z siecią WI-Fi (a więc również w przypadku wykorzystania sieci publicznej). W ostatnim czasie wiele firm zostało zmuszonych do wdrożenia pracy zdalnej w przyspieszonym trybie i niektóre nadal są dopiero na początku tej drogi. Ponieważ będzie ona miała coraz większe znaczenie, w przypadku jakichkolwiek koniecznych inwestycji w nowy sprzęt, np. zamiany komputerów stacjonarnych na laptopy, warto myśleć przyszłościowo i zdecydować się na nośniki szyfrowane – mówi Robert Sepeta z Kingston Technology w Polsce. Dostępne programy służące do ochrony danych (DLP) dają możliwość ograniczania dostępu do sieci, ale jednocześnie zezwalają na dostęp do wybranych urządzeń np. wspominanych szyfrowanych pamięci USB. W przypadku kradzieży bądź zgubienia sprzętu, wgląd w informacje zapisane na tego typu urządzeniach jest niemalże niemożliwy, co ma szczególne znaczenie w przypadku tzw. danych wrażliwych. W skrajnych przypadkach urządzenia szyfrowane wprowadzają także możliwość zdalnej zniszczenia danych.

Polityka bezpieczeństwa firmy

Odpowiedni sprzęt i infrastruktura IT, w tym także zapewnienie bezpiecznego zdalnego dostępu poprzez VPN dla pracowników, są podstawą. Powinny jednak zostać włączone do polityki bezpieczeństwa firmy, która nie tylko uwzględnia wszystkie aspekty funkcjonowania przedsiębiorstwa, ale także będzie przygotowana na różne scenariusze. Dział IT powinien zabezpieczyć różnego rodzaju potencjalne zdarzenia, w tym również takie, które zakładają np. nieprzestrzeganie zasad firmy przez pracowników czy użycie sprzętu w nieodpowiedni sposób.

Kilka pytań, które warto sobie zadać w tym zakresie to m.in.:

• Czy system zabezpieczania punktów końcowych organizacji obejmuje urządzenia mobilne pracowników, takie jak pamięci USB, notebooki itp.?
• Co stanie się w przypadku kradzieży lub zgubienia sprzętu? Jakie są procedury, czy pracownicy są ich świadomi?
• Czy personel ma zapewniony bezpieczny dostęp do wszelkich potrzebnych zasobów i danych firmowych? Czy te dane są odpowiednio zaszyfrowane?
• Czy dostawcy systemów IT oraz sprzętu posiadają odpowiednią wiedzę w zakresie rozwiązań do pracy zdalnej, czy są zaufanymi dostawcami?
• Czy pracownicy dokładnie znają obowiązujące środki i zasady cyberbezpieczeństwa w firmie? Czy organizacja jest przygotowana na ich ewentualne nieprzestrzeganie? Czy są ustalone w tej kwestii odpowiednie procedury działania?
• Czy pracownicy wiedzą, kto i w jakim zakresie odpowiada za infrastrukturę bezpieczeństwa danych w firmie?
• Czy osoba zatrudniona na stanowisku odpowiadającym za bezpieczeństwo danych w firmie ma odpowiednią wiedze, kompetencje i zasoby, żeby zapewnić ich kompleksową ochronę?

Edukacja

Niezwykle ważnym aspektem we wszystkich obszarach zapewniania cyfrowego bezpieczeństwa w firmie, w tym również dbania o nie w kontekście pracy zdalnej, jest edukacja pracowników. Muszą oni być w pełni świadomi obowiązujących zasad, a także dobrze je rozumieć. Warto zadbać o to, aby były one łatwo dostępne, okresowo przypominane i w odpowiedni sposób wyjaśnione. W procesie przygotowywania takich zasad, firmy czasem zapominają o pewnych zachowaniach, które mogą wydawać się zupełnie podstawowe lub oczywiste z perspektywy pracodawcy, a nie są takie dla pracowników. Wśród nich można wymieniać choćby: niezapisywanie swoich haseł w dokumentach, notatnikach czy niezabezpieczonych plikach, zakaz korzystania z prywatnych niezabezpieczonych pendrive’ów, ale także wszystkich innych urządzeń podłączanych np. poprzez USB, które potencjalnie mogą być niebezpieczne. Okresowe szkolenia powinny uwzględniać również najpopularniejsze metody wykorzystywane przez hakerów – z uwzględnieniem tego, jak reagować na potencjalne ataki, do kogo je zgłaszać czy jakie procedury należy zachować.

[1] https://www.gartner.com/en/newsroom/press-releases/2020-04-03-gartner-cfo-surey-reveals-74-percent-of-organizations-to-shift-some-employees-to-remote-work-permanently2

[2] https://www.kingston.com/pl/landing/challenges-of-mobile-workforce-security

[3] https://www.wirtualnemedia.pl/artykul/mozliwosc-pracy-zdalnej-polakow-badanie-komentarz