Возвращение в офис: как снизить риски

По возвращении в офис ИТ-персоналу следует принять во внимание множество мер по обеспечению безопасности. Честер Вишневски, главный исследователь Sophos, рассказывает на портале Information Age о том, какие именно.

Более года назад компании по всему миру приступили к беспрецедентно сложной миссии — перевести свои операции в онлайн-режим и стать полностью удаленными. Застигнутые врасплох, ИТ-отделы изо всех сил старались обеспечить сотрудникам возможность работать из дома в обозримом будущем, что неизбежно приводило к многочисленным проблемам безопасности. Являются ли наши VPN современными? Как сделать так, чтобы находясь вне офиса, все сотрудники устанавливали обязательные обновления ПО? Спустя год команды сталкиваются с совершенно новой проблемой, поскольку компании готовятся вернуть сотрудников обратно в офисы.

В идеале для доступа к системам и приложениям следовало бы применять Zero Trust Networking (ZTN) или Secure Access Service Edge (SASE), упрощая для большинства работников переход в офис и из него, но пока что этими технологиями пользуются очень немногие. Нужно исходить из того, что ИБ — это все еще периметр, поэтому к реинтеграции следует подходить с осторожностью — это связано с тем, что устройства и данные были вне досягаемости инструментов управления. Ниже приводятся советы, как справиться с несколькими типовыми ситуациями в постпандемическом офисе.

Принудительная установка обновлений

Из-за того, что большая часть сотрудников работает из дома, многие ИТ-команды потеряли возможность внедрять важные обновления. Улучшить ситуацию поможет применение ограниченной «карантинной» локальной сети. Она предназначена для изоляции конкретных устройств, что дает команде возможность проверить их безопасность перед включением в корпоративную среду. Это очень легко сделать, используя гостевой Wi-Fi, но с подключенными функциями дополнительной безопасности, которые позволяют быстро блокировать или отключать неправильно работающие устройства.

Эти детские игры... пора их заканчивать

Zoom-викторины, онлайн-классы и потоковые сервисы — всем этим сотрудники активно пользовались во время пандемии на корпоративных устройствах, не всегда применяя их по прямому предназначению. Проверка целостности устройств компании будет иметь решающее значение при возвращении в офис, поэтому предприятию следует проверить их. Для этого нужно провести полное сканирование системы с помощью инструмента проверки конечных точек (endpoint security), а также убедиться, что установлены все обновления ОС и приложений. Устройства следует также проверить на наличие установленных игр, чатов, социальных сетей и других приложений, которые, возможно, были необходимы в качестве обходного пути, но теперь больше не нужны. Чем ПО меньше, тем лучше.

Что скрывается в тени

Теневые ИТ — это проблема и в лучшие времена, и можно даже восхищаться изобретательностью сотрудников, делающих все возможное, чтобы выполнять свою работу во время кризиса. Однако их применение может привести к тому, что благонамеренные сотрудники загрузят то, что на самом деле не следовало устанавливать. Запустите программу «ИТ-амнистии». Попросите сотрудников рассказать о тех инструментах, которые им пришлось загрузить самостоятельно из-за того, что они лишились к ним доступа или они не были им предоставлены ИТ-отделом. Такая инвентаризация не только раскроет всю картину, но и даст прекрасную возможность узнать о пробелах в вашей стратегии удаленной работы, а также идентифицировать конфиденциальные данные и вернуть их туда, где их можно защитить и контролировать. Например, обычно на многих устройствах можно обнаружить такие приложения и сервисы, как Dropbox, Facebook Messenger, WhatsApp, Slack и Google Docs.

Уважение к данным

Пользователи, не имевшие VPN-доступа к файловым ресурсам компании (будь то новички, фрилансеры и т. д.) наверняка пользовались персональными облачными сервисами и съемными носителями. Этого и следовало ожидать, так как ИТ-команды в течение первых нескольких месяцев работы на дому были перегружены, пытаясь обеспечить, чтобы все шло гладко. По мере возможности старайтесь избавиться от этих устройств, так как их трудно зашифровать и легко потерять. Убедитесь, что все сотрудники вашей организации знают о корпоративном облачном хранилище, и помогите им перенести все документы, хранящиеся на персональных устройствах или облаках, в официально разрешенные инструменты. Соблюдение законодательства о защите данных связано со сложностями, поэтому сотрудникам следует объяснить важность этого процесса. Подобно программе «амнистии приложений», людям надо предоставить комфорт в обращении с данными, обеспечив при этом их защиту и уважение, которого они заслуживают.

Вывод

Все больше компаний намереваются отправить сотрудников обратно в офис, как только это станет возможно, и это сигнал, что даже самых опытных ИТ-специалистов ждет трудная работа. С другой стороны, это можно рассматривать как прекрасную возможность внедрить новую политику, использовать более безопасные современные инструменты, позволяющие работать удаленно/гибридно, и сократить количество рабочих поездок, поскольку мы все больше привыкаем к онлайн-встречам. Цель любой ИТ-команды состоит в том, чтобы подготовить к работе в сети собственных сотрудников и не допустить проникновения хакеров.