Рішення безпеки для мобільної робочої сили

Ми живемо у все більш бездротовому світі. У наш час багато ноутбуків навіть не мають порту Ethernet. Робота віддалено - чи то з дому, з клієнтського сайту, чи навіть із готелю в країні по всій країні - тепер є життєвим фактором для багатьох підприємств. Але важливо пам’ятати, що ви не можете забути про безпеку лише тому, що ваші користувачі не на місці. Малі підприємства все ще можуть нести відповідальність за порушення даних внаслідок втраченого ноутбука, а зловмисники можуть перехоплювати чутливі дані, що передаються через бездротову мережу. Підприємствам потрібно забезпечити, щоб їх стратегія захисту інформації виходила за межі офісу, щоб їх дані та мережа залишалися в безпеці.

Захистіть кінцеву точку

Що трапиться, якщо ноутбук працівника буде замінено або викрадений? Конфіденційні дані, такі як записи співробітників або інформація про клієнтів, можуть піддаватися впливу. Через це переконайтеся, що всі комп'ютери, видані цим працівникам, мають повне шифрування диска. Це простіше, ніж раніше, оскільки сучасні операційні системи тепер постачаються із вбудованими програмами шифрування. BitLocker доступний для користувачів Windows, а FileVault 2 вперше був представлений у Mac OS X Lion.

Якщо працівник використовує для роботи власний комп’ютер, попросіть його зашифрувати накопичувач. Шифрування диска робить зловмисникам надзвичайно важко отримати дані з машин. Це перша лінія захисту і її не слід ігнорувати. Якщо USB-накопичувачі популярні на робочому місці, рекомендуйте всім використовувати зашифровані накопичувачі. Переконайтеся, що у кожного є, як мінімум, щоб конфіденційні дані завжди були скопійовані на захищені пристрої. Оскільки ми вже говоримо про ноутбуки, то вперед і встановіть пароль, щоб заблокувати BIOS. Чудово, що у вас закриті облікові записи Windows, щоб злодії не могли увійти, а шифрування означає, що вони не можуть читати збережені дані, але як бути з BIOS? Захищений паролем BIOS означає, що зловмисник не може просто завантажувати USB-накопичувач або компакт-диск та обмінюватися навколо вашого жорсткого диска. Встановіть спочатку жорсткий диск у списку порядку завантаження в BIOS, а потім встановіть пароль для BIOS. Це означає, що злодій не може намагатися використовувати USB або CD для завантаження, і не може потрапити в BIOS, щоб змінити його.

Тільки тому, що працівник не знаходиться в офісі, це не означає, що він або вона повинна бути звільнена від регулярних оновлень програмного забезпечення та виправлення. Налаштуйте всі пристрої для автоматичного завантаження та встановлення патчів, коли вони стануть доступними. Вимагайте від працівників регулярного підключення до корпоративної мережі, щоб оновлення могли бути перенесені на їх машини. Враховуючи, скільки руйнівних атак націлило на невирішені вади безпеки (не останні останні нульові дні, а досить старі помилки років тому), важливо переконатися, що всі програмні пакети регулярно оновлюються. Установіть останнє програмне забезпечення для безпеки, веб-браузер та операційну систему. Увімкніть також брандмауер операційної системи.

Поміркуйте, чи справді вашим працівникам потрібен доступ адміністратора. Нині багато атак користуються тим, що користувачі мають повні привілеї над машиною. Створіть акаунти на рівні користувачів для співробітників і обмежте, що вони можуть чи не можуть робити. Таким чином, якщо вони заражені зловмисними програмами, ця негідна програма також обмежена тим, що вона може робити на машині. Подумайте, чи повинні працівники встановлювати програмне забезпечення, не знаючи про нього ІТ. Повний доступ через кінцеву точку повинен мати лише надійний ІТ-персонал.

Погляньте на налаштування сервера віртуальної приватної мережі, щоб переконатися, що працівники підключаються до робочих систем через надійне з'єднання. VPN не повинен бути надскладним або обтяжливим. Деякі маршрутизатори можуть підтримувати кілька VPN-з'єднань, а Windows пропонує вбудований клієнт. Якщо вам не потрібна повномасштабна настройка VPN, захистіть своїх користувачів сервісом VPN. Це найкращий спосіб переконатися, що підслуховувачі не перехоплюють конфіденційні дані, коли працівники підключаються до загальнодоступних мереж.

Захистіть смартфон також разом із усіма електронними листами, документами та контрактами, які можуть бути вразливими на ньому. Переконайтеся, що на всіх пристроях є блокування - не просто пальцем по екрану, а фактичним паролем або шаблоном. І якщо у вас є можливість, скористайтеся чимось сильнішим за 4-значний PIN-код. Користувачів iPhone слід заохочувати користуватися датчиком відбитків пальців. Ці заходи утруднюють злодіїв, ковзаючи навколо пристрою. Багато пристроїв також можуть бути налаштовані для видалення всіх даних після встановленої кількості неправильних спроб розблокувати екран. Переконайтеся, що існує спосіб віддаленого видалення мобільних пристроїв, якщо вони коли-небудь загубляться. Це може бути досягнуто за допомогою платформи управління мобільними пристроями, що працює в масштабах бізнесу, або попросити користувачів увімкнути відповідні налаштування в операційній системі свого мобільного пристрою.

Тренуйте працівників

Так, паролі не є ідеальними, але це те, що ми маємо зараз, тому нам потрібно працювати з системою. Навчіть працівників, щоб переконатися, що вони користуються надійними паролями для всіх облікових записів, апаратних засобів та служб. Укажіть єдиний вхід, де це можливо, і вивчіть двофакторну автентифікацію там, де це має сенс. Якщо у вас є, наприклад, обліковий запис Google Apps, є сенс увімкнути двофакторну автентифікацію, особливо якщо у вас є чимало співробітників, які входять у систему дистанційно. І переконайтеся, що всі паролі користувачів часто змінюються. Якщо одноразовий вхід не є можливим, а використання надійних паролів та їх зміна часто звучить складно (це так), спробуйте скористатися менеджером паролів.

Розширіть освіту паролів на підказки щодо паролів, щоб користувачі дізналися, чому вони не повинні використовувати реальну інформацію. Замість того, щоб вводити модель вашого першого автомобіля чи дівочого прізвища матері, яке потенційно може бути видобуте з сайтів соціальних мереж та інших джерел інформації, користувачів слід заохочувати брехати та висловлювати фальшиву відповідь, яку вони знають одні.

Навчіть співробітників попереджувальних знаків фішингу, щоб принаймні деякі були зупинені та перекинуті. Ціль не обов'язково - зробити так, щоб працівники ідентифікували кожен фішинг-лист, але ви можете змусити співробітників сумніватися, чи справді деякі повідомлення справжні чи ні. Підкресліть, що фішинг може спочатку орієнтуватися на особисті облікові записи в Інтернеті, перш ніж підписувати їх на корпоративну інформацію. ІТ не слід покладатися на користувачів, щоб зупинити 100 відсотків усіх фішинг-атак, але якщо користувачі звикли повідомляти про підозрілі повідомлення, це може допомогти блокувати деякі атаки.

Створіть політику та поясніть, чому користувачі не можуть робити певні дії. Якщо ви переживаєте, що користувачі завантажують чутливі файли до хмарних служб, використовуйте веб-фільтрацію, щоб обмежити доступ до Google Диска, Dropboxlink та торгівлі тощо. Якщо ви робите це, переконайтеся, що ваші користувачі проінформовані про те, чому існує така політика, і що ще важливіше, налаштувати затверджені процеси для спільного використання файлів та спільної роботи. Не відволікайте співробітників від певних дій - надайте їм альтернативи, щоб вони не спокусилися прокрастись.

Забезпечте все інше

Оскільки все більше і більше людей користуються сучасними технологіями для роботи поза офісом, тиск на SMB здійснюється, щоб забезпечити захист своїх співробітників, безпеку даних та те, що сервери та системи не вразливі до атак. Регулярно створюйте резервні копії даних на всіх віддалених машинах. Будьте пильні і стежте за тим, що роблять мобільні працівники. Безпека - це не просто щось серед чотирьох стін. Переконайтеся, що кінцеві користувачі не випадково завантажують та не встановлюють шкідливі програми, які можуть подорожувати вашою мережею.

Тільки тому, що ви малий бізнес, це не означає, що ваші дані та працівники не піддаються ризику. Поміркуйте, де знаходяться точки небезпеки, і скористайтеся вбудованими інструментами, коли зможете. Навіть робити невеликі кроки - це краща безпека, ніж взагалі нічого не робити.