Praca zdalna a bezpieczeństwo danych – jak uchronić firmę przed zagrożeniami?

Dokonująca się na rynku zmiana modelu prowadzenia biznesu wymaga od pracodawców zabezpieczenia wszystkich kluczowych obszarów aktywności pracowników, które wcześniej odbywały się stacjonarnie. Zwrot w kierunku pracy zdalnej to bowiem nowe okazje, ale też obowiązki oraz wyzwania.

Wraz z początkiem pandemii – i przeniesieniem się pracowników z biur do domów – znacząco wzrosło ryzyko ataków hakerskich. Podczas społecznej izolacji programy antywirusowe blokowały o 25% więcej szkodliwych stron i plików, a liczba ataków phishingowych skierowanych do zdalnych pracowników wzrosła o 85% (Zscaler Cloud Platform data, January through March 2020).

Aby pracodawca i pracownicy mogli wspólnymi siłami zadbać o bezpieczeństwo danych, muszą wykazać się odpowiedzialnością. Ale nie tylko – nawet najlepsze intencje w tym zakresie nie wystarczą, jeśli członkowie zespołu nie będą mieli dostępu do narzędzi stanowiących sprawny oręż w walce z cyberprzestępcami. Na co trzeba więc zwrócić uwagę przy zabezpieczaniu firmowych danych w dobie pracy zdalnej? Już spieszymy z odpowiedzią.

Narzędzia do pracy w chmurze

Wydaje się, że era instalowania lokalnych programów na każdym firmowym komputerze zaczyna powoli przechodzić do lamusa. To bardzo dobry znak. Praca zdalna staje się o wiele prostsza, gdy osoby zatrudnione w firmie mają dostęp do oprogramowania chmurowego, które jest wydajne, proste w obsłudze i ogólnodostępne. 

Pracodawcy najczęściej wybierają pocztę i programy biurowe jednego z dwóch producentów – Google lub Microsoftu. Ten ostatni nadal silnie czerpie z tradycji lokalnych programów, jednak szybko nadrabia zaległości w wydajności webowych wariantów swoich programów. 

Aplikacje wchodzące w skład pakietu Google Workspace powstały zaś jako natywne narzędzia chmurowe. Podejście to ma odbicie nie tylko w sposobie ich budowy, ale też w filozofii dotyczącej bezpieczeństwa. Google dba o to, aby dostarczane przez firmę programy odznaczały się najwyższą jakością zabezpieczeń. Potwierdzają to niezależne certyfikaty, takie jak ISO/EIC 27018, SOC 3 czy FedRAMP.

Ale zabezpieczenie chmurowej infrastruktury to nie wszystko. Każdy instancja Google Workspace w obrębie organizacji zarządzana jest z poziomu konsoli. Za jej pośrednictwem administrator może skonfigurować ustawienia poszczególnych aplikacji w taki sposób, aby najlepiej zabezpieczyć dane i sposób użytkowania programów w swojej firmie. 

Możliwości, jakie organizacje mają w tym zakresie, szczegółowo opisaliśmy w artykule: Ile kontroli ma administrator w Google Workspace? W tekście tym znajdziesz m.in. informacje na temat zbiorowego zarządzania kontami użytkowników, określania siły haseł czy weryfikacji dwuetapowej.

Sprzęt służbowy pod kontrolą

Laptop, słuchawki z mikrofonem, myszka i (w niektórych przypadkach) telefon to podstawowe wyposażenie pracownika zdalnego, które powinna zapewniać firma. Część pracodawców wciąż jednak przymyka oko na wykorzystywanie urządzeń prywatnych do celów służbowych. Inni wręcz do tego zachęcają, wprowadzając zasadę BYOD (ang. Bring Your Own Device). 

Dlaczego prywatne komputery wykorzystywane do pracy zdalnej to nie jest najlepszy pomysł? Dlatego, że pracodawca nie ma żadnej kontroli nad danymi firmy, które są na nich przechowywane i przetwarzane. Każda luka bezpieczeństwa (np. słabe hasło, brak ochrony antywirusowej czy dostęp do urządzenia przez osoby trzecie) staje się podwójnie groźna, jeśli administrator nie jest w stanie określić lokalizacji i stanu urządzenia.

Google Workspace – zarządzanie kontami i urządzeniami pracowników

Rozwiązaniem tego problemu jest korzystanie z planu Google Workspace, który zapewnia funkcję kontroli punktów dostępu. Niezależnie od marki i systemu operacyjnego urządzenia, administrator usługi ma wówczas wgląd w siłę haseł do służbowych kont Google, a także może zdalnie wyczyścić firmowe dane, gdy urządzenie zostanie zgubione.

Więcej na ten temat przeczytasz na naszym blogu:

• Mobile Device Management w Google Workspace – jak chronić telefony pracowników?
• Zarządzanie punktami końcowymi – jak dbać o bezpieczeństwo służbowych laptopów?

Chromebook jako laptop biznesowy

Firma, która w kwestii bezpieczeństwa nie pozostawia miejsca na przypadek, powinna rozważyć zainwestowanie we flotę służbowych laptopów połączonych z wewnętrznym systemem do zdalnej kontroli. Specjalnie do tego celu Google stworzyło Chromebooki. Są to laptopy różnych producentów (m.in. Acer, Asus, Dell), które łączy jedna cecha – wszystkie są oparte na systemie Google Chrome OS i mogą być centralnie zarządzane dzięki licencjom Chrome Enterprise. 

Chromebooki mają wiele zalet, a zwiększony poziom bezpieczeństwa jest jedną z nich. Chrome OS przeprowadza wszystkie aktualizacje w tle, więc użytkownik zawsze może mieć pewność, że baza potencjalnych zagrożeń jest aktualna. Brak możliwości instalacji programów z niezaufanych źródeł sprawia, że ryzyko zawirusowania tego systemu jest bliskie zeru.

Najważniejsze cechy oraz możliwości Chromebooków opisaliśmy w aryykułach na naszym blogu:

• Co to jest Chromebook i czy warto go kupić?
• System operacyjny Chrome OS – odpowiedzi na najczęściej zadawane pytania

Klucz U2F czyli dodatkowe zabezpieczenie

Na konta osób pracujących zdalnie można nałożyć dodatkową warstwę ochrony za pomocą kluczy bezpieczeństwa U2F. Są to niewielkie urządzenia zewnętrzne, które wyglądem przypominają zwykłe pendrive’y. Są one wykorzystywane jako drugi element potrzebny do uwierzytelniania wieloskładnikowego. Dzięki użyciu kluczy bezpieczeństwa nie trzeba generować dodatkowych haseł ani PIN-ów. 

Co więcej, jest to jedyna metoda dwuetapowego uwierzytelnienia, której nie da się wyłudzić. Klucz zabezpieczeń zawsze wykryje, że użytkownik znajduje się na fałszywej stronie i nie poda oszustom danych potrzebnych do zalogowania. Inaczej mówiąc – tego urządzenia nie da się oszukać. 

Dowiedz się więcej: Klucz bezpieczeństwa U2F – co to jest i jak działa

Jak wspierać pracowników podczas pracy zdalnej? 

Pamiętaj, że nie wszyscy pracownicy mają świadomość, jak ważne w firmie są kwestie bezpieczeństwa. Aby więc mieć wszystko pod kontrolą, warto wdrożyć w swojej organizacji kilka dobrych praktyk:

• Opracuj procedury bezpieczeństwa, do których wszyscy pracownicy będą mogli w dowolnej chwili sięgnąć.
• Przygotuj dodatkowe materiały edukacyjne – jeśli obawiasz się, że wiele osób nie przeczyta całego pliku z procedurami, opracuj dokumenty, w których przedstawione zostaną najważniejsze założenia (najlepiej jeśli będą one miały formę przejrzystych list, infografik czy krótkich filmików).
• Regularnie przeprowadzaj szkolenia, które będą uświadamiać pracownikom, jak ważna jest ochrona przetwarzanych danych, a także pomagać im we wdrożeniu poszczególnych zasad.
• Wyjaśnij nowym pracownikom, jakie procedury bezpieczeństwa obowiązują w firmie. Upewnij się, że wszystko w tym zakresie jest dla nich jasne.
• Zapewnij pracownikom pomoc – zadbaj o to, aby pracownik miał się do kogo zwrócić po pomoc, jeśli będzie miał problemy z wdrożeniem zasad (np. z zainstalowaniem klucza U2F).

Skorzystaj ze wsparcia FOTC

FOTC to zespół certyfikowanych inżynierów chmury Google, którzy zawsze są gotowi wesprzeć klientów w rozwiązywaniu problemów z konfiguracją kluczowych systemów ochrony danych w firmie. Z naszą pomocą będziesz w stanie zbudować lepsze środowisko hybrydowej współpracy online dla swoich pracowników. Ale wsparcie, szkolenia i ekspercka wiedza to nie wszystko. Współpraca z partnerem Google Cloud pozwoli Ci także zoptymalizować koszty usługi Google Workspace dzięki unikalnym rabatom. Porozmawiaj z nami o potrzebach swojej firmy, a przygotujemy dla Ciebie spersonalizowaną ofertę wdrożenia chmurowych usług (wraz z migracją danych), lub przeniesienia licencji do FOTC.