Sześć najlepszych praktyk zarządzania bezpieczeństwem cybernetycznym po powrocie do biura

Reklama

czw., 05/06/2021 - 21:09 -- MagdalenaL

Zdjęcie: Josh Sorenson / Pexels

W miarę zbliżania się lata i wzrostu liczby szczepień przeciwko COVID-19, organizacje zasygnalizowały, że będą stopniowo przenosić pracowników z powrotem do biur, próbując powrócić do pewnego poczucia normalności. Jednak najbardziej prawdopodobnym scenariuszem, który rozegra się w dającej się przewidzieć przyszłości, jest hybrydowe środowisko pracy, w którym pracownicy dzielą czas między domem a firmowymi biurami.

Poniżej znajduje się sześć najlepszych praktyk, które specjaliści ds bezpieczeństwa cybernetycznego i zgodności powinni rozważyć, aby ułatwić płynne i bezpieczne przejście do biura.

1.     Chroń prywatność i bezpieczeństwo we wspólnych obszarach roboczych. Biorąc pod uwagę znaczące przeprowadzki, konsolidacje i rekonfiguracje, biura, do których tego lata powrócą pracownicy, prawdopodobnie będą fizycznie znacznie różnić się od tych, które opuścili w marcu 2020 r. Oprócz kontroli temperatury i protokołów dotyczących odstępów w windach, pracownicy mogą spotkać się z nowymi piętrami lub budynkami, które zostały przekształcone w celu zwiększenia fizycznej odległości między pracownikami i oferują „hot desking” lub „open desking”, w którym pracownicy z różnych jednostek biznesowych siedzą razem. Rutynowe dyskusje na temat poufnych informacji - w tym przeglądów HR, dochodzeń wewnętrznych, wysoce poufnych danych handlowych, istotnych informacji niepublicznych i prognoz zysków - będą miały miejsce, więc zespoły bezpieczeństwa muszą rozważyć, jak najlepiej rozłożyć lub rozdzielić pracowników, aby zapobiec ryzyku.

2.     Zaktualizuj spis sprzętu. Pandemia wymagała od firm szybkich i zwinnych działań, aby zapewnić zdalnym pracownikom cały sprzęt niezbędny do efektywnego wykonywania swoich zadań - od laptopów i telefonów po kamery internetowe i drukarki. Po powrocie do biura nowy sprzęt, taki jak ulepszone urządzenia do wideokonferencji i dedykowane terminale, musi być odpowiednio zarządzany. Niezbędne jest zapewnienie aktualizacji zapasów sprzętu fizycznego w celu uwzględnienia nowo wdrożonej infrastruktury biurowej, a także zestawu domowego biura dostarczonego w ciągu ostatniego roku. Dokładny spis będzie podstawą do zarządzania niedawno wydanymi, zgubionymi lub skradzionymi urządzeniami. Inwentaryzacje obsługują również powiązane procesy informatyczne, takie jak stosowanie aktualizacji systemu operacyjnego i poprawek zabezpieczeń.

3.     Wdrażaj mechanizmy nadzoru dla platform współpracy i czatu. Z punktu widzenia oprogramowania narzędzia do współpracy i czatu, takie jak Zoom, Slack, Cisco Webex i Microsoft Teams, stanowiły podstawę komunikacji biznesowej podczas pandemii. Wykorzystanie tych platform będzie nadal rosło, jako głównych łączników pracowników w hybrydowym środowisku pracy. Zespoły ds. bezpieczeństwa cybernetycznego i zgodności muszą przestrzegać wymogów regulacyjnych dotyczących rejestrowania, przechowywania i nadzorowania komunikacji na tych platformach, ale powinny również przewidywać potencjalne ryzyko wycieku danych z informacji przekazywanych za pośrednictwem udostępnionych ekranów, kamer internetowych, czatu, wysyłanych plików i tablic. Niezbędne jest zapewnienie technicznej kontroli tych aplikacji do współpracy i aktywnego czatu zarówno w środowisku biurowym, jak i zdalnym. Myślące przyszłościowo startupy opracowały platformy wykorzystujące zaawansowane techniki sztucznej inteligencji, aby ułatwić nadzór.

4.     Udoskonal zasady i procedury bezpieczeństwa cybernetycznego. Podstawowymi elementami każdego programu bezpieczeństwa cybernetycznego są zasady i procedury, które definiują kontrole techniczne firmy i określają zasady ruchu dla pracowników. Zespoły ds. zgodności i bezpieczeństwa muszą aktualizować zasady i procedury, aby uwzględnić nowe ryzyko związane z odnowionymi przestrzeniami biurowymi i pracownikami przemieszczającymi się między firmowymi a domowymi miejscami pracy, co łatwo przeoczyć w wirze planowaniu powrotu do biura.. Kontrole związane z zabezpieczaniem sieci Wi-Fi pracowników i gości, odpowiednie wykorzystanie platform komunikacyjnych, protokoły reagowania na incydenty oraz wytyczne dotyczące składania wniosków o dane uwierzytelniające sprzęt lub oprogramowanie muszą zostać odświeżone, aby dostosować je do nowych realiów operacyjnych.

5.     Dokonaj przeglądu rejestrów ryzyka, aby uwzględnić zagrożenia związane z nowym hybrydowym środowiskiem pracy. Oceny ryzyka cyberbezpieczeństwa i samooceny kontroli ryzyka zgodności muszą być analizowane i odświeżane w celu uwzględnienia nowych i nowatorskich problemów związanych z biurem hybrydowym. Ponieważ oceny te stanowią punkt odniesienia dla pozycji ryzyka firmy, należy przeprowadzić przejrzyste rozliczanie ryzyk związanych ze współdzielonymi przestrzeniami fizycznymi, nowymi dostawcami zewnętrznymi oraz nowym sprzętem i oprogramowaniem, aby określić, które mechanizmy kompensacyjne można zastosować i gdzie progi tolerancji na ryzyko powinny zostać ponownie zbadane. Chociaż organizacje mogą ulec pokusie polegania na wyjątkach dotyczących ciągłego ryzyka opracowanych podczas pandemii, proaktywne zespoły ds. bezpieczeństwa i zgodności powinny teraz przeprowadzać kompleksowe przeglądy - nie czekaj na coroczny cykl aktualizacji.

6.     Szkolenia i testy phish. Aby pracownicy rozumieli zagrożenia związane z bezpieczeństwem cybernetycznym i zgodnością wynikające z nowych roboczych hybrydowych ustaleń, kluczowe znaczenie ma aktualizacja materiałów szkoleniowych, w tym testów phishingowych. Szybkie, ukierunkowane szkolenia koncentrujące się na takich kwestiach, jak ochrona poufnych rozmów dotyczących informacji o firmie i klientach, ryzyko narażenia danych na narzędzia do współpracy oraz sposoby zgłaszania zgubionych lub skradzionych urządzeń, będą wyraźnie edukować pracowników w najważniejszych kwestiach. Pandemia wprowadziła mnóstwo nowych strategii socjotechnicznych i strategii ataków phishingowych, a więc doskonalenie testów w tym obszarze, które zawsze wymaga ciągłej ewolucji w celu śledzenia obecnego obrazu zagrożeń, jest koniecznością. Znalezienie kreatywnych sposobów walki ze zmęczeniem treningowym będzie miało kluczowe znaczenie, ponieważ przekazywanie wiadomości o nowych zagrożeniach związanych z pracą hybrydową przyniesie korzyści zarówno firmom, jak i pracownikom.

Zespoły ds. bezpieczeństwa cybernetycznego i zgodności muszą wspólnie rozpocząć proces planowania powrotu do biura, aby wszyscy byli przygotowani na przybycie pracowników. Biorąc pod uwagę, że aktualizacja rejestrów ryzyka, wdrażanie nowych narzędzi technologicznych, rewizja polityk i tworzenie nowych szkoleń wymaga dobrze dopasowanych, skoordynowanych działań, teraz jest czas na zdefiniowanie i rozpoczęcie wykonywania tych zadań.

Autor: 
Marc Gilman, tłum. Justyna Grzybowska

Reklama