Безопасность работы при удаленном доступе сотрудников: рекомендации IT
Ситуация с коронавирусом заставляет предпринимателей сокращать расходы и менять свои бизнес процессы - переводя сотрудников на удаленную работу (как это сделать читайте в разделе "Перевод сотрудников на удаленку"). В результате работа специалистов выходит за пределы ведения штатного системного администратора или руководителя, что влечет за собой серьезные риски, а иногда даже угрозу безопасности компании и ее репутации.
Как защитить себя и на что следует обратить внимание сотрудников и руководителя при удаленной работе расскажем в нашей статье.
Безопасность при удаленной работе включает 3 этапа:
- Разработка внутренних документов компании по предоставлению удаленного доступа сотруднику;
- Обеспечение безопасности внутренней сети предприятия, ее компьютеров и серверов.
- Обеспечение безопасности домашнего компьютера с которого будет производиться удаленная работа.
ВНУТРЕННИЕ ДОКУМЕНТЫ ПО РАБОТЕ СОТРУДНИКОВ ДИСТАНЦИОННО
В первую очередь необходимо обезопасить бизнес подготовив документы: кадровые о переводе сотрудника на дистанционную работу, внутренние регламенты компании по работе на удаленке. Второй тип документов должен включать в себя информацию о доступах, которые получает сотрудник для использования в своей удаленной работе, список программ, которые он может использовать, рекомендации по информационной безопасности, правила работы в интернете и пр. документы.
Список данных документов и их вид, каждый работодатель подбирает для себя самостоятельно исходя из деятельности компании и функциональных обязанностей сотрудника, если у Вас возникают сложности в подготовки таких документов наши юристы, совместно с системными администраторами могут их подготовить.
Звоните: +7(495) 649-81-05
ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПОДКЛЮЧЕНИЯ К РАБОЧЕМУ КОМПЬЮТЕРУ ПРИ УДАЛЕННОЙ РАБОТЕ
Для обеспечения безопасности удаленной работы существует множество программ и приложений, которыми Вы можете воспользоваться. Расскажем Вам о самых популярных из них (от простого способа к более сложному):
- RDP (Remote Desktop Protocol) - это стандартное приложение от Microsoft для подключения к удаленным рабочим столам.
- Первое что нужно сделать для защиты rdp это сменить порт
- Включить брандмауэр (добавив порт rdp разрешенным для определенных ip адресов), IP адреса своих домашних устройств, которым вы дадите разрешение на подключение должны сообщить сотрудники.
- Обязательно должны быть настроены GPO (Group Policy Object), одно из правил которого - Политика паролей (длина паролей, сложность, блокировка учетной записи при многократном неправильном введении паролей). Мы рекомендуем установить их на отметке 5-10 неправильных вводов.
- При подключении по RDP к корпоративной сети рекомендуется использовать Шлюз RDG (remote desktop gateway) с развернутым центром сертификации.
Следующим пунктом в обеспечении безопасности при удаленной работе через RDP является подключение по VPN.
- VPN (Virtual Private Network), обеспечение удаленного доступа через частную виртуальную сеть является довольно безопасным. Есть множество способов организовать VPN канал между домашним компьютером и офисом , как платных так и бесплатных (OpenVPN). При работе через vpn рекомендуется использовать связку - защита сертификатом и паролем
- OTP (one time password), одноразовые пароли являются "вишенкой на торте". Вы наверное встречались с данным методом аутентификации например в банках, когда предлагалось ввести временный код для продолжения авторизации.
- Также как и с VPN существует множество способов подключить OTP на своем предприятии как платных (сервисы Microsoft Azure, CiscoAnyConnect), так и бесплатных (MultiOTP)
- Данный метод хорош тем что доступ до рабочего компьютера происходит лишь в тот момент когда вы уже прошли авторизацию одноразового пароля.
Для максимального обеспечения безопасности рекомендуется использовать все три метода: подключить OTP VPN и RDP.
Конечно, настройку данных методов лучше доверить профессиональным системным администраторам, а не заниматься этим самостоятельно во избежании незапланированных блокировок и ошибок.
Наши специалисты помогут Вам настроить безопасный удаленный доступ сотрудников к рабочему компьютеру,
Звоните: +7(495) 649-81-05
БЕЗОПАСНОСТЬ ДОМАШНЕГО КОМПЬЮТЕРА РАБОТНИКА
Для начала стоит определиться, будете ли вы предоставлять сотрудникам оборудование компании для удаленной работы или же они будут пользоваться своим домашним компьютером или ноутбуком. Выбор второго варианта имеет ряд рисков, так как очень сложно обеспечить безопасность домашнего компьютера каждого работника, ведь он будет использоваться свою рабочую станцию не только для работы, но и в личных целях. Поэтому мы рекомендуем:
- Провести инструктаж по удаленной работе отдельно с каждым сотрудником, на котором поднять стандартные вопросы обеспечения безопасности: не передавать третьим лицам способы и методы организации удаленной работы, не хранить пароли в свободном доступе, не использовать подключение к публичным сетям Wifi (фастфуды, метро и пр.) и другие подобные рекомендации.
- Установить на домашние рабочие станции сотрудников лицензионный антивирус с актуальными сигнатурами
- Рекомендовать сотрудникам работать удаленно с включенным брандмауэром.
Чек-лист: проверьте, что вы ничего не забыли, чтобы сделать удаленный доступ безопасным
публикуйте необходимые веб-ресурсы безопасно и с умом (используйте WAF, проверьте пароли, проверьте свежесть ОС, CMS)
проведите сканирование на предмет уязвимостей (собственными сканерами уязвимостей или публичными сканерами)
предоставляйте доступ к внутренним ресурсам через VPN (не выставляйте наружу RDP/SSH или приложения, с которыми обмен данными внутри сети не защищен)
публикуйте конкретные приложения через VDI (Citrix, VMware)
настройте двухфакторную аутентификацию (OTP-пуши на мобильных устройствах, SMS).
не забудьте учесть существующие настроенные политики безопасности на межсетевых экранах (адаптируйте их под пользователей удаленного доступа либо воспользуйтесь преимуществами связки NGFW с ID FW политиками и терминальным сервером).
выдайте пользователям корпоративные ноутбуки для использования вместо домашних ПК (убедитесь, что все необходимые средства защиты установлены и обновлены, права у пользователей урезаны, парольная политика соблюдается, операционная система и программы актуальны).