Centralna kancelarija je uobičajeno bila podrazumevana lokacija za rad u većini firmi, ali se uloga kancelarije znatno izmenila tokom protekle godine. Danas preko 90%[1] organizacija kaže da će dozvoliti zaposlenima da rade na daljinu, barem jedan deo vremena u budućnosti. Promene koje su realizovane na brzinu kao odgovor na pandemiju, kristalizuju se u stalne okolnosti. Očekivanje je da će zaposleni imati slobodu da se kreću između više radnih okruženja i da se povezuju na kompanijsku mrežu sa svake od njih.
Ali ovaj prelazak na hibridni model rada predstavlja potencijalni bezbednosni rizik za vašu organizaciju i zaposlene. Opseg mreže vaše kompanije evoluirao je tako da ne obuhvata samo lokaciju glavne kancelarije, već i dom svakog zaposlenog. S obzirom na to, ne čudi podatak da su kompanije prijavile da imaju manje pouzdanja u otpornost svojih bezbednosnih mera, prema istraživanju kompanije NCC Group.[2]
Pošto će hibridni rad ostati svakodnevica, sigurnosni stručnjaci treba brzo da rade kako bi obezbedili fleksibilno radno okruženje kojem vaša firma može da veruje. Da bi to mogli da urade, moraju da preduzmu holistički pristup. To znači da je potrebno osigurati da je bezbednosna infrastruktura neke kompanije savršena, dok se istovremeno ulaže u obrazovanje i obuku zaposlenih. Tek tada možete lagodno da realizujete saradnju u okviru distribuirane radne snage ili da očekujete da izgradite otpornost prema savremenom okruženju pretnji.
Savremeno okruženje pretnji
Organizacije moraju da se pozabave promenama koje vidimo u savremenom okruženju pretnji usred prebacivanja na hibridni rad i da procene kako one utiču na našu novu radnu stvarnost.
- Pre svega, zaposleni sada komuniciraju i sarađuju jedni sa drugima izvan periferije uobičajenih bezbednosnih zaštitnih zidova (firewall), razmenjujući kompanijske podatke tokom celog radnog dana.
- Drugo, zaposleni će češće pristupati kompanijskim serverima preko javnih mreža, što napadačima pruža više mogućnosti za probijanje. Prema kompaniji NCC Group[3], 66% organizacija koje su povećale upotrebu rada na daljinu tokom 2020, zabeležile su porast fišing i malver napada. Značajno je da je 39% od svih ispitanika prijavilo da su se slučajne, zlonamerne ili nenamerne insajderske pretnje povećale u drugoj polovini godine.
- Konačno, vidimo porast upotrebe ličnih IoT uređaja, poput štampača i telefona, koji su konfigurisani podrazumevanim bezbednosnim postavkama, a koji se koriste za rad uz kompanijske uređaje, kao što su laptopovi. Mobilni rad i daljinski pristup sistemu pomoću trendova kao što su Bring Your Own Device (BYOD – Donesite sopstveni uređaj) pružaju velike prednosti u produktivnosti i za zaposlene i za poslodavce, međutim, oni otvaraju nove potencijalne vektore pretnji i predstavljaju nove izazove u vezi s upravljanjem uređaja. Tehnološke i korisničke polise koje su firme nekada postavile kako bi zaštitile centralnu kancelariju nisu više primenljive u hibridnom radnom okruženju.
Sajber napadi su evoluirali – udaljavaju se od pokušavanja da se zarazi što je moguće više uređaja, a idu ka traženju jedne slabe karike kroz koju mogu da traže otkup za korporativne sisteme ili da ukradu podatke. Sada, ako je jedan zaposleni uhakovan dok je povezan na svoju kućnu mrežu, ceo sistem bi mogao da se sruši. Digitalna rešenja i rešenja zasnovana na cloud tehnologiji koja su postala od suštinske važnosti za poslovanje kompanija tokom pandemije, jer su održavala kolaboraciju i produktivnost, takođe su učinila firme mnogo ranjivijim.
Obezbeđivanje vašeg hibridnog radnog prostora
Kompanije sada imaju priliku – i podršku od visokih donosioca odluka – da interno naprave značajna poboljšanja. Iako firme nikada neće moći kompletno da eliminišu rizik, postoje koraci koje možete da preduzmete kako biste izgradili otpornost dok se pripremate za hibridni rad.
- Prvo, važno je da obavite bezbednosnu procenu vaše interne i eksterne IT infrastrukture kako biste shvatili koji opseg infrastrukture zaista imate, u odnosu na onaj koji mislite da imate.
- To će otkriti snage i slabosti vaše bezbednosti u celom sistemu. Tek tada možete da identifikujete bezbednosne rupe kako biste znali koja poboljšanja moraju da se uvedu da biste obezbedili svoju mrežu. To je slično obezbeđivanju doma, jer ako jedna tačka ulaza ostane ranjiva i ako napadač uđe, nema veze što su sve ostale bile obezbeđene. Pronalaženje svake moguće ranjivosti suštinski je korak za njihovo obezbeđivanje.
- Procena bezbednosne ranjivosti može da se obavi bilo kad, pre nego što uvedete nove sisteme ili krajnje tačke u IT infrastrukturu ili na stalnoj osnovi. Na kraju krajeva, ono što je bilo bezbedno juče možda neće biti bezbedno danas. Canon-ova usluga Office Health Check pruža kompanijama sveobuhvatnu procenu njihove interne i eksterne IT infrastrukture, uključujući preporuke rangirane po riziku, kako bi pomogla u smanjivanju svih potencijalnih bezbednosnih ranjivosti. Hvatanjem zlonamernih napada pre nego što imaju priliku da zažive, Canon može da pomogne vašoj firmi u sprečavanju potencijalnog gubitka podataka. Za više informacija pogledajte
Ulaganje u ljude
Jedna od najčešćih grešaka koje kompanije prave je da se fokusiraju isključivo na tehničke aspekte sajber bezbednosti. Kada biste izvršili procenu opsega mreže i investirali u najbolja mrežna bezbednosna rešenja, mogli biste da budete sigurni u otpornost vaših bezbednosnih mera i da nastavite sa poslovanjem kao i obično. Međutim, ipak biste mogli da se obrete usred bezbednosnog propusta. Zašto? Zato što niste obezbedili obuku svojim zaposlenima. Uostalom, potreban je samo jedan pogrešan klik na maliciozni link kako bi se kompanija izložila riziku. Obrazovanje i obučavanje svih zaposlenih na temu koncepata sajber bezbednosti i kako se rukuje osetljivim informacijama važan je element svake bezbednosne strategije.
Kako započinjemo eru hibridnog rada, važno je negovati kulturu otvorenosti u vezi sa bezbednosnim propustima i ohrabrivati zaposlene da se jave i podele svoje greške. Vaša strategija odbrane je efikasna samo ako se propusti prijavljuju. Prvo, ovo pomaže u ublažavanju štete zato što se problemi često gomilaju ako zaposleni sakriju greške. Ako je greška javna, onda može da se popravi. Drugo, propusti mogu da se iskoriste kao pomoć za dodatno obrazovanje o bezbednosti, dok udružena saznanja iz napada mogu da ubrzaju napredak u stvaranju novih odbrana.
Dobra vest je što su firme spremne da ulože u usavršavanje svojih zaposlenih: Nedavno istraživanje kompanije NCC Group[4] otkrilo je da bi 36% donosilaca odluka autsorsovala obuku o svesti o sajber bezbednosti tokom narednih 12 meseci, dok je 39% reklo da je obrazovanje nosilaca bezbednosti na temu najbolje prakse u sajber svetu oblast od koje bi njihova organizacija imala najviše koristi.
Preuzimanjem kontrole nad vašim informacijama i preduzimanjem neophodnih koraka za obrazovanje zaposlenih, možete da budete korak ispred sajber napada i da imate samopouzdanje za uobičajeno poslovanje.
[1] https://www.gartner.com/en/newsroom/press-releases/12-14-2020-gartner-survey-finds-ninety-percent-of-hr-leaders-will-allow-employees-to-work-remotely-even-after-covid-19-vaccine-is-available
[2] https://www.nccgroup.com/media/h4afgxz1/insight-space-research-summary.pdf
[3] https://www.nccgroup.com/media/h4afgxz1/insight-space-research-summary.pdf
[4] https://www.nccgroup.com/media/h4afgxz1/insight-space-research-summary.pdf
Autor: Quentyn Taylor