Pracownik w sieci – bezpieczeństwo zaczyna się jednej osoby

Rok 2020 zmienił nasze podejście do pracy, a także do kwestii bezpieczeństwa przetwarzanych przez nas danych. Większość pracowników zaczęła „wynosić” dane z firmy w wyniku pracy zdalnej. Prawie wszyscy pracują zdalnie ze swoich domowych biur, ale jednak jest też spora część osób, która przeniosła swoje biuro do kawiarni czy restauracji. Pracodawcy zgadzają się na takie rozwiązania, ale czy są one w stu procentach bezpieczne? 

Pamiętamy, że administratorzy IT od początku pandemii mieli ręce pełne roboty. To był dla nich swoisty test przygotowania na sytuację kryzysową – w krótkim czasie musieli sprawdzić wprowadzone zabezpieczenia lub wdrożyć nowe rozwiązania pozwalające na bezpieczne łączenie z zasobami firmowymi. To się udało, większość z nich nie miała z tym problemu. Jednak co w sytuacji, kiedy sprzęt jest zabezpieczony przez najnowsze (sprawdzone) rozwiązania, ale pracownik nie zna podstawowych zasad bezpieczeństwa? Czy należy weryfikować jakie działania użytkownik przeprowadza na firmowym sprzęcie? 

Sama kontrola aktywności użytkowników w sieci to od zawsze temat sporny dla obu stron. Pracownik ma przecież prawo do prywatności – wynika to z obowiązującego prawa pracy oraz kodeksu cywilnego, ale z drugiej jednak strony mamy pracodawcę, który ma prawo kontrolować pracę wykonywaną przez pracownika, a w szczególności jego rozmowy telefoniczne czy wykorzystanie sprzętu komputerowego czy sieci teleinformatycznej. Jak zatem pogodzić te dwie jakże odmienne kwestie? Po pierwsze pracownik powinien zostać poinformowany o możliwości kontroli oraz monitorowania pracy jeszcze zanim pracodawca zacznie wykonywać te czynności. Powinien być również przeszkolony w jaki sposób powinien się posługiwać przekazanym mu sprzętem firmowym (pamiętajmy, że nie mówimy tutaj tylko o komputerach, ale również o smartfonach). Taka kontrola w połączeniu z regularnym szkoleniem jest niezwykle skuteczna. Nie od dzisiaj wiadomo, że „najsłabszym ogniwem jest człowiek”, dlatego to właśnie jemu powinniśmy poświęcać jak najwięcej uwagi. 

Oto kilka obszarów, które powinny być poruszane na cyklicznych szkoleniach w zakresie bezpieczeństwa IT: 

• socjotechnika – każdy użytkownik powinien zapoznać się z najpopularniejszym atakiem hakerów, pomoże to zarówno w życiu służbowym jak i prywatnym, 

• szyfrowanie plików – pracownicy powinni mieć świadomość w jaki sposób powinni przesyłać pliki zawierające dane osobowe lub poufne dane firmy, 

• zarządzanie hasłami – konieczne jest wykluczenie istnienia „żółtych karteczek”, na których są zapisywane hasła, warto zapoznać pracowników z darmowymi menadżerami haseł, które pomogą w tworzeniu oraz zapamiętaniu skomplikowanych haseł, 

• ochrona i niszczenie danych – użytkownicy powinni mieć świadomość w jaki sposób powinni pozbywać się danych – nie każdy dokument powinien zostać zgnieciony i wylądować w koszu, 

• urządzenia USB – należy regularnie przypominać wszystkim użytkownikom, aby nie korzystali z nośników pochodzących z nieznanych źródeł, to też jedna ze sztuczek hakerów, 

• czyste biurko i czysty ekran – zasada wydaje się nieistotna, bo przecież „po co blokować ekran jak jestem w domu”, ale czynności często powtarzane wchodzą nam w krew, dlatego blokując komputer w domu zwiększamy szansę pozostawienia niezabezpieczonego komputera w miejscu publicznym i w towarzystwie osób postronnych.

Oczywiście to tylko kilka obszarów, które powinny być poruszane podczas szkoleń. Warto, aby szkolenia były nakierowane nie tylko na teorię, ale również na praktykę, która urealni potencjalne ataki pracownikom.  

Jeśli masz pytania jak powinno wyglądać szkolenie pracowników albo jesteś zainteresowany, aby przeprowadzić takie szkolenie w Twojej organizacji, napisz: cybervol@vol.com.pl. 

KW