10 porad od Deloitte, jak zadbać o tajemnice firmowe pracując w domu

3 kwietnia 2020

Dotyczy firmy: Deloitte,

W czasie kryzysu, takiego jak stan epidemii COVID-19, musimy pamiętać, że pracując zdalnie w domu, przetwarzamy również tajemnice firmowe, co powoduje, że musimy przygotować sobie odpowiednie warunki pracy oraz przestrzegać podstawowych zasad i najlepszych praktyk z zakresu ochrony informacji.

Bezpieczeństwo opiera się na każdym z pracowników

Trudno sobie wyobrazić, że przy każdej awarii informatyk będzie musiał samodzielnie uruchamiać procedury odzyskiwania danych, czy udzielać zdalnej pomocy każdemu pracownikowi.

W czasie kryzysu, takiego jak stan epidemii, musimy pamiętać, że pracując zdalnie w domu, przetwarzamy również tajemnice firmowe, co powoduje, że musimy przygotować sobie odpowiednie warunki pracy oraz przestrzegać podstawowych zasad i najlepszych praktyk z zakresu ochrony informacji.

Każda organizacja musi sobie odpowiedzieć na pytanie: jakie informacje powinniśmy chronić? Najczęściej odpowiedź będzie brzmiała: informacje o klientach, dane osobowe naszych pracowników/klientów, know-how, informacje strategiczne, tajemnice handlowe, tajemnice przedsiębiorstwa oraz inne wrażliwe dane związane z różnymi obszarami funkcjonowania firmy.

Dlatego firma Deloitte radzi:

1. Zanim pomyślisz o bezpieczeństwie tajemnic firmowych przygotuj sobie stanowisko pracy zdalnej

  • Pracuj wyłącznie z domu
    Przygotuj się odpowiednio do bezpiecznej i efektywnej pracy z domu i nie zmieniaj umiejscowienia swojego zdalnego domowego biura. Nie pracuj zdalnie z przestrzeni publicznej. Każda zmiana lokalizacji może skutkować nowymi zagrożeniami, więc nie trzeba zwiększać ryzyka. A przede wszystkim zrób to dla Twojego zdrowia.
  • Poinformuj bliskich, że to nie jest dzień wolny
    Członkowie rodziny, zwłaszcza ci, którzy nie są przyzwyczajeni do pracy poza miejscem zatrudnienia, mogą nie rozumieć idei „home office”. Warto poinformować ich o tym, że jest to standardowy dzień pracy i poprosić o zapewnienie warunków, które umożliwią ci skuteczną realizację obowiązków z zachowaniem poufności przygotowywanych materiałów.
  • Zorganizuj sobie miejsce pracy
    Poza zapewnieniem przez pracodawcę sprzętu, przygotuj w domu komfortowe, spokojne miejsce pracy, odpowiednie oświetlenie, wygodne krzesło, słuchawki do prowadzenia rozmów.
  • Samodyscyplina i organizacja
    Zaplanuj szczegółowo dzień, tydzień, a może nawet miesiąc swoich działań. Rozpoczynając każdy dzień pracy w domu rozpisz listę zadań, które musisz wykonać w pierwszej kolejności i sukcesywnie je realizuj. Warto ustalić z przełożonym, w jakim trybie informujesz go, na jakim etapie pracy jesteś lub czym się zajmujesz. Nie pracuj w trybie ciągłym, podobnie jak w pracy, w ustal domu godzinę, o której kończysz.

2. Pracuj wyłącznie na sprzęcie firmowym

  • Służbowy laptop, smartfon czy tablet to urządzenia, które zostały dobrze skonfigurowane wcześniej przez dział IT i zapewnią Ci najłatwiejszy, bezpieczny dostęp do danych. Pozostają one także pod ciągłym nadzorem IT w zakresie aktualizacji systemu operacyjnego czy ochrony antywirusowej.
    W przypadku ewentualnych problemów technicznych zespół IT będzie też mógł Ci lepiej pomóc, jeżeli będzie miał możliwość zdalnie połączyć się z Twoim sprzętem firmowym.
  • Ustal kanały komunikacji, służące do przekazywania wrażliwych danych firmowych.
  • Jeżeli zdarzy się sytuacja wyjątkowa, że służbowy sprzęt będzie miał awarię, a będziesz musiał skorzystać z poczty lub innych zasobów – przede wszystkim spróbuj przez komórkę lub inne udostępnione przez pracodawcę urządzenie. Używanie prywatnego sprzętu jest niewskazane.

3. Telefon prywatny wykorzystuj w pracy tylko w awaryjnych sytuacjach

  • Niezależnie od tego, czy firma przeszła czy dopiero przechodzi na korzystanie przez pracowników z osobistych urządzeń mobilnych w celach służbowych, trzeba pamiętać o tym, że są to nowe platformy i systemy operacyjne. Różnią się one od klasycznych komputerów wymaganiami w kwestii bezpieczeństwa oraz metodami aktualizacji danych i zarządzania nimi.

4. Korzystaj tylko z zaufanego połączenia z siecią

  • Jeśli wraz z laptopem firma przekazała Ci także dodatkowe urządzenie umożliwiające połączenie z internetem lub wyposażyła Twój laptop w kartę SIM, to podczas pracy korzystaj wyłącznie z takiego dostępu do sieci. Nie łącz się z innymi otwartymi sieciami bezprzewodowymi, które nie wymagają podania hasła przy łączeniu, choćby ich zasięg w Twoim mieszkaniu był wyśmienity. Jeśli z jakiegoś powodu firmowy dostęp do internetu zawiedzie, to najbezpieczniej zastąpić go siecią udostępnioną z telefonu (tzw. hotspot).
  • Jeżeli korzystasz z prywatnej sieci domowej, łącz się siecią firmową korzystając z połączenia VPN, który nie tylko szyfruje Twoje połączenie, ale może zapewniać Ci także dodatkową ochronę przed zagrożeniami pochodzącymi z sieci, np. przed stronami internetowymi zaatakowanymi przez złośliwe oprogramowanie typu malware. Dlatego w czasie pracy zdalnej nie wyłączaj połączenia VPN, nawet jeśli zechcesz sprawdzić coś niezwiązanego z Twoimi obowiązkami.

5. Blokuj komputer, gdy z niego nie korzystasz

  • Ta czynność wydaje się być oczywista. W domu masz pełne zaufanie do swoich domowników, ale niezablokowany komputer jest zachętą np. dla dzieci. Może się zdarzyć, że wydarzy się coś niekontrolowanego podczas Twojej nawet chwilowej nieobecności, dlatego odchodząc od komputera pamiętaj o jego zablokowaniu.
  • Nie zapominaj też o ochronie dostępu fizycznego do sprzętu. Musi być sposób na to, aby zapewnić, że osoby nieuprawnione nie znajdą się w pobliżu zasobów informacyjnych firmy a tym samym nie stworzą zagrożenia.
  • Firmowy sprzęt należy wykorzystywać wyłącznie do wykonywania czynności służbowych, nie przekazuj go członkom rodziny, bo narażasz wrażliwe dane na ich ujawnienie lub przypadkową utratę.

6. Zapewnij bezpieczeństwo danych podczas ich przesyłania

  • Nie wysyłaj wrażliwych danych bez szyfrowania. Jeśli przekazujesz wrażliwe, cenne, poufne dane jako załącznik do wiadomości email, to dodatkowo zabezpiecz taki plik hasłem. To łatwe, ale często o tym zapominamy. Hasło do pliku przekaż odbiorcy najlepiej w inny sposób, np. za pomocą SMS.
  • Przed wysłaniem pliku upewnij się, czy adres odbiorcy jest poprawnie wpisany.
  • Nie wysyłaj plików z Twojego prywatnego konta czy też z pominięciem poczty firmowej.

7. Bezpiecznie przechowuj hasła

  • Jeśli praca zdalna wymaga dostępu do nowych systemów, używaj dodatkowych loginów i haseł oraz zadbaj o to, aby korzystać z nich w sposób bezpieczny. Hasła w przeglądarkach internetowych są niestety przechowywane najczęściej bez żadnego szyfrowania.
  • Zmieniaj hasła zgodnie z wewnętrzną procedurą.

8. Nie twórz zbyt wielu kopii danych

  • Praca zdalna, a zwłaszcza konieczność częstego przesyłania plików pomiędzy użytkownikami, którzy wspólnie na nich pracują, generuje chęć do tworzenia „własnych” kopii danych. Tworzenie zbyt wielu kopii plików w różnych miejscach nie sprzyja efektywności pracy i często prowadzi do sytuacji, w których nie wiadomo, kto, kiedy i co zmienił w danym pliku.
  • Usuwaj pliki tymczasowe z urządzeń, co zabezpieczy przed przypadkowym ich ujawnieniem w przyszłości.
  • Nie przerywaj zdalnego procesu tworzenia kopii zapasowych. Jeśli tworzenie kopii zapasowej obciąża komputer, to mimo wszystko nie wyłączaj tego procesu, aby móc sprawniej pracować. Skutki przerwania mogą się ujawnić za tydzień, albo za rok.
  • Nie twórz kopii zapasowych poza sprzętem firmowym. Dziś nośniki danych są dość tanie. Można z łatwością skopiować dane i pozostawić w domu, gdzie pozostaną poza kontrolą. Należy tego bezwzględnie unikać.

9. Nie ignoruj informacji przekazywanych przez firmę o zagrożeniach

  • Twoja praca zdalna w domu to działanie poza środowiskiem firmowym, być może z wykorzystaniem Twojej sieci domowej, co może powodować, że zmieni się charakterystyka działania programów zabezpieczających działających na Twoim laptopie lub innym sprzęcie służbowym.
  • Nie ignoruj powiadomień i komunikatów o potencjalnych zagrożeniach. Postaraj się każdy z nich wyjaśnić z działem IT w swojej firmie. Brak wyjaśnienia może skutkować nie tylko zagrożeniem dla Twojego komputera, ale być może także dla informacji wrażliwych firmy.
  • Aktualizuj systemy operacyjne i aplikacje tak szybko, jak tylko jest to możliwe.

10. Uważaj na ataki socjotechniczne

  • Sytuacja kryzysowa wywołana m.in. epidemią koronawirusa może wiązać się ze zwiększoną aktywnością hackerów czy zwykłych internetowych naciągaczy. Zwracaj szczególną uwagę na otrzymywane w tym okresie wiadomości email. Sprawdzaj, czy adres nadawcy jest poprawny lub przynajmniej wiarygodny.
  • Nie otwieraj niczego, co wydaje się być niestandardowym e-mailem.
  • Nie otwieraj podejrzanych załączników czy też linków zawartych w wiadomościach.
  • Ignoruj prośby np. o zmianę hasła czy wysłanie jakiegoś pliku z danymi a ich zmianę potwierdź najlepiej dodatkowo przez telefon.
  • Uważaj także na telefony od nieznanych osób, które np. mogą przekonywać Cię, że pracują w dziale wsparcia technicznego Twojej firmy i potrzebują skonfigurować zdalnie (lub Twoimi rękami) ustawienia systemu w Twoim laptopie. Przed udostępnieniem informacji zweryfikuj, czy to kontaktuje się dział IT Twojej firmy.

Źródło: mat. pras.