Dit artikel is een speciale bijdrage van Jeff Dawley , Oprichter, Cybersecurity Compliance Corporation . Als u geïnteresseerd bent om inhoud bij te dragen aan CVCA Central, neem dan contact op met onze redactie.
En daar waren we allemaal, half maart, onze teams naar huis gestuurd met alle beschikbare apparaten. Iedereen haast zich plotseling om vertrouwelijke toegang, online communicatiestandaarden en een soort structuur voor middelen op te zetten die nu gedwongen zijn om een gezinsleven te combineren met het handhaven van de continuïteit van het werk.
Hoewel veel mensen al op afstand konden werken, waren grote delen van ons personeelsbestand om verschillende redenen gebonden aan hun fysieke kantoorlocatie.
Met deze plotselinge verandering, of bij het aanpakken van een externe werksituatie, zijn er locaties die een minimaal niveau van cyberbeveiliging moeten handhaven om de activa van de organisatie te beschermen.
Deze cyberbeveiligingsmunt heeft twee kanten. Ten eerste moet de organisatie zich zelf voorbereiden om een extern personeelsbestand het beste te kunnen ondersteunen. Dit omvat alles, van het opzetten van beleid en het bemannen van de ondersteuningsfunctie tot het verwerven en beheren van apparaten. Ten tweede moet de individuele hulpbron de voorheen persoonlijke cyberomgeving in overeenstemming brengen met de vereisten voor cyberbeveiliging op kantoorniveau. Het simpelweg aansluiten van een beveiligd apparaat op een onbeschermd thuisnetwerk zal uw gegevens niet beschermen.
Laten we eerst het werk aan de organisatorische kant aanpakken.
Stap één is een verzameling taken die zijn ontworpen om ongewenste voorvallen te voorkomen door middel van voorlichting, bewustwording en nalevingstests. Zorg ervoor dat u beleid heeft of maakt voor acceptabel gebruik van technologie, privacy, gegevensbescherming, sociale media en gebruik van afbeeldingen, idealiter aangevuld met een beleid dat is gericht op werken op afstand. Naast het hebben van beleid, zal het uitvoeren van regelmatige online onderwijsmodules gevolgd door quizzen en phishing-simulaties het belang van bewustzijn bij uw teams versterken. Helaas hebben de chaos en onzekerheid rond de huidige pandemie zowel onze aandacht voor cyberbeveiliging verminderd als de kans voor kwaadwillenden vergroot om onze systemen en gegevens in gevaar te brengen. Volgens Trend Micro waren er tegen het einde van het eerste kwartaal van 2020 meer dan 907.000 bekende kwaadaardige spam-e-mails met betrekking tot het coronavirus, samen met 48.000 hits op kwaadaardige URL's.
Ten tweede is er een reeks technische beslissingen en gerelateerde documentatie over verbindingsmethoden, authenticatie en apparaatbeveiliging. Zorg ervoor dat aan uw risiconiveau of risicobereidheid wordt voldaan met passende technologische controles. Externe toegang kan worden ingeschakeld via meer beveiligingsmethoden zoals tunneling (VPN's) of beveiligde portals, of minder veilige opties zoals externe desktoptoegang of directe toegang tot applicaties (zonder een extra beveiligingslaag toe te voegen), waarbij risico of vertrouwelijkheid minder belangrijk blijft. Bovendien moet op rollen gebaseerde toegang de toegang beperken tot alleen de systemen die de individuele gebruiker nodig heeft om zijn taak te voltooien. Combineer dit met ten minste twee-factor-authenticatie bij het inloggen, relatief korte time-outperioden en een robuust wachtwoordbeleid om het risico op inbraak te verkleinen. Voor meer geavanceerde organisaties kunt u beheerdersrechten op de apparaten vergrendelen en apparaatstatuscontroles uitvoeren voordat u toegang verleent. Met betrekking tot apparaten moeten alle eindpunten die verbinding maken met een werknetwerk worden bijgewerkt met de meest recente beveiligingspatches en goedgekeurde virusbescherming.
En tot slot het concept van een noodherstel- en bedrijfscontinuïteitsplan. Als je er nog niet eerder een hebt opgesteld, is dit je kans. Je hebt een realistisch voorbeeld van wat er moet gebeuren als je geen fysieke toegang hebt tot je primaire werklocatie, en de lessen die nu zijn geleerd, zullen je in de toekomst ten goede komen.
Meer informatie over hoe u in de bredere cyberbeveiligingsbehoeften van uw organisatie kunt voorzien, is te vinden in een cyberbeveiligingsraamwerk genaamd NIST CSF, een van de gemakkelijkst te begrijpen en geïmplementeerde cyberbeveiligingsraamwerken.
Alsof het nog niet uitdagend genoeg was om over deze dingen vanuit een organisatorisch perspectief te denken, moeten we ook rekening houden met de praktische en emotionele behoeften van onze externe medewerkers. Onszelf, en onze teams, onverwachts thuiswerken, betekent dat we moeten jongleren met de bezorgdheid over de wereldwijde pandemie en onze dierbaren, kinderen en andere apparaatgebruikers in huis, huisdieren en koffie, gedeelde werk-/leefruimtes, enz. Het laatste ding waar mensen zich zorgen over willen maken, is of hun gedrag hun werkplek al dan niet blootstelt aan een cyberaanval.
Er zijn manieren om enkele basisprincipes van cyberbeveiliging aan te pakken, zodat u en uw team uw gedachten kunnen houden bij de dingen die er het meest toe doen.
Hier zijn een paar tips voor het beveiligen van uw thuiswerkomgeving:
Zorg ervoor dat u op de hoogte bent van het bedrijfsbeleid rond het gebruik van technologie, gegevensbescherming en privacy. Deze omvatten richtlijnen voor wachtwoordcomplexiteit en eventuele vereisten om op de hoogte te blijven van uw cybereducatie en phishing/compliance-tests.
Het is belangrijk om alle apparaten te kennen die verbinding maken met het netwerk dat u voor uw werk gebruikt. U moet ook beperken of volledig beperken wie nog meer in het huishouden toegang heeft tot uw werkapparaat.
Heeft u een apart netwerk voor uw werk of een veilige, speciale tunnel naar uw werkomgeving? Heeft u een ingewikkeld wachtwoord? Weet jij hoe je op de hoogte blijft met patches, beveiligingsupdates en antivirussoftware? Als het antwoord op een van deze vragen nee is, neem dan contact op met uw IT-afdeling of IT-serviceprovider voor advies.
Dek uw camera af wanneer deze niet in gebruik is en kijk voordat u een videogesprek start achterom van de camera om er zeker van te zijn dat er geen vertrouwelijke informatie in beeld is. Idealiter voert u dergelijke gesprekken vanuit een privékamer met een fysiek slot en alleen met door het bedrijf goedgekeurde technologie.
Volg de richtlijnen van uw organisatie over wanneer u moet e-mailen en wanneer u andere veilige methoden voor het uitwisselen van gegevens moet gebruiken. Vermijd ook het opslaan van gevoelige bestanden op uw lokale computer.
Sluit uw deuren wanneer u weggaat en houd uw technologie altijd buiten het zicht van uw woning wanneer deze niet in gebruik is.
We hebben besproken hoe u de IT-omgeving van uw organisatie kunt beveiligen bij het inzetten van externe medewerkers, en we hebben besproken wat personen kunnen doen om cyberaanvallen in hun thuiswerkruimte te voorkomen. De sleutel tot de meeste van deze tips is gewoon bewustzijn. Als u en uw teams zich bewust blijven van mogelijke gevaren, risico's en mogelijke aanvallen, heeft u een grotere kans om ze helemaal te vermijden.