Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a elaborat un set de recomandări pentru angajatori şi angajaţi, în cazul în care activitatea se desfăşoară în regim de telemuncă.
Astfel, experţii în securitate cibernetică îi sfătuiesc pe angajatori să ofere o politică clară în cazul telemuncii, incluzând ghiduri privind accesarea resurselor companiei, cine este persoana de contact în caz de probleme, să stabilească o procedură clară în caz de incidente de securitate şi să aplice măsuri suplimentare privind documentaţia care va necesita atenţia conducerii în scopuri de semnătură, aprobare/feedback şi informare.
Măsuri de securitate
De asemenea, recomandă implementarea unor măsuri de securitate precum criptarea hard disk-ului, timpul de inactivitate, ecranele de protecţie, autentificarea complexă, precum şi controlul/criptarea mediilor de stocare (ex. stick USB) şi implementarea de proceduri pentru dezactivarea de la distanţă a accesului la un dispozitiv pierdut sau furat.
Accesul să fie permis doar angajaților
Experţii CERT-RO le mai sugerează angajatorilor să permită doar angajaţilor lor să se conecteze la reţeaua companiei printr-o soluţie de tip VPN cu autentificare multi-factor şi să se asigure că sesiunile la distanţă se pot deconecta automat şi necesită reautentificare după o anumită perioadă de inactivitate.
Totodată, actualizarea frecventă a sistemului de operare şi a aplicaţiilor scade riscul de compromitere a dispozitivelor prin vulnerabilităţi nerezolvate.
Autentificărea multi-factorială la conturile de email ale companiei
Un alt sfat se referă la securizarea comunicaţiilor companiei, prin aplicarea autentificării multi-factoriale pentru a accesa conturile de e-mail ale companiei.
"Oferiţi acces la canale sigure de comunicare între angajaţi, precum şi unele similare pentru comunicarea cu exteriorul", spun experţii în securitate cibernetică.
Alte recomandări se referă la creşterea capacităţii de monitorizare a securităţii, prin verificarea, constant, a activităţilor neobişnuite pe dispozitivele companiei şi creşterea nivelului de alertă pentru atacuri legate de VPN, la creşterea nivelului de conştientizare al angajaţilor în ceea ce priveşte riscurile de securitate ale telemuncii şi efectuarea de verificări periodice cu personalul.
Pe de altă parte, pe angajaţi, CERT-RO îi sfătuieşte să folosească doar dispozitive şi software furnizat de companie, să creeze parole puternice şi să evite opţiunile de lucru alternative, chiar dacă par să ofere exact ceea ce au nevoie.
Înainte de a începe lucrul de la distanţă, aceştia trebuie să se familiarizeze cu dispozitivele, politicile şi procedurile companiei şi să se asigure că înţeleg modul de operare al echipamentelor, ceea ce trebuie făcut şi ce nu (în cazul acestora) şi unde să se adreseze.
Conectarea la reţeaua companiei trebuie să se facă doar prin VPN şi să fie protejate token-urile (sau cardurile inteligente) necesare pentru conexiunea VPN.
Atenţie la orice activităţi sau cereri suspecte, în special la cele financiare. Ar putea fi o fraudă!
"Protejaţi echipamentul şi mediul de lucru la distanţă. Nu permiteţi membrilor familiei sau altor persoane să vă acceseze dispozitivele de lucru. Blocaţi-le sau închideţi-le când sunt nesupravegheate şi păstraţi-le întotdeauna într-o locaţie sigură, pentru a preveni pierderea, deteriorarea sau furtul. Împiedicaţi scurgerea de date accidentală, folosind ecrane de confidenţialitate şi evitaţi orientarea ecranelor spre ferestre sau camere foto.
Dacă observaţi vreo activitate neobişnuită sau suspectă pe orice dispozitiv pe care îl utilizaţi pentru a lucra la distanţă, contactaţi imediat angajatorul pe canale sigure. Atenţie la orice activităţi sau cereri suspecte, în special la cele financiare. Ar putea fi o fraudă!
În cazul în care aveţi dubii, apelaţi solicitantul pentru a verifica. Nu faceţi clic pe linkurile sau fişierele ataşate primite în e-mailuri şi mesaje text nesolicitate", îi mai sfătuiesc experţii pe angajaţi.
De asemenea, le recomandă acestora să nu răspundă niciodată cu informaţii personale la mesaje, chiar dacă pretind că provin dintr-o sursă legitimă şi să contacteze direct compania pentru a confirma solicitarea acestora.
Planurile de lucru trebuie discutate cu conducerea şi membrii echipei, în perioada lucrului de la distanţă, inclusiv distribuirea sarcinilor, a termenelor şi a canalelor de comunicare.
În cazul în care utilizarea dispozitivului personal este singura opţiune de lucru şi angajatorul permite folosirea lui, angajatul trebuie să se asigure că sistemul de operare şi software-ul dispozitivului sunt actualizate, există o soluţie antivirus instalată, iar conexiunea este securizată printr-un VPN aprobat de companie. Totodată, trebuie evitată folosirea în interes personal a dispozitivelor dedicate lucrului de la distanţă.