Rizika práce z domova – pokračování

Tento příspěvek navazuje na již publikovaný článek Rizika práce z domova.

V tomto pokračování bychom se měli zamyslet nad tím, jaká je pravděpodobnost, že zaměstnanec svojí nedbalostí způsobí narušení důvěrnosti, integrity a dostupnosti dat. Rozhodnutí o tom, zda bude umožněno danému zaměstnanci pracovat z domova a bude mu tedy povolen i vzdálený přístup do IS společnosti, by mělo být založeno na výsledcích hodnocení daného pracovníka a dalších okolnostech (např. zda nemá finanční problémy, časté absence, neuspořádaný rodinný život atd.)

Pro stanovení míry hrozby můžeme vyjít např. i z počtu bezpečnostních incidentů tohoto typu. V každém případě je nutno počítat s tím, že domácí prostředí bude zaměstnance svádět k tomu, že:

  • si bude zapisovat hesla a nechávat je poblíž počítače, aby si je nemusel pamatovat nebo je dlouho hledat (Bylo by naivní předpokládat, že hesla bude mít doma uložena v trezoru.);
  • nebude dodržovat zásadu prázdného stolu; (Na jeho stole se tak budou pravděpodobně povalovat jak papírové dokumenty, tak i datová média.);
  • nebude správně likvidovat citlivá data (Je jedno zda se budou nacházet na CD nebo v papírové podobě, v obou případech nejspíš skončí v koši.);
  • nebude počítač uzamykat (Přístup k počítači a tedy i datům tak získá neoprávněná osoba, což jsou i děti, které mohou nechtěně něco smazat nebo změnit.);
  • výpočetní techniku bude používat i pro soukromé účely (Tak se mu pravděpodobně velice brzy povede nějaký škodlivý kód do svého počítače stáhnout.)

Vzhledem ktomu, že zaměstnanec vybavený notebookem se může připojovat do IS svého zaměstnavatele vpodstatě odkudkoliv, tzn. nejen od sebe zdomova, ale i zprostředků městské hromadné dopravy, kaváren a dalších míst, kam má veřejnost přístup, nelze se na opatření fyzické bezpečnosti příliš spoléhat. Je lepší počítat stím, že notebook bude někde zapomenut nebo ukraden. Proti krádeži nebo ztrátě dat lze aplikovat sadu opatření, jejíž zavedení není příliš náročné. Pokud cestujete a pracujete na veřejně přístupných místech:

  • notebook nikde neodkládejte a noste ho raději všude sebou, nenechávejte ho dokonce ani v hotelovém pokoji, v kavárně nebo restauraci, byť si potřebujete jen odskočit;
  • při přepravě v autě notebook nenechávejte na viditelném místě např. na zadním sedadle a raději ho uložte do zavazadlového prostoru;
  • při cestování letadlem nebo vlakem přepravujte notebook jako příruční zavazadlo, ostatní zavazadla se často ztrácejí;
  • notebook přenášejte v běžném zavazadle, nikdo tak na první pohled nepozná, že cestujete s notebookem;
  • vybavte notebook speciálním bezpečnostním filtrem, který zúží pozorovací úhel a tak zajistí, že informace zobrazené na displeji jsou čitelné pouze pro vás.
  • uvědomte si, že i papírové dokumenty vám může někdo ukrást nebo číst přes rameno jejich obsah.

Vzhledem k tomu, že notebook můžete někde snadno ztratit, zapomenout ho nebo se stát obětí krádeže, je třeba s touto situací dopředu počítat a učinit taková opatření, aby se útočník k vašim datům nedostal.

  • Data na počítači a vyměnitelných mediích šifrujte;
  • hesla si nikam nezapisujte;
  • používejte 2 faktorovou autentizaci;
  • volte kvalitní hesla a pravidelně je měňte;
  • autentizační token nenechávejte nikde volně ležet;
  • dávejte si pozor na to, aby autentizační údaje nikdo neodpozoroval.

Nezapomeňte také na to, že útočník nepotřebuje získat fyzický přístup k vašemu počítači a že útok může proběhnout i po síti a proto:

  • data při přenosu šifrujte;
  • používejte aktuální verzi antivirové ochrany;
  • používejte osobní firewall;
  • zajistěte si včasnou aktualizaci SW;
  • neinstalujte na váš počítač žádný další SW;
  • neprovádějte zásahy do konfigurace a nastavení počítače;
  • na internetu navštěvujte jen ty stránky, které souvisí s vaší pracovní náplní.

K výše uvedeným případům s největší pravděpodobností dojde, především proto, že zaměstnance nebude na jeho domácím pracovišti nikdo kontrolovat. A těžko ho někdo donutí, aby dodržoval zásady uvedené v bezpečnostní politice, případně souvisejících bezpečnostních standardech, které jsou pro něj závazné bez ohledu na to, kde svou práci vykonává. To, že v prostorách zaměstnavatele zaměstnanec předpisy dodržuje, je spíš proto, že má strach z postihu ze strany zaměstnavatele, než že by byl natolik uvědomělý a záleželo mu na tom, aby společnost v důsledku jeho nezodpovědného chování neutrpěla ztrátu.

V příštím závěrečném díle se zamyslíme nad tím, jaká je pravděpodobnost, že zaměstnanec bude útočníkem donucen k činnosti, která povede k narušení důvěrnosti, integrity a dostupnosti dat.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Rizika práce z domova – pokračování” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: