Ochrona i bezpieczeństwo danych podczas pracy zdalnej

Sprzęt do użytku służbowego

W większości wypadków pracownik dysponuje urządzeniem firmowym, które zabiera do domu. Zakładając, że jest to laptop ze skonfigurowanym VPN, można przystąpić do pracy. Ale pierwszą zasadą jest, aby sprzęt ten nie był wykorzystywany do innych celów. Dlatego najbezpieczniej jest przeznaczyć do pracy w domu oddzielny pokój. Jeżeli nie jest to możliwe, trzeba zabezpieczyć służbowy laptop przed niepowołanym dostępem. Przede wszystkim:

• Nie pozostawiać włączonego urządzenia bez nadzoru, nawet odchodząc od stanowiska na chwilę. Klawiaturę trzeba zablokować za pomocą sekwencji klawiszy lub włączyć blokadę automatyczną po określonym czasie bezczynności (np. 1 minuta)
• Po zakończeniu pracy każdorazowo zamykać (nie usypiać) komputer
• Stosować silne hasła dostępu.

Z drugiej strony, mając w domu prywatny komputer, tablet czy smartfon, w żadnym wypadku nie należy używać ich do celów służbowych, zwłaszcza instalować VPN z dostępem do danych firmowych na sprzęcie prywatnym.

Administrator sieci firmowej może udostępnić pracownikowi zdalnemu konta (bez uprawnień administracyjnych), aktualizując na bieżąco oprogramowanie, w tym programy antywirusowe. Natomiast powinien zablokować możliwość instalowania na służbowym urządzeniu oprogramowania niezatwierdzonego do użytku przez kierownictwo firmy.

Jak postępować podczas pracy w domu

Po pierwsze – pracować w domu i tylko w domu. Nie zabierać ze sobą komputera np. idąc z dzieckiem na plac zabaw lub udając się do innego miejsca w przestrzeni publicznej i nigdy nie korzystać z ogólnodostępnych sieci publicznych. Poza tym:

• Dane firmowe przesyła się wyłącznie z konta służbowego. W sytuacji korzystania z konta prywatnego tak treść wiadomości, jak i wszystkie załączniki, należy zaszyfrować, a w temacie wiadomości nie wpisywać żadnych danych
• Jeżeli przesyłane są dane wrażliwe (poufne, osobowe), konieczne jest upewnienie się, że wpisany jest właściwy adresat e-maila
• Uważać na wiadomości od nieznanych nadawców; administrator zapewne zastosował blokadę antyspamową, ale te nie zawsze bywają stuprocentowo skuteczne. Jeżeli w takiej wiadomości znajduje się link i zachęta do kliknięcia – nigdy tego nie robić, może to być atak phishingowy, po którym odzyskiwanie danych nie zawsze jest możliwe. Podobnie nie należy otwierać załączników w takich wiadomościach
• W przypadku przesyłania zaszyfrowanej wiadomości nie przesyłać hasła do jej odszyfrowania. Administrator, mając dostęp do służbowego konta pracownika, poradzi sobie z tym bez trudu. Można również spakować plik z użyciem hasła i w tej postaci dołączyć do e-maila, zaś hasło do odbiorcy przesłać np. za pomocą wiadomości SMS.

Jeżeli konieczna jest praca bezpośrednio w sieci lub chmurze, zawsze powinna się odbywać według wcześniej ustalonych przez administratora procedur, szczególnie w kwestii logowania, wylogowywania i udostępniania danych. Pracując offline należy odpowiednio archiwizować dane i nie sporządzać zbyt wielu kopii zapasowych.

Bezpieczeństwo haseł

Dość często w pracy zdalnej zachodzi konieczność dostępu do kolejnych systemów, wymagających loginów i haseł. Nie powinno się ich zapamiętywać w przeglądarce internetowej ani w połączeniu VPN. Jest to wysoce ryzykowne. Po pierwsze, w przypadku dostępu osoby niepowołanej do urządzenia, będzie ona mogła połączyć się z używanymi systemami. Po drugie, przeglądarki internetowe przechowują hasła zwykle bez jakiegokolwiek szyfrowania.

Dla bezpieczeństwa haseł najlepiej korzystać z programu do ich bezpiecznego przechowywania. Istnieje wiele takich programów, w tym również darmowych. Oczywiście należy to zrobić w porozumieniu z administratorem, ewentualnie poprosić o dostęp do takiego programu, jeżeli używany jest w firmie.

Warto też pamiętać o sile hasła, które musi być unikatowe, dostatecznie długie i nie może składać się z elementów znanych innym osobom (data urodzenia, imiona, nazwiska, adres, itp.). Nie może to być też sekwencja klawiszy według ich układu na klawiaturze wprost, wstecz bądź po skosie.

Z punktu widzenia pracodawcy pomocne jest też zaopatrzenie się w rozwiązanie informatyczne, umożliwiające monitoring pracy zdalnej, wykonywanej przez pracowników w domu. Umożliwia ono także kontrolę bezpieczeństwa pracy poza firmą.