Dominik Daniewski: Błędy możemy sklasyfikować na kilka sposobów. Takie, które mogły powstać na dowolnym etapie wdrażania czy też korzystania z narzędzi pracy zdalnej, być spowodowane zarówno przez IT, jak i użytkowników systemów, czyli pracowników.

Z jednej strony to departament IT mógł nie zadbać o wdrożenie odpowiednich mechanizmów bezpieczeństwa, polityk, procedur. Wtedy należy te braki zdecydowanie i w trybie pilnym zlikwidować i uzupełnić. Jeśli nie zostało to zrobione, to może firma nie posiada odpowiednich kompetencji w tej dziedzinie i warto skorzystać z pomocy ekspertów – firma taka jak APN Promise świadczy usługi audytu i potrafi wykazać takie braki.

Drugim przypadkiem, który należy opisać, jest błędny dobór platformy do bezpiecznej pracy zdalnej dokonany przez organizację. APN Promise rekomenduje i z sukcesami od dawna – zdecydowanie przed pandemią – wdraża Mircosoft 365, jako komplementarne rozwiązanie typu „nowoczesne i bezpieczne środowisko pracy".

Przykładem błędu ze strony IT może być brak monitorowania trendów i rozwiązań na rynku IT, tzn. myślenie typu „mamy jakieś rozwiązanie od dziesięciu lat, sprawdza się, to po co coś zmieniać i modernizować". Podczas gdy nowoczesne rozwiązania zdecydowanie poprawiają bezpieczeństwo i dają zupełnie inny komfort pracy.

Z drugiej strony „czynnik ludzki" generuje najwięcej błędów czy też sytuacji, gdzie mogło dojść do wycieku danych czy naruszenia pewnych zasad i procedur bezpieczeństwa. Jak pokazuje nam wieloletnia praktyka, błędów było dużo, ale najczęściej nie były one krytyczne dla pracy organizacji. Zdarzały się sytuacje, gdy na wideospotkaniu pokazuje się cały swój ekran, na którym są akurat wrażliwe dane firmy, pokazują się powiadomienia, na podstawie których można uzyskać informacje z wewnątrz spółki. Należy pilnować, komu i jakie pliki się udostępnia, warto sprawdzić to kilkakrotnie, aby uniknąć pomyłki. Najczęstsze błędy dotyczą także nieprzerywania udostępniania ekranu w momencie, gdy czegoś na komputerze się poszukuje i pokazuje się wszystkie foldery, całą strukturę plików, bazę klientów. Należy też zwracać uwagę na otoczenie, w którym się pokazujemy, np. poprzez podmianę tła, na którym się prezentujemy, bo pokazywanie wnętrza naszego mieszkania jest bardzo niebezpieczne, ktoś może nas na tej podstawie namierzyć, określić lokalizację. Jeśli pracuje się z komputera poza domem, to nie powinniśmy głośno artykułować treści, a także powinniśmy korzystać z nakładek prywatyzujących na urządzenia, tak aby nikt z boku nie zobaczył, co na komputerze czy telefonie robimy, i nie miał podglądu do danych. W miejscu publicznym nie nazywamy także klientów i projektów imiennie, aby nie naruszyć bezpieczeństwa firmy. Jeśli wychodzimy z domu z komputerem, to nie zostawiajmy go w samochodzie, tylko pilnujmy, aby nie został skradziony, bo to też stwarza bardzo niebezpieczne sytuacje dla firmy. Warto zwrócić uwagę na wieloskładnikowe logowanie, czyli użycie drugiego urządzenia do potwierdzenia naszej tożsamości, bo ono podnosi próg bezpieczeństwa właśnie choćby w sytuacjach jak ta opisana wyżej.

Jak zadbać proaktywnie o to, aby pracownicy sami potrafili działać zgodnie ze wszystkimi zasadami bezpieczeństwa?

Anna Krasnodębska, Departament HR, APN Promise

Foto: materiały prasowe

Anna Krasnodębska: Odpowiedź jest prosta – poprzez dostarczenie pracownikom niezbędnej wiedzy, co również rekomendujemy wszystkim naszym klientom. Zdecydowanie edukacja pracowników jest najważniejsza. Należy regularnie i cyklicznie szkolić i budować lub podnosić świadomość organizacyjną. Samo stworzenie procedur i oczekiwanie, że będą przestrzegane, nie jest ani efektywne, ani wystarczające. Stały proces edukacji oznacza nie tylko przekazywanie treści, ale również sprawdzanie wiedzy oraz jej aktualizowanie. W ramach cyklicznych szkoleń w temacie bezpieczeństwa cyfrowego można zorganizować np. testy sprawdzające wiedzę pracowników. Na tej podstawie możemy określić, czy poziom wspomnianej wcześniej świadomości w organizacji się zmienia i co powinniśmy zrobić, żeby ją poszerzyć czy utrwalić. Platformy IT, które dostarczamy naszym klientom, pozwalają na przeprowadzenie szkoleń, opublikowanie nagrań, zgromadzenie materiałów w jednym miejscu. Wychodzą naprzeciw takim potrzebom pracowników, jak np. możliwość odtworzenia szkolenia w dowolnym momencie dnia czy tygodnia pracy. Dzięki temu nasi pracownicy mają dostęp do materiałów, kiedy mają na to czas lub potrzebują uzupełnić swoją wiedzę. Do tych materiałów odsyłamy również naszych nowych pracowników w ramach ich on-boardingu.

Korzystanie z rozwiązań IT do szkoleń prowadzonych online nie jest niczym nowym. Takie szkolenia są zdecydowanie bardziej efektywne, jeśli sprawdzamy przyrost wiedzy, np. w formie krótkich testów wiedzy, oraz zbieramy informacje zwrotne od naszych pracowników. Pozwala nam to na zidentyfikowanie obszarów do usprawnienia czy ułatwienia dla pracowników. Generalnie narzędzia do prowadzenia szkoleń i nauki i pracy są na tyle wygodne, że nawet jak pandemia się zakończy, to narzędzia pozostaną, więc i tak warto się uczyć z nich korzystać. Wiedza zdobywana online jest o tyle wygodna, że można do niej wrócić w dowolnym momencie, w przeciwieństwie do spotkań na żywo, których tak łatwo nie da się udokumentować i wracać do tej wiedzy po miesiącu czy roku.

Istotne jest również właściwe opublikowanie i gromadzenie przekazywanych informacji. Dobrym rozwiązaniem może być intranet – centralne miejsce w organizacji, gdzie takie treści mogą być przechowywane i dostępne dla wszystkich pracowników. APN Promise posiada swój autorski produkt – APN Intranet, który dodatkowo rozbudowuje możliwości platformy Microsoft 365 w tym obszarze. Tam gromadzimy wszystkie materiały szkoleniowe, tj. nagrania wszystkich szkoleń, prezentacje, materiały, procedury, instrukcje itd.

Dobrą praktyką jest stworzenie bazy wiedzy, do której pracownik może zawsze wrócić i korzystając z zaawansowanej wyszukiwarki, odnaleźć odpowiedź na nurtujące go pytanie. W naszej firmie taka baza wiedzy znajduje się właśnie w intranecie.

Czy pracodawca jest w stanie zweryfikować, czy pracownik zachowuje zasady cyfrowego bezpieczeństwa w domu?

Dominik Daniewski: Wiele zależy od możliwości rozwiązań, na których wdrożenie zdecydowała się organizacja. APN Promise, wieloletni partner Microsoftu, wdraża Microsoft 365 jako bezpieczne środowisko do pracy – oczywiście nie tylko zdalnej. Platforma ta daje bardzo wiele mechanizmów wspierających bezpieczeństwo. Maszyny nie są na tyle inteligentne, żeby przeciwdziałać świadomym działaniom pracownika, wobec czego on sam musi tego pilnować. Mechanizmy technologiczne ze strony pracodawcy mogą polegać na wymuszeniu niepracowania na komputerze służbowym przez inne osoby niż pracownik. Należy dbać o to, by hasła były bezpieczne, by nie były przechowywane w miejscu łatwo dostępnym, by je zapisywać w odpowiednich aplikacjach, a nie na karteczkach, nie w telefonach. Hasła powinny spełniać określone wymogi, powinny być różne na różnych platformach, aby w przypadku złamania naszego hasła osoba niepożądana nie dostała się w inne miejsca, które mają to samo hasło (np. konto bankowe). Nawet jeśli dane nie są zbyt wrażliwe, to ktoś niepowołany może z nich zrobić użytek.

Pracodawca może oczywiście sprawdzić, kiedy dany użytkownik się zalogował czy wylogował.

Na komputerach może być zainstalowane oprogramowanie sprawdzające, czy pracujemy wyłącznie na systemach dopuszczonych przez naszego pracodawcę, takim, które zostało zakwalifikowane jako bezpieczne.

W skrajnym przypadku pracodawca może również wybrać metodę maksymalnego ograniczenia swobody pracownika w możliwości pracy na komputerze i blokować wszystkie niosące choćby potencjalne zagrożenie aplikacje, strony internetowe etc. To rozwiązanie minimalizuje potrzebę sprawdzania, ponieważ pracownik po prostu nie ma możliwości wykonania niektórych czynności.

Jakie są najważniejsze zasady dotyczące cyberbezpieczeństwa, których przestrzeganie powinniśmy zapewnić?