O pracy zdalnej / pracy z domu

Czym jest praca zdalna?

Zgodnie z definicją zawartą w Kodeksie Pracy, praca zdalna polega na wykonywaniu pracy całkowicie lub częściowo w miejscu wskazanym przez pracownika (w tym pod adresem zamieszkania pracownika) i każdorazowo uzgodnionym z pracodawcą. Kodeks Pracy przewiduje zarówno pracę zdalną całkowitą, jak i hybrydową (częściowo w domu, częściowo w firmie), stosownie do potrzeb konkretnego pracownika i pracodawcy. Praca zdalna może być uzgodniona zarówno przy zawieraniu umowy o pracę, jaki i w trakcie zatrudnienia.
Urządzenia, z których korzystają pracownicy pracujący w trybie zdalnym, w celu uzyskania dostępu do danych lub usług służbowych (bez względu na to, czy są własnością firmy czy użytkownika), wchodzą w zakres certyfikacji Firma Bezpieczna Cyfrowo.
Pracownicy logując się, uzyskują dostęp do plików i poczty elektronicznej organizacji, ale zamiast łączyć się z Internetem za pośrednictwem bezpiecznych sieci firmowych, podłączają swoje urządzenia do sieci domowych lub publicznych o nieznanym poziomie bezpieczeństwa, np. w kawiarniach i innych miejscach ogólnodostępnych.
W kontekście pracy zdalnej, szczególne znaczenie mają dobre zabezpieczenia zasobów firmowych, a także jasne polityki i procedury, które pomogą pracownikom zminimalizować ryzyko incydentu cyberbezpieczeństwa (np. wycieku danych). Zaleca się również opracowanie listy praktycznych kroków, które pracownik powinien wykonać w przypadku wystąpienia zdarzenia, mogącego mieć negatywny wpływ na cyberbezpieczeństwo. Poniższe kroki mogą pomóc w zmniejszeniu ryzyka.
Wszystkie urządzenia mające dostęp do danych i usług firmowych powinny posiadać:
  1. Wspierany przez producenta system operacyjny;
  2. Oprogramowanie antywirusowe;
  3. Włączone automatyczne aktualizacje, wszędzie tam, gdzie jest to możliwe.
Tożsamość użytkownika powinna być w miarę możliwości potwierdzana za pomocą uwierzytelniania wieloskładnikowego. Rozwiązanie to powinno być włączone na wszystkich kontach, które mają dostęp do usług w chmurze (patrz Stosowanie MFA w celu uzyskania dostępu do usług w chmurze).
Do wykonywania codziennej pracy pracownicy powinni używać standardowego konta użytkownika. Osobne konto administratora powinny posiadać tylko te osoby, które w ramach swoich obowiązków instalują i usuwają oprogramowanie oraz wykonują inne zadania dotyczące administrowania systemami i urządzeniami. Konta z uprawnieniami administratora nigdy nie powinny być używane do korzystania z poczty elektronicznej lub przeglądania Internetu (patrz O kontach, patrz Wskazówki dotyczące przynoszenia własnych urządzeń do pracy BYOD).

Firewalle

Router domowy pracownika nie jest objęty zakresem certyfikacji Firma Bezpieczna Cyfrowo, chyba że jest to sprzęt dostarczany przez aplikującą o certyfikat organizację. W takim wypadku należy zastosować do niego zalecenia certyfikacji Firma Bezpieczna Cyfrowo.
Wszystkie urządzenia, które mają dostęp do danych organizacyjnych, w tym do poczty elektronicznej, muszą mieć włączone i bezpiecznie skonfigurowane programowe zapory sieciowe (firewalle), aby spełniać wymagania certyfikacji Firma Bezpieczna Cyfrowo.

Hasła

Firma Bezpieczna Cyfrowo wymaga od organizacji posiadania polityki dotyczącej haseł, obejmującej m.in. możliwość potwierdzenia, że hasła są zmieniane w przypadku naruszenia bezpieczeństwa*, np. potencjalnego wycieku. Aby potwierdzić zgodność z tym wymaganiem, organizacje muszą być świadome tego, co stanowi naruszenie bezpieczeństwa i mieć pewność, że pracownicy rozpoznają i zgłaszają takie przypadki.
Pracownikom należy udostępnić wytyczne dotyczące tworzenia unikalnych haseł do kont służbowych oraz stosowania zabezpieczeń technicznych, w celu zarządzania jakością haseł i ochrony przed zgadywaniem ich metodą brute-force. (Patrz O hasłach)
Naruszenie bezpieczeństwa danych ma miejsce, gdy informacje będące w posiadaniu organizacji zostają skradzione lub uzyskano do nich dostęp bez upoważnienia. Może to obejmować zniszczenie, utratę, zmianę lub nieuprawnione ujawnienie danych organizacji lub prowadzić do dalszego nieuprawnionego dostępu do innych usług świadczonych przez organizację.

Praca zdalna

Organizacje powinny zapewnić regularny przegląd polityk i procedur wspierających pracę zdalną i zdalny dostęp do systemów.

Protokół zdalnego pulpitu (RDP)

Protokół Remote Desktop Protocol umożliwia użytkownikowi korzystającemu z komputera w jednej lokalizacji dostęp do komputera lub serwera w innym miejscu. Jest to często wykorzystywane przez pracowników technicznych do wsparcia użytkowników i wykonywania zadań konserwacyjnych.
Remote Desktop Protocol jest częstym wektorem ataku dla ransomware i powinien być używany tylko w sieciach wewnętrznych.
Ważne:
  • Zamknij lub zablokuj port RDP na firewallu, aby nie był on dostępny przez Internet.
  • Tam, gdzie to możliwe, zamiast zdalnych połączeń, wykorzystaj usługi w chmurze.

Usługi w chmurze

Usługi w chmurze muszą być prawidłowo skonfigurowane. Wiele organizacji korzysta z szerokiej gamy rozwiązań technicznych do łączenia się i pracy zdalnej. Platformy chmurowe nie są domyślnie bezpieczne i to organizacje są odpowiedzialne za ochronę danych i aplikacji, z których korzystają (patrz O usługach w chmurze, patrz O VPN).