Risk

ΚΟΡΟΝΟΙΟΣ: Προβλέψεις για ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ & ΤΗΛΕΡΓΑΣΙΑ

ΚΟΡΟΝΟΙΟΣ: Προβλέψεις για ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ & ΤΗΛΕΡΓΑΣΙΑ

ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ

ΣΚΟΠΟΣ της Πολιτικής

Σκοπός της Πολιτικής είναι να ορίσει μέτρα ασφαλείας για τη μείωση του ρίσκου απώλειας προσωπικών και εταιρικών δεδομένων, από τη χρήση κινητών συσκευών ή και τηλεργασίας.

ΟΔΗΓΙΕΣ Εφαρμογής Κινητών Συσκευών

Όταν για την εκτέλεση των εργασιών σε έναν οργανισμό χρησιμοποιούνται κινητές συσκευές πρέπει να λαμβάνονται μέτρα, τα οποία να διασφαλίζουν την ακεραιότητα, λειτουργικότητα και συνέπεια των πάσης φύσεως δεδομένων και πληροφοριών.

Η Πολιτική έχει σκοπό να καλύψει τα πιθανά ρίσκα χρήσης κινητών συσκευών σε μη ασφαλή περιβάλλοντα.

Για το σκοπό αυτό, δημιουργούμε τις παρακάτω προβλέψεις:

–          Καταγραφή κινητών συσκευών

–          Καταγραφή απαιτήσεων φυσικής προστασίας

–          Περιορισμό εγκατάστασης λογισμικού

–          Απαιτήσεις αναβαθμίσεων λογισμικού για κινητές συσκευές και εκδόσεων ασφαλείας

–          Περιορισμό πρόσβασης σε υπηρεσίες πληροφοριών

–          Διαχείριση πρόσβασης

–          Τεχνικές κρυπτογράφησης

–          Διαχείριση κακόβουλου λογισμικού

–          Απομακρυσμένη απενεργοποίηση, διαγραφή ή αποκλεισμός χρήστη

–          Δημιουργία αντιγράφων ασφαλείας

–          Πρόσβαση σε δικτυακές εφαρμογές και υπηρεσίες

Οι χρήστες κινητών συσκευών πρέπει να είναι ιδιαίτερα προσεκτικοί όταν χρησιμοποιούν κινητές συσκευές σε δημόσια σημεία ή σε δημόσια δίκτυα, καθώς επίσης και σε μη προστατευμένα περιβάλλοντα, κάθε είδους (οικιακά δίκτυα, δημόσια δίκτυα χωρίς κωδικούς ασφαλείας ή και κρυπτογράφηση).

Οι χρήστες πρέπει επίσης να είναι ιδιαίτερα προσεκτικοί και να χρησιμοποιούν τεχνικές κρυπτογράφησης ή να κάνουν χρήση άλλων τεχνικών ελεγχόμενης πρόσβασης, όπως είναι η χρήση εικονικών δικτύων και συσκευών διπλής αυθεντικοποίησης (2FA).

Οι κινητές συσκευές καθόλη τη διάρκεια ενεργούς χρήσης τους πρέπει να έχουν φυσικά και τεχνικά μέτρα αντικλεπτικής προστασίας, ιδιαίτερα σε περιπτώσεις αυξημένης επικινδυνότητας, όπως αυτοκίνητα και δημόσια μέσα μεταφοράς, δωμάτια ξενοδοχείων, συνεδριακά κέντρα και σημεία συνάθροισης.

Κατά περίπτωση, αναλόγως του είδους και της έκτασης των δεδομένων και πληροφοριών, θα ενεργοποιούνται διαφορετικές υποχρεώσεις και προβλέψεις ασφάλειας της εκάστοτε συσκευής.

Κινητές συσκευές με σημαντικές, ευαίσθητες ή κρίσιμες πληροφορίες και δεδομένα κάθε είδους, δεν πρέπει να αφήνονται χωρίς επιτήρηση, και όπου είναι εφικτό οι συσκευές να κλειδώνονται είτε σε χρηματοκιβώτια, είτε σε ερμάρια με ελεγχόμενη πρόσβαση ή και με την χρήση ειδικών κλειδιών (kensington lock, security key με FIDO u2f Standard).

Σε κάθε περίπτωση, εάν γίνεται χρήση κινητών συσκευών, σε οποιοδήποτε επίπεδο, θα πρέπει να ελεγχθεί εάν μπορούν να εφαρμοστούν τουλάχιστον τα δύο παρακάτω μέτρα:

α/ η δυνατότητα ύπαρξης σαφούς διάκρισης προσωπικού και εταιρικού περιβάλλοντος εργασίας στη συσκευή, με τη χρήση λογισμικού το οποίο να υποστηρίζει την εν λόγω διάκριση, ενώ ταυτόχρονα να προστατεύει τα δεδομένα του οργανισμού στην συγκεκριμένη συσκευή

β/ η δυνατότητα χρήσης κινητής συσκευής εκτός του εργασιακού εξοπλισμού, να παρέχεται στους χρήστες μόνο όταν έχουν υπογράψει μία σχετική συμφωνία, με την οποία αναγνωρίζουν τις υποχρεώσεις προστασίας (φυσική προστασία, αναβάθμιση και ενημέρωση λογισμικού, κ.α), αποποιούνται την ιδιοκτησία των εταιρικών δεδομένων, επιτρέπουν τη διαγραφή των δεδομένων από τον οργανισμό σε περίπτωση κλοπής ή απώλειας της συσκευής ή όταν ανακαλείται η δυνατότητα πρόσβασης από το χρήστη

Σε κάθε περίπτωση, είναι εταιρική υποχρέωση ο σεβασμός των προσωπικών δεδομένων του εργαζομένου και είναι απαραίτητο όλες οι ενέργειες να είναι σύμφωνες με την ισχύουσα Νομοθεσία.

Το προσωπικό, σε κάθε περίπτωση, πρέπει να ενημερώνεται τακτικά ώστε να γίνει κατανοητό το επιπλέον ρίσκο της απομακρυσμένης εργασίας και των μέτρων προστασίας που αυτή απαιτεί.

Άλλες Πληροφορίες

Οι ασύρματες συνδέσεις των κινητών συσκευών είναι παραπλήσιες με τις ενσύρματες δικτυακές συνδέσεις, αλλά παρουσιάζουν και κάποιες σημαντικές διαφορές, οι οποίες πρέπει να ταυτοποιηθούν στα αντίστοιχα σημεία ελέγχου.

Αυτά είναι:

1/ ορισμένα πρωτόκολλα ασύρματης δικτύωσης, τα οποία εμφανίζουν συγκεκριμένες και γνωστές αδυναμίες προστασίας

και

2/ πληροφορίες αποθηκευμένες σε κινητές συσκευές, οι οποίες μπορεί να μην έχουν αντίγραφα ασφαλείας, λόγω περιορισμένης δικτυακής ή διαδικτυακής πρόσβασης

ΤΗΛΕΡΓΑΣΙΑ

ΣΚΟΠΟΣ της Πολιτικής

Σκοπός της Πολιτικής αυτής είναι η δημιουργία ασφαλούς πλαισίου λειτουργίας για πληροφορίες και συστήματα πληροφορικής, στα οποία δίδεται πρόσβαση μέσω τηλεργασίας.

ΟΔΗΓΙΕΣ Εφαρμογής Τηλεργασίας

Όσοι οργανισμοί επιτρέψουν τηλεργασία, θα πρέπει να εκδώσουν μία Πολιτική η οποία θα καθορίζει τους σχετικούς όρους και προϋποθέσεις.

Όπου εφαρμόζεται, και επιτρέπεται εκ του Νόμου, πρέπει να ληφθούν υπόψη τα παρακάτω:

1/ Το επίπεδο φυσικής ασφάλειας του σημείου τηλεργασίας. Λαμβάνεται υπόψη το κτίριο και ο περιβάλλων χώρος.

2/ Το προτεινόμενο φυσικό περιβάλλον τηλεργασίας.

3/ Το επίπεδο ασφάλειας επικοινωνιών. Σε αυτό λαμβάνεται υπόψη η ανάγκη απομακρυσμένης πρόσβασης στα εσωτερικά συστήματα του οργανισμού, ο βαθμός ευαισθησίας των υπό επεξεργασία δεδομένων και ο βαθμός ευπάθειας των συστημάτων του οργανισμού.

4/ Η πρόβλεψη εικονικού σταθμού εργασίας, στον οποίο να αποτρέπεται η αποθήκευση και επεξεργασία πληροφοριών σε ιδιωτικές συσκευές.

5/ Το ρίσκο μη ελεγχόμενης και μη εξουσιοδοτημένης πρόσβασης από άλλα πρόσωπα τα οποία χρησιμοποιούν το σταθμό τηλεργασίας (πχ οικογένεια, φίλοι)

6/ Η χρήση οικιακών δικτύων και τις αντίστοιχες απαιτήσεις ή περιορισμούς στη διαμόρφωση των ασύρματων δικτύων

7/ Η ύπαρξη Πολιτικών και Διεργασιών οι οποίες να προλαμβάνουν διαμάχες σχετικά με πνευματικά δικαιώματα σε σταθμούς τηλεργασίας.

8/ Η φυσική πρόσβαση στο σταθμό τηλεργασίας για επιβεβαίωση του επιπέδου ασφάλειας και το οποίο μπορεί να μην επιτρέπεται βάσει Νομοθεσίας.

9/ Η μη ύπαρξη SLA (Software License Agreement) από την πλευρά του οργανισμού για λογισμικό το οποίο χρησιμοποιείται στους σταθμούς τηλεργασίας.

10/ Η προστασία από κακόβουλο λογισμικό καθώς και απαιτήσεις firewall.

Ο οργανισμός πρέπει να λάβει υπόψη του την ανάγκη να εκδώσει κατευθυντήριες γραμμές για τα παρακάτω:

–          Σε περίπτωση που ο εξοπλισμός του ιδιωτικού σταθμού τηλεργασίας κριθεί ανεπαρκής, ο οργανισμός πρέπει να προμηθεύσει τον εργαζόμενο με σχετικά μηχανήματα και εξοπλισμό

–          Την ύπαρξη ενός ξεκάθαρου ορισμού των επιτρεπόμενων εργασιών, των ωρών εργασίας, της κατηγορίας των σχετικών πληροφοριών, συστημάτων και υπηρεσιών, στα οποία ο εργαζόμενος έχει απομακρυσμένη πρόσβαση

–          Την ύπαρξη κατάλληλων μέσων επικοινωνίας μεταξύ των οποίων και λογισμικού, το οποίο να επιτρέπει απομακρυσμένη πρόσβαση με ασφαλή τρόπο

–          Τη φυσική ασφάλεια

–          Την ύπαρξη κανόνων και την καθοδήγηση σε ότι αφορά στην χρήση του σταθμού τηλεργασίας από άλλα μέλη της οικογένειας ή και επισκέπτες

–          Την παροχή υπηρεσιών συντήρησης και υποστήριξης για λογισμικό και εξοπλισμό

–          Την παροχή υπηρεσιών ασφάλισης

–          Τον τρόπο δημιουργίας αντιγράφων ασφαλείας καθώς και μεθόδων επιχειρησιακής συνέχειας

–          Την διεξαγωγή ελέγχων εφαρμογής και ασφάλειας

–          Την άμεση ανάκληση πρόσβασης και δικαιωμάτων σε συνδυασμό με επιστροφή του εξοπλισμού τηλεργασίας, όταν οι δραστηριότητες τηλεργασίας πάψουν να υφίστανται

ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΕΝΕΡΓΕΙΕΣ

1.    Συνεχής εκπαίδευση και ενημέρωση του προσωπικού: είναι επιβεβλημένο οι χρήστες να ενημερώνονται σε τακτά χρονικά διαστήματα για τις βέλτιστες πρακτικές και τις ορθές αρχές ασφάλειας δεδομένων.

2.    Όσοι διαχειρίζονται ευαίσθητα δεδομένα και πληροφορίες οφείλουν να κατανοούν την αξία και την ευαισθησία των πληροφοριών αυτών καθώς και τυχόν κόστος της απώλειας ή και της διαρροής αυτών.

3.    Επαρκείς πόροι: σε αυτό το σημείο ο οργανισμός πρέπει να αποφασίσει εάν θα διαθέσει φορητούς υπολογιστές και έξυπνα κινητά τηλέφωνα, ιδιοκτησίας του, σε χρήστες, και σε ποιους όχι.

4.    Ο οργανισμός θα πρέπει να ορίσει σαφώς τους χώρους στους οποίους θα επιτρέπεται η τηλεργασία καθώς και το ποια δεδομένα μπορούν να αποθηκευτούν στον φορητό υπολογιστή και την συσκευή κινητού και ποια όχι.

5.    Τα πιο πιθανά εργαλεία τα οποία θα χρειαστεί ένας εργαζόμενος και ένας οργανισμός είναι τα παρακάτω:

-εφαρμογή αποστολής σύντομων μηνυμάτων (Chat)

-εφαρμογές τηλεδιάσκεψης, τηλεκπαίδευσης και τηλεφωνίας (Skype, Webex, Facebook Workplace, Google Hangouts)

-ΙΡ τηλεφωνία (3CX, Asterisk, FreePBX)

-εφαρμογές για μοίρασμα οθόνης (TeamViewer, Any Desk, Microsoft RDP)

-εφαρμογές διαχείρισης έργων (Wrike, Trello, Asana)

-εφαρμογές διαχείρισης χρόνου (Smarter Time, ToDoIST)

-εφαρμογές ηλεκτρονικού ταχυδρομείου

-εφαρμογές γραφείου σε cloud περιβάλλον (Office 365, G Suite)

-εφαρμογές διαχείρισης κινητών τηλεφώνων (Android Device Manager, Android Enterprise Manager, Apple Business Manager, Microsoft Business Manager)

-εφαρμογές firewall (PFSense)

-αντιϊκές εφαρμογές (Kaspersky, Malware Bytes)

-εφαρμογές κρυπτογράφησης (Bitlocker, Veracrypt, Keepass)

6.    Σαφείς διαδικασίες για την αναφορά προβλημάτων και περιστατικών ασφαλείας καθώς και τη διαχείριση αυτών, οι οποίες θα βοηθήσουν τους εργαζόμενους να δράσουν άμεσα μετριάζοντας την έκταση του συμβάντος και περιορίζοντας τις δυσμενείς συνέπειες του. Ύπαρξη αντίστοιχων αρχείων τεκμηρίωσης.

7.    Διαχείριση /διακίνηση δεδομένων: το ιδανικό είναι η διακίνηση και διαχείριση δεδομένων να είναι απόλυτα περιορισμένη. Το προτεινόμενο μέτρο είναι η κεντρική αποθήκευση αρχείων σε προστατευμένο διακομιστή με πολλαπλά αντίγραφα ασφαλείας σε τοπικά και απομακρυσμένα γεωγραφικά σημεία και πολλαπλές μεθόδους προστασίας από απειλές κάθε είδους.

8.    Είναι βέβαιο ότι θα υπάρξουν περαιτέρω απαιτήσεις στη χρήση των πληροφοριακών συστημάτων, οπότε η κρυπτογράφηση κρίνεται υποχρεωτική και τα φορητά μέσα αποθήκευσης, όπως εξωτερικοί δίσκοι, μνήμες usb, και άλλα ψηφιακά φορητά μέσα, πρέπει να ελέγχονται ως προς την ασφάλεια και την ευκολία που παρέχουν.

9.    Τα δεδομένα να είναι τμηματοποιημένα, ανάλογα της εργασίας και του χρόνου, ούτως ώστε να περιοριστεί η ζημιά ακόμα και σε μία επιτυχημένη επίθεση ή υποκλοπή δεδομένων.

10.  Η δυνατότητα πρόσβασης και το δικαίωμα χρήσης πρέπει να αφαιρούνται άμεσα με την ολοκλήρωση της συγκεκριμένης εργασίας για την οποία έχουν χορηγηθεί, καθώς και να γίνεται εκτεταμένη χρήση σύνθετων κωδικών πρόσβασης.

11.  Είναι απαραίτητο να υπάρχει αναλυτική καταγραφή της πρόσβασης στα δεδομένα από οποιονδήποτε, με καταγραφή ώρας, ημερομηνίας, χρήστη, σταθμό εργασίας, αρχείων, εγγραφών, ούτως ώστε να δημιουργείται αρχείο σε πιθανή έρευνα για ιχνηλάτηση περιστατικών.

12.  Η επικοινωνία μεταξύ των χρηστών και του διακομιστή, ιδανικά πρέπει να λαμβάνει χώρα μέσω κρυπτογραφημένων καναλιών και μεθόδων, κατά κανόνα με χρήση VPN.

13.  ΟΔΗΓΙΕΣ ΑΣΦΑΛΕΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ

13.1. Επικαιροποίηση λογισμικού

13.2. Παραμετροποίηση λογισμικού

13.3. Υπολογιστής με χρήστη αποκλειστικά για εργασία

13.4. Κατάλληλη γραπτή πολιτική με τεκμηριωμένες διαδικασίες

13.5. Ισχυρό συνθηματικό, σύνθετης μορφής, πρόσβασης

13.6. Αντιϊκό λογισμικό

13.7. Firewall

13.8. Απομακρυσμένος έλεγχος από διαχειριστές

13.9. Κρυπτογράφηση σκληρών δίσκων

14.  ΑΣΥΡΜΑΤΑ ΔΙΚΤΥΑ

14.1. Επιτακτική ενεργοποίηση κρυπτογράφησης με χρήση αλγορίθμου WPA2

14.2. Κρυφό SSID

14.3. Απενεργοποίηση ασύρματης διαχείρισης

14.4. Επικαιροποίηση Drivers & Firmware

14.5. Έλεγχος διευθύνσεων Mac

14.6. Χρήσης στατικής IP

14.7. Τοποθέτηση συσκευής Wi Fi μακριά από παράθυρα

15.  SMART PHONES

15.1. Χρήση Pin

15.2. Χρήση κωδικού πρόσβασης στη συσκευή

15.3. Κρυπτογράφηση συσκευής

15.4. Περιορισμένη δυνατότητα δικτύωσης

15.5. Λογισμικό προστασίας

15.6. Επικαιροποίηση όλων των εφαρμογών

15.7. Κεντρική διαχείριση με απομακρυσμένη πρόσβαση

Κατεβάστε την ειδική έκδοση σχετικά με τον Κορονοϊό COVID – 19:

ΚΟΡΟΝΟΙΟΣ - COVID 19 ΕΙΔΙΚΗ ΕΚΔΟΣΗ (436 downloads)

Θέλετε να μάθετε περισσότερα;

Summary
ΚΟΡΟΝΟΙΟΣ: Προβλέψεις για ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ & ΤΗΛΕΡΓΑΣΙΑ
Article Name
ΚΟΡΟΝΟΙΟΣ: Προβλέψεις για ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ & ΤΗΛΕΡΓΑΣΙΑ
Description
ΚΟΡΟΝΟΙΟΣ: Προβλέψεις για ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ & ΤΗΛΕΡΓΑΣΙΑ
Author
Publisher Name
Niriis S.A.
Publisher Logo
  Niriis Banner ESPA
Skip to content