Biztonságban home office-ban: mit tegyél, hogy a dolgozóid otthonról se veszélyeztessék a céget?

A home office a közelmúltig Magyarországon nagyjából olyan volt, mint a fehér holló. A cégek nagyobb része egyáltalán nem volt rá nyitott, élénken élt az a felfogás, hogy „az a biztos, ha a dolgozók bejárnak, és látjuk őket dolgozni”. Aztán jött a koronavírus, és egy pillanat alatt változtatott meg mindent – a felszínre hozva egy sor kérdést, ami eddig kényelmesen lapult a szőnyeg alatt.

Bár a szigorú korlátozásoknak vége, és a home office már egyáltalán nem kötelező, sok helyen maradt, és marad is. A kényszerhelyzet megmutatta, hogy a távmunka igenis működőképes, hiszen számos cég alkalmazta sikeresen. A dolgozók közül pedig sokan nagyon örültek neki, hogy szabadabbak, rugalmasabbak tudtak lenni. Az általános tapasztalat globálisan is inkább a hatékonyság növekedése, mintsem csökkenése.

Ez a fajta munkavégzés pedig 2020-ban, valljuk be, jogos igény. Számos munkakör ellátásához tökéletesen elég egy laptop, vagy akár egy tablet is. Ma már alap a beépített mikrofon, kamera, így akár a meetingek is megoldhatók személyes jelenlét nélkül. Működnek a munkavégzéshez szükséges programok, megy az állandó kapcsolattartás, kollaboráció és fájlmegosztás a felhőn keresztül, így a csapatmunka is megvalósulhat. Miért ne dolgoznánk otthonról?

Változtak az arányok

Korábban a home office statisztikánk nem volt túl fényes. 2018-ban a magyarországi munkavállalók mindössze 3,4 százaléka dolgozhatott otthonról, de ebben már benne vannak azok is, akik csak alkalomszerűen élhettek a lehetőséggel. Akik napi szinten otthonukban végezték a munkájukat, az összes alkalmazott mindössze 1,2 százalékát tették ki.

Ezzel szemben 2020 júniusában nagyjából 600 000 ember töltötte a munkaidejét otthon, az összes foglalkoztatott 13,5 százaléka. Ebből 4,7 százalék rendszeresen, 8,8 százalék alkalmanként maradhat jelenleg otthon. Mondhatnánk, hogy ezek azért nem olyan orbitálisan magas számok, de összességében mégiscsak körülbelül négyszeresére nőtt a távmunkában dolgozók száma, ami mindenképpen figyelemreméltó.

Az igazán érdekes a történetben, hogy most, hogy a járványhelyzet alatt kiderült, hogy a távmunka működik, sok cég nem is szeretné teljesen megszüntetni. Többen is vannak, akik részben vagy egészben meghagynák, mert a vezetőség egyértelműen látta, hogy a munka így is elkészül, az alkalmazottak pedig nagyon sok előnyét érzékelték a helyzetnek a mindennapokban. De hiába az általános pozitív tapasztalat, természetesen problémák is felmerülnek.

Amit még meg kell oldanunk a távmunkában

Az egy dolog, hogy mindenki szépen végzi a feladatát, a meetingek működnek online, az egyéb kapcsolattartás szintén, a munka pedig különösebb zökkenők nélkül elkészül időre. Figyelni kell azonban olyan tényezőkre is, ami sokaknak eszébe sem jutott, mikor home office-ba kényszerült a világ. Ilyen a cég mindennapi folyamatainak, adatainak biztonsága.

Az otthoni munkavégzés alapja az internet, ami csak akkor biztonságos, ha azzá tesszük. Arról már írtunk korábban, hogy az irodában sem mindig valósulnak meg az alapvető biztonsági kritériumok, ilyenkor azonban még bonyolultabb a helyzet. Itt ugyanis sokkal nagyobb a hangsúly azon, hogy maguk a dolgozók mit tesznek, hogy mennyire tudjuk megértetni velük a védelmi intézkedések fontosságát és azt, hogy ők maguk hogyan tehetnek érte.

Míg az irodában, a „benti” gépeken és hálózaton teljes a kontrollunk a beállítások, a telepített szoftverek, a hálózat működése felett, a saját vagy a cégtől hazavitt, de az otthoni hálózaton használt gépek esetében már más a helyzet. Eleve nehezebben ellenőrizhető, hogy betartják-e egyáltalán a szabályokat – éppen ezért első körben az a fontos, hogy megértsék, miért is van rájuk szükség.

Ha az alkalmazottak csak valami „ajánlott” dologként értelmezik a biztonsági előírásokat, és nem foglalkoznak velük, mert időrablónak tartják őket, azzal komoly kockázatnak tehetik ki az egész céget. Éppen ezért nagyon fontos, hogy valóban megértsék, mi is forog kockán, valamint akarják és tudják alkalmazni a védelmi policyt. Időt kell tehát arra szánnod, hogy részletesen elmagyarázd nem csak azt, hogy mit kell tenniük, de azt is, miért.

Ha felderítetted a hibákat, kezdheted az oktatást

Első körben, ha eddig nem tetted meg, akkor most kérj fel egy biztonsági szakértőt, hogy vizsgálja át a céged hálózatát, rendszereit, magukat a gépeket és a használt szoftvereket. Nézze meg, mik a problémás pontok, mit kell javítani, fejleszteni, és készítsen erre egy tervet.

Fontos megjegyeznünk, hogy a beosztottak, kollégák ezt kellemetlennek érezhetik. Tudasd velük, hogy nem őket ellenőrzöd, hogy nem az érdekel, beszélnek-e munka közben Messengeren valakivel vagy ne adj Isten böngészik-e a Boredpandát a „hazavivős” laptopon. Hanem az, hogy nincs-e olyan biztonsági rés, amin keresztül a cég és az ő adataik is veszélybe kerülhetnek.

Ezt kell neked megvalósítanod. Ez valószínűleg komolyabb költségekkel fog járni, de ne kiadásként tekints rá, hanem befektetésként: a jövőbe, a biztonságba, az employer brandingbe – hiszen az alkalmazottaid bizonyára értékelni fogják a lehetőséget. Ráadásul az adatlopás, illetéktelen behatolás megelőzésével sokkal többet spórolsz, bármennyit is költesz el a biztonságra.

A második teendő, hogy oktasd a dolgozóidat! Nem elég, ha te tudod, hogy miért kell ügyelni a biztonságra, ugyanis otthon nem neked kell majd betartanod az intézkedéseket, hanem nekik.  Mivel ellenőrizni sem fogsz tudni mindent, nagyon fontos, hogy értsék, mindez miért szükséges, mert csak így fogják maguktól is alkalmazni a szabályokat.

Ennek érdekében érdemes lehet egy külön oktatást, akár belső tréninget szervezni nekik, ahol felvilágosítást kaphatnak arról, milyen biztonsági rések vannak, a kiberbűnözők hogyan használják ki ezeket. Ha meglátják az összefüggéseket, könnyebben érzik majd át a saját felelősségüket a cég biztonságával kapcsolatosan, és nagyobb hajlandóság lesz bennük, hogy odafigyeljenek rá.

Persze nem utolsó dolog az sem, hogy megtanulják, mire vigyázzanak – sokszor ugyanis nem a szándék hibádzik, csak a hozzá nem értés jelent akadályt.

Ezeket pedig mindenképpen lépd meg, ha megvalósítod a home office-t:

  1. VPN (Virtual Private Network) használata. Nagyon veszélyes lehet akármilyen ismeretlen hálózat, különösen a random, nyílt hálózatok, például egy kávézóban, mert az illető alkalmazott éppen ott szeret dolgozni (már amennyiben nincs vírushelyzet miatt korlátozás), ezért javasolt sajátot használni. A VPN-hez lehetőség szerint legyen kétfaktoros azonosítás, hogy minél nagyobb legyen a biztonság. A lehető legtöbb tevékenység ezen keresztül menjen, az a legjobb, ha mindent sikerül erre átterelni.
  2. Itt megemlítünk az otthon használt routereket is. Képesek védelmet biztosítani, de nem mindegyik. Illetve amelyik igen, azt be is kell állítani, hogy működjön az a védelem. Ezek nem drágábbak, mint a többi router, de kérdéses, hogy mennyire elvárható a munkavállalótól, hogy biztosítsa ezt a saját otthonában.
  3. Az eszközök korlátozása. A legjobb eredményt akkor érheted el kiberbiztonság terén, ha nem lehet bármire használni a munkaeszközt. Legegyszerűbb, ha VPN-en keresztül kizárólag azok a felületek érhetők el, amik a munkavégzéshez szükségesek. Ez akkor valósulhat meg leginkább, ha Te munkáltatóként biztosítod a munkaeszközöket, és nem a saját kütyüiken dolgoznak az alkalmazottaid.
  4. Amennyiben az előbbit nem tudod megoldani, és kénytelen vagy a munkavállalók saját eszközeire hagyatkozni, mindenképpen csak ahhoz férjenek hozzá, ami a saját feladataik elvégzéséhez feltétlenül szükséges. Igen, sokkal egyszerűbb mindenkinek hozzáférést adni mindenhez, de ezzel növeled a biztonsági kockázatot. Inkább szánd rá az időt és szedd össze, kinek mihez kell hozzáférés, és lehetőleg listát is vezess erről. (Ez akkor is nagy hasznodra lesz, amikor a cégtől távozik egy munkatárs és meg kell szüntetni ezeket a hozzáféréseket, vagy éppen egy új kolléga onboardingját végzed.)
  5. Nagyon lényeges, hogy legyen protokoll olyan váratlan helyzetekre, amik kockázatot jelenthetnek. Például, ha az egyik munkavállaló készüléke elromlik, vagy rosszabb esetben elhagyja, ellopják. Sajnos ezek gyakran megesnek, neked is jobb, ha nem akkor kell kapkodnod a fejed, mikor megtörtént a baj, hogy most mit is csinálj. Egy ilyen protokoll az irodai gépekkel kapcsolatban sem árthat, hiszen innen is ellophatnak bármit, illetve ezek is megadhatják magukat idővel. A munkatársak mindig legyenek tisztában azzal, kit kell hívni, milyen információkat kell átadni, hogyan és hol kell azonnal jelszót váltani és így tovább.
  6. Legyenek biztonsági mentéseid! Ha már az elpusztuló gépekről van szó: életbevágó, hogy mindenről legyen biztonság mentés, legalább egy NAS-on/pendrive-on, de még jobb, ha külső meghajtón, vagy akár a felhőben – persze körültekintően levédve. Rengetegszer előfordul, hogy mentések nincsenek sehol, aztán meghal egy céges gép, az adatoknak meg búcsút inthetünk. Akkor is mindig legyenek naprakész mentéseid, ha az irodában dolgoznak az alkalmazottaid, és akkor is, ha otthon.  
  7. Bánj körültekintően a jelszavakkal! Már a jelszavak megadásánál is figyelj, hogy kellőképpen biztonságosak legyenek, ne lehessen könnyen kitalálni. Ahogy említettük, fontos, hogy ne tudjon mindenki minden jelszót, elég, ha az megvan, amivel dolgoznia kell. És ha valaki elmegy a cégtől, változtass a jelszavakon, töröld az illető hozzáféréseit, mert ha ezt nem teszed meg, gyorsan eljutsz odáig, hogy csak az nem fér hozzá a céges adatokhoz, aki nem akar.
  8. Ne feledkezz meg a vírusvédelemről! Az a legjobb, ha minden eszközön ugyanaz a program van, amit központilag lehet kezelni, így ezt nem kell a dolgozókra bízni.
  9. A dolgozók oktatása terjedjen ki arra is, hogyan használják a munkavégzésre szánt eszközeiket. Például ne adogassák random embereknek és családtagoknak kölcsön, kizárólag ők maguk használják. Az se hátrány, ha nyilvános helyen vagy nem dolgoznak, vagy úgy, hogy véletlenül se lásson rá a munkájukra senki. Ne jegyeztessék meg a géppel a jelszavakat, belépési adatokat, mert igaz, hogy ők így értékes másodperceket spórolnak meg a belépésen, de ha bárki kezébe kerül a gép, már hozzá is fér mindenféle céges adathoz. Ideálisabb egy olyan megoldás használata, mint például a LastPass, ahol egyetlen mesterjelszót kell csak megjegyezniük és használniuk. Minden más jelszót a szoftver kezel, amit könnyedén ki-be kapcsolhatnak. Ha céges gépet használnak, a sajátjukra ne mentsenek át céges dokumentumokat.

A lista persze itt nem áll meg, egy biztonsági szakértő könyvnyi vastag jótanácsot tud adni – ezért is fontos, hogy a megfelelő oktatás, tréning megtörténjen.

Csak elsőre ijesztő mindenre odafigyelni

Első olvasásra talán soknak tűnik mindez, és még csak le se írtunk mindent, ami a biztonságos távmunkához szükséges. Mindazonáltal távol álljon tőlünk, hogy bárkit is lebeszéljünk az otthoni munkavégzés engedélyezéséről, sőt!

Ez egy sok szempontból hasznos lehetőség, óriási esély a hatékonyságnövelésre is, de nagyon fontos, hogy megteremtsük hozzá a biztonsági kereteket. És ez nem csak akkor szükséges, ha egy nagy céget vezetsz, ahonnan százakat küldesz home office-ba; a megfelelő védelemre akkor is figyelmet kell fordítanod, ha egy egyszemélyes vállalkozásban dolgozol otthonról.

Az egész nem lesz annyira nehéz, ha szakértői szemek vizsgálják át a jelenleg alkalmazott rutint, és a kezükbe adod a kiberbiztonsági policy megtervezését és megvalósítását is, valamint gondoskodsz az említett oktatásról.

A kezdeti fennakadások után, szép lassan mindenki megtanulja majd, hogy mire kell odafigyelni, beépül a munkavégzési rutinjába, és az egész magától megy majd.

Olvasd el ezeket is:

Kommenteld meg jól:

0 hozzászólás

Egy hozzászólás elküldése

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..