מציאות חדשה – קורונה וירוס

פסח 2020, המכה ה-11 היכתה ללא רחם במשק העולמי ואילצה אותו לקבל החלטות מהירות וחדות בעקבות התפשטות נגיף הקורונה.

ההשלכות הבריאותיות של הנגיף טרם ידועות עד תומן וכך גם השפעתו הכלכלית על העולם – מה שבטוח, הוירוס הגיע והוא כאן כדי להישאר, להשפיע על מקבלי ההחלטות לטווח הקצר והארוך.

על מנת לעמוד בדרישות החוק בנוגע למניעה וצמצום התפשטות הנגיף – ארגונים בכל רחבי העולם נאלצו לקבל החלטות נרחבות על אופן העבודה של עובדיהן בארגון, החלטות שבימים כתיקונם נבחנות לרוחבן ולעומקן על מנת להבין את ההשלכות, ההזדמנויות, האתגרים והסיכונים שכרוכים בכך – התקבלו בחופזה ובהעדר ברירה אמיתית.

ארגונים קיבלו החלטות ויישמו אותן במהירות גבוהה מאוד על מנת להענות לדרישות החוק לצמצום נוכחות מרובה במקומות עבודה מחד והצורך החיוני לדאוג לרציפות תפקודית והמשכיות עסקית ככל שניתן.

הבנה ויישום לא נכון של אסטרטגיית W-F-H   Work From Home  תוביל בהכרח להגדלת הסיכוי לאירועים חמורים של אבטחת מידע וכן דליפת חומרים מסווגים ממערכות המידע של הארגון.

במאמר זה נרצה לסקור בתמציתיות את מהות העבודה מרחוק, האתגרים והסיכונים וכמובן דרכים לטיפול בהם.

מהות העבודה מרחוק

האפשרות לעבוד מהבית ניתן לעובדים במגוון תפקידים המאפשרים ביצוע פעולות ומשימות באמצעות המחשב כאשר ניתנת האפשרות לחיבור זמני במגוון אמצעים למשאבי הארגון לרבות שרת קבצים, מערכות מידע וכד'.

לאפשרות זו מגוון הזדמנויות לצד סיכונים שכמו כל דבר – צריך לדעת לנהל במיוחד לדעת.

אופן העבודה מרחוק והסיכונים הכרוכים בכך

העבודה מרחוק מתבצעת בד"כ באמצעות מכשירים זרים לארגון לרבות המחשב והמכשיר הסלולרי האישי של העובד שאינם כפופים למדיניות אבטחת המידע שהוגדרה בארגון ולכן אינם בטוחים לשימוש ארגוני,  המצב הנוכחי וזמן ההתארגנות הקצר נוכח התפרצות המגפה – אילץ את הארגונים לאפשר באופן מיידי חיבור למשאבי הארגון מרחוק. כעת זה הזמן לבחון את ההשלכות ולבצע חשיבה מחדש, תיקון ויישום אסטרטגיית WFH בצורה נכונה.

יישום ברמת הנהלה

כמו כל דבר בארגון ונוכח התעצמות הנושא וחשיבותו להישרדות הארגון, אנו נדרשים לניהול קפדני של כל מי שיש לו גישה למשאבי הארגון באמצעות עבודה מרוחקת.

• ניהול תיק אתר מסודר ובו כל המשתמשים להם יש גישה למשאבי הארגון
• יש להגדיר תוקף הרשאה בזמן על מנת לעקוב אחר הגישה המרוחקת
• מומלץ להגדיר זמני התחברות מאושרים
• מומלץ ליישם תוכנות לניטור ורישום כל החיבורים למשאבי החברה
• מומלץ למדר עוד יותר, לאחר חיבור למשאבים – הגישה למערכות לא הכרחיות מרחוק.

אלמנטים עליהם כדאי לתת את הדעת ברמת מערכות מידע- חיבור מרוחק

האפשרות העדיפה המתכללת את כל הדגשים כאן הינה מסירת תחנת עבודה מתאימה לאופי העבודה של המשתמש אשר עובדת תחת מדיניות הארגון ומחוברת לדומיין המאפשר ניהול מדיניות אבטחה בצורה המיטבית,  בהעדר האפשרות – יש ליישם הכללים הבאים:

1. 1. אכיפת נהלי אבטחה בנושא המועדים לשינוי סיסמה לכל המערכות הרלוונטיות למשתמש
   2. עדכון פרטי משתמש ומעבר על משתמשים פעילים ולא פעילים (כאלו שהוצאו לחל"ת)
   3. בחינה מחודשת של מידור משתמשים והקצאת הרשאות הכרחיות בלבד לעבודה מרוחקת
   4. לשקול אפשרות ליישום כלי אבטחה שהוזלו לאחרונה כמו MFA שעוזר לאמת את המשתמש בזמן אמת ולוודא כי הוא הגורם המבצע את החיבור בפועל.
   5. אכיפת מדיניות ניתוק יזום של חיבורים לא פעילים לאחר זמן מוגדר
   6. חסימת אפשרות לחיבור התקן אחסון חיצוני למחשב שמתחבר למערכות הארגון
   7. חסימת גלישה לחלוטין כאשר המשתמש מחובר לרשת הארגונית או לחליפין לאפשר חיבור למקורות תחת פיקוח מערכות המידע של הארגון.
   8. אכיפת אבטחה של מחשב ביתי שמתחבר למערכות הארגון לרבות עדכוני אבטחה של מערכת הפעלה נתמכת, הפעלה וניטור אנטי וירוס בתוקף וכד'
   9. אבטחת הרשת הביתית של העובד באמצעות פרוטוקול הצפנה מירבי של רשת אלחוטית.
   10. בקרה על תוכנות אשר מותקנות על המחשב, עדכונן והכרת הסיכונים הכרוכים בעת שימוש בהן
   11. העברת מידע על גבי רשתות לא מאובטחות וחינמיות שאינן מנוהלות על ידי הארגון לרבות אפליקציית WHATSAPP ו-ZOOM אשר מסכנות את המידע המועבר בהן
   12. מודעות לניסיונות הונאה ודיוג (FISHING) של משתמשים:  העברת דפי מסר להעלאת המודעות לנושא באופן קבוע כנוהל עבודה מוגדר.
   13. הגברת המודעות הכללית באופי העבודה מרחוק וסיכוניו בחוזר מנכ"ל לעובדים