Bezpečná IT infrastruktura pro práci z domova. Tipy pro malé a střední firmy

V prosincovém článku jsme uvedli aktuální bezpečnostní trendy, podle nichž firmy investují do ochranných prvků infrastruktury více prostředků a stupeň jejich zabezpečení se zvyšuje. Útočníci se proto častěji zaměřují na koncová zařízení zaměstnanců. Nejzranitelnější jsou pak ta, která se připojují k firemním datům vzdáleně.

Některé společnosti aplikují velmi sofistikované, striktní bezpečnostní metody, které zaměstnance v řadě ohledů limitují. Běžnými bezpečnostními zásadami jsou třeba speciálně vyhrazené prostory pro konkrétní typy úkolů, kontrola zařízení připojujících se do firemní sítě nebo fyzická zařízení potřebná pro vícefaktorové ověření uživatele.

Tyto postupy jsou velmi účinné, ale pro menší podniky příliš nákladné. Malé firmy mnohdy nemají ani pevně nastavené a sepsané procesy pro základní pracovní postupy. Jak tedy v menších podnicích předcházet rizikům a neohrozit firemní data?

Maximální ochrana na úrovni infrastruktury

Mimo budovu firmy jsou značně omezené možnosti, jak udržet kontrolu nad všemi zařízeními, která přistupují do interní sítě, potažmo k podnikovým datům. IT administrátoři ale mohou posílit bezpečnost na úrovni infrastruktury.

• Bezpečné sdílení v cloudu: přesun pracovních nástrojů do cloudu umožní sdílet podklady a materiály, a přitom centrálně spravovat přístupy k nim. Díky tomu má firma jasný přehled o právech jednotlivých uživatelů a může je kdykoliv upravit. Zavedením interního systému pro sdílení dokumentů a kooperaci zaměstnanců se podniky vyhnou využití veřejných, nezabezpečených platforem pro tyto účely. Příkladem takových systémů jsou např. open source nástroje ownCloud nebo Nextcloud, který navíc data šifruje. Známou klasiku představuje licencovaný Microsoft 365.

• Šifrovaný přístup přes VPN: VPN (virtuální privátní síť) šifruje požadavky zaměstnanců pomocí VPN protokolu, prověřuje důvěryhodnost spojení a poskytuje tak zabezpečenou síťovou komunikaci mezi uživatelem a firemními servery, a to i v případě připojení přes veřejnou WiFi síť.
• Segmentace sítě: interní síť je vhodné rozdělit na jednotlivé segmenty pro různá oddělení a účely. Každý segment sítě by měl být zabezpečen firewallem, případně dalším bezpečnostním řešením. Díky tomu je možné vyhradit konkrétní část pro citlivá data, k nimž budou moct přistupovat jen vybraní uživatelé. Celkově pak firma získá mnohem lepší přehled a kontrolu nad svými daty a sníží pravděpodobnost šíření potenciálních hrozeb.
• Aktualizace a záplaty: pravidelné updaty operačního systému, firmware a software. Aktualizace je potřeba koordinovat s aktuálními CVE zranitelnostmi v různých nástrojích (CVE – Common Vulnerabilities and Exposures – je databáze, která eviduje a klasifikuje zranitelnosti).
• Vícefaktorové ověření: posílení bezpečnosti pro přihlášení a ověření uživatele se v některých systémech, třeba ve zmíněném Microsoft 365, dá nastavit centrálně. V ostatních případech lze využít nástroje třetí strany, např. Google Authenticator propojit s open source softwarem GitLab.
• Identity management: správa identit umožňuje firmám sledovat, kdo má přístup k jakým informacím a systémům v rámci firemní sítě. Pomáhá chránit citlivá data, splňovat legislativní a regulatorní požadavky. Identity management rovněž automatizuje procesy spojené s přidělováním, revokací a správou přístupových práv. Jedním z nástrojů identity managementu je právě i vícefaktorová autentizace. Patří tam ale ještě další služby, např. single sign-on (umožňuje uživatelům přistupovat k více systémům pod jednotnými přihlašovacími údaji), identity management system (automatizuje procesy), directory services (slouží hlavně k centralizaci informací o uživatelích a skupinách) atp. V MasterDC pro tyto účely zákazníkům zprovozňujeme a spravujeme třeba systém Active Directory od Microsoft.
• Omezení práv na firemních počítačích: jeden z nejzákladnějších způsobů, jak eliminovat pravděpodobnost malware, je omezení práv na konkrétních zaměstnaneckých zařízení. Uživatel bez administrátorského účtu nemůže sám nic instalovat a musí si vyžádat asistenci správce systému.
• Ochrana proti malware: škodlivý software je distribuován třeba prostřednictvím nevyžádané pošty, stažením z webu nebo pomocí exploitů ve zranitelném software. Firewall, antispam filtr či anti-malwarový software by proto měly být samozřejmou součástí každého zaměstnaneckého zařízení.
• Kvalitní mail server: pokusy o malware nebo phishing se za pomoci dobrého mail serveru podaří odfiltrovat, a tak zaměstnancům ani nepřijdou do schránky. Existují různé technologie pro filtrování elektronické pošty, ty nejznámější najdete v návodu v našem Centru nápovědy.
• Pravidelné zálohy: je to už takový evergreen, ale v rámci bezpečnosti nesmí být opomenut. Jestli je systém záloh správně nastavený se projeví až v praxi, proto by se měla obnova dat ze zálohy testovat a ověřovat, jestli odpovídá potřebám podniku. Zálohovací systém sice na rozdíl od ostatních bodů výše neslouží k prevenci, ale usnadní zotavení firmy po případném kybernetickém útoku.

Informujte zaměstnance o rizicích

V určitém bodě končí i možnosti sebelepší ochrany a bezpečnost firemních dat je v rukou zaměstnanců. Přehled o aktuálních hrozbách a jejich podobách pomáhá zaměstnancům rozpoznat a reagovat na potenciální rizika. Každý člen organizace musí mít na paměti, že pravidelné aktualizace softwaru, který využívají, jsou nezbytné pro zachování kontinuity práce a měly by být provedeny bezodkladně v nejbližším možném termínu. To platí pro operační systém a nástroje počítačů, ale i smartphonů.

Zvýšenou pozornost je potřeba věnovat i videokonferencím. O této problematice jsme už dříve psali v článku Videokonference přes Zoom jako bezpečnostní riziko. Na co si dát pozor?, v němž je i praktický návod, jak zabezpečit videohovory přes Zoom krok za krokem.

Zaměstnanci by se měli vyhnout používání soukromého hardware pro pracovní účely. Důležitý je také formát hesel, případně jejich uchovávání – pár tipů k tématu najdete v článku Správa hesel: jak na bezpečná hesla + 5 tipů na password manager.

Řada zaměstnanců si stále neuvědomuje rozdíl mezi prací v kanceláři a vzdáleným přístupem. Komunikace a osvěta je tedy nejjednodušší způsob prevence. Při spojení s výše uvedenými tipy na zabezpečení infrastruktury mohou menší firmy zajistit ochranu svých dat za přiměřené náklady, aniž by omezovaly pohodlí svých lidí.