Колонки Олександр Атаманенко
  1943  0

Перехід на віддалену роботу. Що треба врахувати з точки зору ІТ та інформаційної безпеки?

Тисячі підприємств вводять віддалений режим роботи для своїх співробітників. Керівники бізнесу та відповідальні за ІТ та інформаційну безпеку мають розробити та дотримуватись окремого плану дій. Деякі наші поради до такого плану.

Європа та Україна запроваджують надзвичайні заходи для стримування епідемії COVID-19. В зв'язку с карантином, тисячі підприємств вводять віддалений режим роботи для своїх співробітників.

В цей момент ІТ інфраструктура стає однією з критичних ланок, що забезпечує таку роботу. Керівники бізнесу та відповідальні за ІТ та інформаційну безпеку мають розробити та дотримуватись окремого плану дій, що забезпечує безперервність функціювання. Деякі наші поради до такого плану.

Системні адміністратори, облікові дані привілейованих користувачів, документація на корпоративну мережу

Якщо один системний адміністратор з якихось причин втратить зв'язок з мережею, не буде мати фізичного доступу до інфраструктури із-за обмежувальних заходів чи захворіє, ви маєте ризик втрати керованості вашої ІТ-інфраструктури та ризик повної втрати ваших даних в ній. Тому:

  • Має бути декілька системних адміністраторів, що мають достатні адміністративні привілеї на ІТ-Інфраструктурі. У разі потреби підсилення команди – проводьте прямо зараз експрес-навчання молодшого технічного персоналу, чи беріть додаткових адміністраторів на аутсорс
  • Всі специфічні адміністративні паролі зараз має сенс зібрати до однієї шифрованої бази паролів. Я рекомендую безкоштовні шифровані бази KeePass. До яких є гарні клієнти KepassXC під Windows, MacOS, Linux. Keepass2Android для Андроїду. StrongBox для IOS
  • Доступ до такої бази повинен бути у всіх адміністраторів, керівника ІТ та за потреби у керівника бізнесу. Серед недоліків бази типу Keepass – всі бачать все та єдиний пароль на базу. Тому таке рішення допустиме лише на особливий період, лише серед довірених осіб, та після завершення особливого періоду всі паролі в інфраструктурі потрібно буде змінити.
  • Пароль бази має бути сильним! Всім користувачам цього паролю варто зберігати його у власних шифрованих парольних базах чи іншим способом, що унеможливлює доступ до такого паролю сторонніх осіб
  • Копія шифрованої бази з паролями повинна бути доступна у віддаленому режимі. Якщо у вашій організації не має власного мережевого сховища з такими властивостями, можна скористатися хмарними сервісами типу Google Drive чи Microsoft One Drive. За умови сильного паролю на базу (не менш 14-16 символів, не словарне слово), це досить безпечно
  • Керівникам доцільно мати власну офлайнову копію такої бази
  • І ще раз: ці заходи спрямовані на резервування людей та зниження ризику втрати керованості іт-інфраструктурою. Тому після закінчення особливого періоду, всі паролі доцільно змінити та повернутися до звичайних практик керування привілейованими акаунтами.

Окрім системних адміністраторів у вас також можуть бути інші категорії привілейованих користувачів: адміністратори баз даних та бізнес-додатків, наприклад. До їх акаунтів доцільно застосувати ті ж самі заходи з резервування облікових даних, що і до системних адміністраторів.

Важливо мати хоч якусь документацію на іт-інфраструктуру не тільки в головах адміністраторів чи привілейованих користувачів. Тому що реверс-інженерінг існуючої інфраструктури може бути дуже складним та довгим процесом. Якщо її не має, нехай хоч "від руки на папері", але ваші співробітники задокументують прямо зараз

  • Перелік критичних серверів і сервісів, їх ip-адреси (частково таку інформацію можна ввести і до бази паролів keepass)
  • Перелік ip-мереж, vlan-ів, схему мережі
  • Де зберігаються бекапи та як ними скористатися
  • Як контролюються та підтримуються засоби інфраструктурні засоби безперервної роботи (UPS, кондиціювання, дизель-генератори)
  • інше

Ця документація повинна бути вам доступна, навіть якщо ви втратите доступ до інфраструктури. Тобто тримайте власну офлайнову копію.

Альтернативні комунікації

Багато організації користуються централізованою електронною поштою та глобальною адресною книгою, де зберігаються різні контактні данні, включаючи мобільні телефони співробітників. Але уявіть, що ви втратили доступ до такої пошти та адресної книги? Тому

  • Мобільні телефони та інші контактні дані всіх необхідних вам ключових співробітників треба прямо зараз імпортувати до свого мобільного телефону
  • Домовитись про альтернативні засоби комунікації, що не залежать від інфраструктури вашої компанії. Наприклад, завести групу в Viber чи WatsUp

Віддалений доступ та засоби групової роботи

Щоб віддалена робота залишалась ефективною, централізовано оберіть які засобі для групової роботи ви будете використовувати. Підготуйте та розішліть на працівників короткі інструкції (на пів сторінки, більше ніхто не читає). Ми, наприклад, користуємося:

  • Cisco Webex для телеконференцій. Наш партнер компанія Мегатрейд може допомогти отримати ліцензії на цей сервіс на привабливих умовах.
  • Microsoft Office365 Teams+Sharepoint Online. Досить вдале поєднання чатів, кан-бан дошок для планування, загального сховища документів та інше

І є багато інших іт-засобів групової роботи: slack, skype/skype4business, trello, jira, інше.

Потурбуйтесь як саме отримають віддалений доступ ваші співробітники. З яких пристроїв вони будуть працювати з дому. Підготуйте та розішліть інструкції на ваших співробітників.

  • Вирішить кому саме потрібен віддалений доступ. Усунення дублюючих функцій чи процесів, яким не треба віддалений доступ, може знизити навантаження на інфраструктуру та службу іт-підтримки.
    Наприклад, в нашій групі компаній є Nota Group, яка забезпечує життєдіяльність бізнесів завдяки аутсорсінгу функцій бек-офісу (до речі, зараз вони також безкоштовно консультують СМБ з юридичних, бухгалтерських та кадрових питань). Ми забезпечили віддаленим доступом їх і значно перерозподілили навантаження з бек-офісів інших наших компаній.
  • VPN доступ. Якщо у вас його все ще немає, то можна скористатися такими рішеннями: vpn-клієнт Cisco AnyConnect (зараз надаються безкоштовні ліцензії на 90 діб) та віртуальний firewall Cisco ASAv10 чи ASAv30 (зараз надаються дуже великі знижки), який можна розгорнути на будь якому сервері, якщо апаратного firewall у вас ще досі не було. Чи скористатися особливою пропозицією на продукти APM від F5 Network. З отриманням та розгортанням цих рішень вам може допомогти, наприклад, компанія ІТ-Інтегратор.
  • Пам'ятайте про важливість включення двохфакторної автентифікацію скрізь де це можливо: VPN, Office365, аккаунти Google, інше. До VPN від Cisco, наприклад, двохфакторну автентифікацію легко підключити за допомогою рішень Cisco DUO (також зараз є особливі умови), Microsoft Azure MFA.
  • Вам може не вистачити корпоративних ноутбуків, а політиками чи регламентуючими законами може бути заборонений доступ до всіх ресурсів внутрішньої мережі з домашніх ПК працівників. В такому разі можна організувати в мережі проміжний сервер, через який допускати таких користувачів, вживаючи на такому сервері додаткових заходів з фільтрації та обмеження
    Ми у цій ситуації за допомогою ІТ-Інтегратор дуже швидко розгорнули VDI систему VmWare Horizon. Яка дозволила організувати роботу з домашніх ПК та навіть планшетів, не порушуючи при цьому політики інформаційної безпеки

Бекапи

Якщо ви ще не маєте бекапів – зробіть їх прямо зараз. Бекапуйте все критичне: данні інформаційних систем, конфігурацію мережевого обладнання, конфігурацію серверів та систем зберігання, таке інше.

Користуйтеся правилом 3-2-1

  • Три резервні копії
  • Які повинні бути збережені у двох різних форматах зберігання
  • Причому одна з копій повинна бути передана на зберігання за межі офісу

Інженерне забезпечення інфраструктури

  • Ваші дизель-генератори повинні бути заправлені
  • Кондиціювання ввімкнене, в тому числі резервні кондиціонери
  • Треба призначити людину, що знаходиться у піший доступності від вашої серверної, яка у разі потреби може виконати необхідну ручну роботу
    • Перезапустити якесь обладнання по електроживленню
    • Долити паливо до дизель-генератору
    • Змінити диск в системі зберігання у разі виходу його із ладу
    • Інше
  • Потурбуйтесь про моніторінг вашої інфраструктури, щоб своєчасно відреагувати на критичні події. Якщо ви не маєте власних ресурсів, зверніться до зовнішніх організацій. Наприклад, в компанії Октава і в цей час продовжує функціювання Security Operation Center, який може інформувати як о подіях безпеки у вашій мережі, так і моніторити інфраструктурні речі.

Операційна діяльність

Віддалена робота – це не відпустка. І віддалена робота не повинна перетворюватись на хаос. Тому,

  • Керівник ІТ / інформаційної безпеки повинен і далі ставити своїм підлеглим чіткі задачі та контролювати їх виконання
  • Системні адміністратори і далі повинні виконувати свою регулярну роботу згідно регламентів та чек-листів. Наприклад, робити патч-менеджмент серверів, контролювати виконання бекапів за розкладом, реагувати на дані моніторингу та інциденти інформаційної безпеки
  • Віддалена робота – не причина відміняти політики з інформаційної безпеки. Їх треба адаптувати під поточну ситуацію, але пам'ятайте, що зловмисники зараз можуть підвищити свою активність
  • Антифішингова гігієна надважлива. Зараз під виглядом важливих новин може бути дуже багато спроб за допомогою фішингу отримати ваші облікові данні до різних сервісів
  • Мати засоби антивірусного захисту, особливо домашніх ПК співробітників, з яких вони вимушені вести віддалену роботу. Зараз є засоби с помісячною підпискою. Ми, наприклад, частині своїх користувачів з домашніми ПК встановили сервіси від CyberBox, що базуються на партнерських продуктах ESET.
  • Двохфакторна автентифікація всюди де можливо

Бажаю всім спокійно та без втрат пережити цей не дуже простий період.

Комментировать
Сортировать:
в виде дерева
по дате
по имени пользователя
по рейтингу
 
 
 
 
 
 вверх