Компании одна за другой задумываются об организации постпандемийного рабочего режима для своих сотрудников. Хотя во многих организациях окончательного решения на этот счет еще не принято, даже частичный выход с «удаленки» требует от IT-отделов и отделов информационной безопасности определенных действий.
Переходить на работу из дома было тяжело, но, как ни парадоксально, возвращение в офис может оказаться ничуть не легче. Компаниям придется откатить некоторые изменения, что по сложности будет сравнимо с их внедрением. Необходимо будет повторно убедиться в безопасности внутренних сервисов и обеспечить сотрудников удобными инструментами (теми, к которым они привыкли за время карантина, или разумными аналогами). Потребуется учесть множество деталей. Чтобы помочь компаниям расставить приоритеты, мы составили рекомендации, касающиеся корпоративной кибербезопасности.
1. Сохраните временные решения по обеспечению кибербезопасности, сопровождавшие удаленную работу
Чтобы защищать корпоративную инфраструктуру при массовой удаленной работе, компании, скорее всего, прибегали к дополнительным защитным мерам: внедряли дополнительные проверки, организовывали централизованное управление установкой исправлений на удаленные компьютеры, настраивали VPN-соединение, организовывали тренинги по кибербезопасности. Агенты обнаружения и реагирования на удаленных устройствах играли важную роль, заполняя появившиеся пробелы в системах безопасности периметра.
Эти практики следует перенести и на гибридный режим работы, когда сотрудники часто перемещаются между домом и офисом или ездят в командировки. Настройка на конечных устройствах VPN, EDR-решений и IDS-систем гарантирует сотрудникам компании защиту независимо от места их работы.
2. Верните инструменты контроля безопасности, отключенные на период удаленной работы
Так как сотрудникам нужно удаленно подключаться к корпоративной сети, в том числе с личных устройств, организации могут решить ослабить или вовсе отключить некоторые инструменты безопасности, такие как контроль доступа в сеть (NAC). Прежде чем дать устройствам доступ к корпоративной сети, NAC проверяет их на соответствие внутренним требованиям. Если компьютер работает с устаревшей защитой от вредоносного ПО или имеет другие несоответствия, NAC запретит ему доступ, пока проблемы не будут устранены.
Когда сотрудники вернутся в офис и начнут подключаться к корпоративной сети, NAC необходимо будет снова включить, чтобы защитить внутренние системы от возможных рисков. Однако компьютеры работали в удаленном режиме почти 18 месяцев, и на них может недоставать некоторых обновлений. Включение NAC одновременно для десятков, сотен машин может привести к лавине ошибок. Поэтому вместо автоматического возобновления работы NAC некоторым организациям придется настраивать его заново — пошагово и отдельно для небольших групп сотрудников.
Компаниям нужно быть готовыми к таким сложностям и иметь план, учитывающий доступные ресурсы, сроки, необходимость установки патчей и, может быть, даже помощи со стороны IT-интеграторов.
3. Обновите внутренние системы
Не забудьте проверить внутренние критически важные службы. Если на какие-то серверы не установлены исправления, отдел информационной безопасности должен знать об этом до того, как двери офиса откроются для потока сотрудников.
Когда мы сидели на своих рабочих местах в офисах, наши компьютеры были постоянно подключены к корпоративной сети и круглосуточно находились под защитой и контролем политик безопасности. Соответственно, риск проникновения эксплойта в сеть и вероятность компрометации уязвимых серверов были ниже.
Теперь представьте, что все сотрудники вернулись в офис одновременно и подключили свои ноутбуки к корпоративной сети, в которой есть контроллер домена без новых исправлений, отвечающий за все учетные записи пользователей. Если среди сотен устройств есть скомпрометированные, то, обнаружив уязвимый контроллер, злоумышленники смогут получить доступ ко всем учетным данным и паролям сотрудников. Хорошо, если отдел информационной безопасности быстро обнаружит проблему, но в этом случае на него ляжет дополнительная работа по оперативной реорганизации сети и смене всех паролей.
4. Будьте готовы как экономить, так и тратить
Возвращая сотрудников в офис, работодатели экономят свои средства. Например, чтобы позволить большей части сотрудников работать из дома, «Лаборатория Касперского» увеличила количество VPN-туннелей с 1000 до 5000–8000. Вероятно, эта статья расходов сократится, когда люди вернутся на рабочие места, ведь необходимости в таком количестве VPN-лицензий уже не будет.
Аналогичным образом компании могут сократить количество облачных решений, оплачиваемых по подписке, таких как Slack или Microsoft Teams. В таком числе облачных лицензий необходимости не будет, а некоторые сервисы можно будет вновь внедрить локально. Это же касается и приложений для электронной подписи. Во время карантина они были необходимы, но сейчас их можно совместить с традиционным способом подписания документов (или даже полностью отказаться от них).
Сэкономленные за счет этих изменений средства можно потратить на организацию рабочих станций для совместного использования, чтобы сотрудники могли совмещать работу в офисе с «удаленкой». Концепция использования инфраструктуры виртуальных рабочих столов (VDI) или архитектуры «рабочий стол как услуга (DaaS)» не нова, но, как отмечает Gartner, в пандемию стала встречаться чаще. Когда все рабочие места размещены в облаке и доступны каждому сотруднику с любого устройства, разворачивать, настраивать, защищать виртуальные рабочие столы и управлять ими становится намного легче, чем удаленными компьютерами.
5. Сохраните инструменты и настройки, с которыми ваши сотрудники привыкли работать на удаленке
Работая удаленно, сотрудники освоили новые инструменты для общения и совместной работы — мессенджеры, сервисы для видеоконференций, средства планирования, CRM-системы и т. д. Вероятно, им захочется и дальше пользоваться ими. Как показало одно из наших исследований, благодаря сложившейся ситуации с пандемией 74% работников стали желать более гибких и комфортных условий работы.
Запрещать сотрудникам пользоваться этими новыми инструментами неразумно. Это может спровоцировать разрастание теневых IT — то есть использование приложений по личной инициативе без одобрения IT-отделом. Компаниям нужно быть готовыми либо одобрить новые сервисы, либо предложить альтернативные варианты и объяснить персоналу, почему важно работать с более безопасными решениями. Можно использовать специальные решения, облегчающие управление облачными сервисами, — инструменты обнаружения облачных коммуникаций в составе защитного решения или брокеры безопасного доступа к облачной инфраструктуре, которые позволяют применить к облакам политики безопасности.
Информационная безопасность должна способствовать развитию бизнеса, а не тормозить его. Если игнорировать перемены в привычках персонала, можно испортить его отношение к компании. Предоставив сотрудникам гибкую и удобную рабочую среду, вы повысите привлекательность своей организации в их глазах, а также в глазах будущих соискателей. И наоборот, отказ может привести к неодобрению со стороны сотрудников и общественности, если позиция компании получит огласку. Такое мы видели у Apple, когда работники компании написали открытое письмо в адрес Тима Кука и других руководителей с просьбой «дать отделам ту же автономность в выборе инструментов для удаленной и гибридной работы, какая есть у них в вопросах найма».
Переход на удаленную работу в пандемию стал трудностью, обусловленной форс-мажорной ситуацией. Несмотря на все сложности, это бесценный опыт и серьезный урок на будущее.
Одним из главных уроков пандемии стала важность быстрой трансформации бизнеса и поддержания гибкости IT-инфраструктуры. Руководителям IT-отделов следует не только не запрещать альтернативы, но и самим предлагать их. Продуманное и безопасное возвращение к офисной работе в любом формате поможет компаниям не отставать от трендов и эффективнее выстраивать бизнес-процессы.