この記事は、 Jeff Dawley からの特別な寄稿です。 、創設者、 Cybersecurity Compliance Corporation 。 CVCA Centralにコンテンツを提供することに興味がある場合は、編集チームにお問い合わせください。
そして、3月中旬に、利用可能なデバイスを使用してチームを自宅に送りました。誰もが突然、機密アクセス、オンライン通信標準、およびリソースのある種の構造を設定するためにスクランブルをかけ、仕事の継続性を維持しながら家庭生活をうまくやりくりすることを余儀なくされました。
多くの人がすでにリモート対応になっていますが、さまざまな理由で、私たちの従業員の広い範囲が実際のオフィスの場所に縛られたままでした。
この突然の変化に伴い、または遠隔地での作業状況に対処する場合、組織の資産を保護するために最小限のレベルのサイバーセキュリティを維持する必要がある場所があります。
このサイバーセキュリティコインには2つの側面があります。まず、リモートの従業員を最適にサポートするために、組織自体が準備する必要があります。これには、ポリシーの確立やサポート機能の人員配置から、デバイスの取得と制御までのすべてが含まれます。次に、個々のリソースは、以前は個人のサイバー環境であったものをオフィスレベルのサイバーセキュリティ要件と調整する必要があります。保護されていないホームネットワークに安全なデバイスを接続するだけでは、データは保護されません。
まず、組織側で必要な作業に取り組みましょう。
ステップ1は、教育、認識、コンプライアンスのテストを通じて有害事象の発生を防ぐように設計されたタスクのコレクションです。テクノロジー、プライバシー、データ保護、ソーシャルメディア、および画像の使用に関するポリシーを作成または作成します。理想的には、リモートワーク専用のポリシーによって補完されます。ポリシーを設定することに加えて、クイズやフィッシングシミュレーションが続く定期的なオンライン教育モジュールを実行することで、チームの認識の重要性が強化されます。残念ながら、現在のパンデミックをめぐる混乱と不確実性により、サイバーセキュリティへの関心が低下し、悪意のある人物がシステムとデータを危険にさらす機会が増えています。トレンドマイクロによると、2020年第1四半期末までに、コロナウイルスに関連する907,000を超える既知の悪意のあるスパムメールと、悪意のあるURLへの48,000のヒットがありました。
2つ目は、接続方法、認証、およびデバイス保護に関する一連の技術的決定と関連ドキュメントです。リスクに対するレベルまたは欲求が適切な技術管理で満たされていることを確認してください。リモートアクセスは、トンネリング(VPN)や安全なポータルなどのより安全な方法、またはリスクや機密性の重要性が低いままであるリモートデスクトップアクセスや直接アプリケーションアクセス(追加のセキュリティレイヤーを追加しない)などの安全性の低いオプションを通じて有効にできます。さらに、役割ベースのアクセスでは、個々のユーザーがタスクを完了するために必要なシステムのみにアクセスを制限する必要があります。これを、サインイン時の少なくとも2要素認証、比較的短いタイムアウト期間、および堅牢なパスワードポリシーと組み合わせて、侵害されるリスクを軽減します。より高度な組織の場合、アクセスを許可する前に、デバイスの管理者権限をロックダウンし、デバイスのヘルスチェックを実行できます。デバイスに関しては、職場のネットワークに接続するすべてのエンドポイントを最新のセキュリティパッチと承認されたウイルス保護で更新する必要があります。
そして最後に、ディザスタリカバリと事業継続計画の概念。今までドラフトを作成したことがない場合は、これがチャンスです。主要な職場に物理的にアクセスできない場合に何をする必要があるかについての実際の例があります。現在学んだ教訓は、将来あなたに役立つでしょう。
組織のより広範なサイバーセキュリティのニーズに対応する方法の詳細については、最も理解しやすく実装されているサイバーセキュリティフレームワークの1つであるNISTCSFと呼ばれるサイバーセキュリティフレームワークを参照してください。
組織的な観点からこれらのことを考えるのに十分な挑戦ではなかったかのように、私たちは遠隔地の労働力の実際的で感情的なニーズも考慮する必要があります。自分自身とチームを見つけて、自宅の環境で作業するということは、予期せぬことに、世界的大流行と、家の中の愛する人、子供、その他のデバイスユーザー、ペットとコーヒー、共有の仕事/生活空間などに関する懸念を調整することを意味します。人々が心配したいのは、自分の行動が職場をサイバー攻撃にさらしている可能性があるかどうかです。
あなたとあなたのチームが最も重要なことに気を配ることができるように、サイバーセキュリティに関するいくつかの基本に取り組むのを助ける方法があります。
在宅勤務環境を保護するためのヒントをいくつか紹介します。
テクノロジーの使用、データ保護、プライバシーに関する会社のポリシーを最新の状態に保つようにしてください。これらには、パスワードの複雑さのガイドラインと、サイバー教育およびフィッシング/コンプライアンステストを最新の状態に保つための要件が含まれます。
仕事で使用しているネットワークに接続しているすべてのデバイスを知ることが重要です。また、世帯内の他の人があなたの仕事用デバイスにアクセスできる人を制限または完全に制限する必要があります。
作業用に別のネットワークを実行しますか、それとも作業環境への安全な専用トンネルを実行しますか?複雑なパスワードをお持ちですか?パッチ、セキュリティアップデート、ウイルス対策ソフトウェアで最新の状態を維持する方法を知っていますか?これらの質問のいずれにも答えがない場合は、IT部門またはITサービスプロバイダーに連絡してアドバイスを求める必要があります。
使用しないときはカメラを覆い、ビデオハングアウトを開始する前に、カメラから振り返って、機密情報が表示されていないことを確認してください。理想的には、物理的なロックがあり、会社が承認した技術のみを使用して、個室からそのような通話を行うでしょう。
メールを送信するタイミングと、他の安全なデータ交換方法を使用するタイミングについては、組織のガイダンスに従ってください。また、機密ファイルをローカルマシンに保存することは避けてください。
離れるときはドアをロックし、使用していないときは常にテクノロジーを住居の外から見えないようにしてください。
リモートワークフォースを導入する際に組織のIT環境を保護する方法について説明し、ホームワークスペースでのサイバー攻撃を防ぐために個人ができることについて説明しました。これらのヒントのほとんどの鍵は、単に気づきです。あなたとあなたのチームが潜在的な危険、リスク、および起こりうる攻撃を認識し続けている場合、それらを完全に回避する可能性が高くなります。