Не больше доступа, а надежная защита: что нужно полевым сотрудникам

В этом интервью для Help Net Security Крис Томпсон, директор по информационной безопасности в West Shore Home, обсуждает принцип наименьших привилегий и гигиену учетных данных для сотрудников, работающих на выезде. Он затрагивает вопросы управления доступом, практики аутентификации и процессы оценки рисков данных, которые поддерживают полевых работников. Томпсон также описывает усилия по повышению осведомленности о безопасности и то, как выездные команды интегрированы в общую систему безопасности организации.

Между полевым и офисным сотрудником нет различия с точки зрения принципа наименьших привилегий. Если этот принцип определяется как наличие доступа, необходимого для работы, но не более того, становится ясно, что его основы в значительной степени одинаковы для обеих сред. Отказ от предположения, что полевому работнику нужен доступ ко «всему», чтобы избежать проблем на месте, стал важным шагом.

Основное внимание уделяется обеспечению полевого сотрудника именно тем доступом, который необходим для его работы, при сохранении мер защиты от предоставления избыточных прав. Понимание того, где будет находиться сотрудник и к каким данным ему потребуется доступ, позволяет создавать соответствующие роли в системах идентификации и данных для поддержки его работы, а также простой процесс обращения за помощью в случае возникновения проблем.

Традиционная модель поддержки полевых работников часто допускала использование общих учетных записей с паролями, которые никогда не менялись. Идея заключалась в том, чтобы вход в систему был быстрым, легким и максимально беспрепятственным для сотрудника. Однако в современных условиях такие угрозы, как программы-вымогатели, делают подобный подход к управлению учетными записями неприемлемым. Вместо общих доступов полевые работники получают индивидуальные учетные записи, а для их защиты используется многофакторная аутентификация.

Переход от восприятия общих учетных записей как допустимых к их полному запрету, вероятно, является самым значительным изменением за последние годы, когда полевые сотрудники могли работать с более низким уровнем безопасности ради удобства. Технологии, реализующие MFA, стали проще в использовании и получили широкое распространение. Теперь не существует различий между полевыми и корпоративными сотрудниками в вопросах безопасности учетных записей.

Программа кибербезопасности и сопутствующие риски регулярно обсуждаются с главным техническим директором и главным директором по комплаенсу и рискам дважды в месяц. Эти обсуждения сосредоточены на технологических рисках и рисках, связанных с данными, а также на мерах по их снижению. Темы варьируются от технических вопросов до юридических и регуляторных требований. Эти встречи помогают обеспечить концентрацию на правильных, стратегически важных проблемах и постоянный прогресс в их решении.

Помимо обсуждений на уровне руководства, команда кибербезопасности постоянно взаимодействует с техническими специалистами, которые создают и поддерживают нашу инфраструктуру. Цель этих дискуссий — рассмотрение рисков технической конфигурации на тактическом уровне и проектирование с последующей реализацией необходимых мер защиты. Ключевой вывод заключается в том, что этот процесс непрерывен. Мы сосредотачиваемся на снижении рисков каждый день и каждую неделю, а не ежеквартально или ежегодно, как это могло работать в более старых, традиционных системах управления рисками.

Это отличный вопрос. На бумаге программы повышения осведомленности о безопасности могут выглядеть очень похожими для полевых и офисных сотрудников, но в реальности у работников в поле часто нет возможности ознакомиться с учебными материалами. Это чисто логистическая проблема, поскольку они не так часто находятся в сети, как офисные работники, сидящие за клавиатурой весь день.

Было обнаружено, что проще всего донести информацию до полевых работников во время ежедневных «пятиминуток по технике безопасности», которые проводятся перед выездом со склада. Это создает возможность выделить наиболее значимые киберриски, с которыми они могут столкнуться, и дать практические рекомендации о том, как их избежать или сообщить о проблемах. Периодически включая темы безопасности в эти обсуждения, можно донести актуальную информацию быстро и гораздо эффективнее, чем с помощью ссылок на обучение по электронной почте.

Мы — компания, которая стремится использовать технологии на каждом этапе, и это касается и наших полевых работников. Понимание и использование технологий необходимо им для успешного выполнения своих обязанностей, поэтому проще установить связь между технологиями, которые они используют, потенциальными рисками, с которыми они сталкиваются, и тем, как они могут защитить компанию при использовании технологий.

Мне кажется, гораздо сложнее убедить в этой связи полевых сотрудников, которые вообще не работают с технологиями. Наша цель — создать культуру, в которой безопасность станет естественной частью рабочего процесса. Отказываясь от общих универсальных аккаунтов, внедряя современные средства защиты, такие как Многофакторная Аутентификация (MFA), и вовлекая всех в программу обучения, мы стремимся установить эту связь и сделать её неотъемлемой частью нашего повседневного опыта.