Τον τελευταίο διάστημα, γίναμε όλοι μάρτυρες μιας ραγδαίας και ταχύτατης μεταστροφής στο μας εργασιακό περιβάλλον και στις σχετικές με αυτό συνθήκες. Η πλειοψηφία των επαγγελματιών, όπου αυτό είναι εφικτό, στράφηκαν σε καθεστώς απομακρυσμένης εργασίας από το σπίτι, προσπαθώντας να συμμετάσχουν στην παγκόσμια προσπάθεια καταπολέμησης της εξάπλωσης του κορωνοϊού.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Η συγκεκριμένη μεταστροφή, εξανάγκασε την μεγάλη πλειοψηφία των επιχειρήσεων να σχεδιάσουν και να υλοποιήσουν ταχύτατα, θα λέγαμε σε συνθήκες κατεπείγοντος, τους απαραίτητους εκείνους μηχανισμούς που θα καθιστούσαν εφικτή την απομακρυσμένη εργασία για το προσωπικό τους, έτσι ώστε να μπορούν να συνεχίσουν τις καθημερινές επιχειρηματικές τους δραστηριότητες στα πλαίσια της ανάγκης για ιατρική απομόνωση του πληθυσμού και τις αντίστοιχες συμβουλές για τον περιορισμό της κυκλοφορίας ανθρώπων σε όλη τη χώρα
Η αλλαγή αυτή του εργασιακού μοντέλου, είναι γεγονός ότι έχει δημιουργήσει πρόσθετες ανησυχίες στους επαγγελματίες του χώρου σχετικά με την ασφάλεια των δεδομένων και τις πιθανές επιπτώσεις στον συνολικό βαθμό κυβερνοσφάλειας των οργανισμών, κυρίως λόγο των συνθηκών όπου αυτή πραγματώθηκε.
Αναδυόμενες προκλήσεις
Είναι γεγονός, ότι για την μεταστροφή του εργασιακού μοντέλου και την διευκόλυνση της απομακρυσμένης εργασίας, είναι απαραίτητες ορισμένες μεγάλου εύρους αλλαγές και τροποποιήσεις στις διαδικασίες λειτουργίας του οργανισμού. Νέοι κανόνες και πολιτικές πρέπει να συνταχθούν ταχύτατα και να εγκριθούν από την διοίκηση του οργανισμού σε στενά χρονικά πλαίσια.
Στα πλαίσια των κανόνων και πολιτικών, περιλαμβάνονται ως δικλείδες ασφάλειας μηχανισμοί ελέγχου και αποτροπής, ώστε να εξασφαλιστεί η μείωση ή η εξάλειψη των λειτουργιών πληροφορικής που θα μπορούσαν να επιτρέψουν τη διαρροή δεδομένων εμπιστευτικών δεδομένων και να προκαλέσουν παραβίαση της νομοθεσίας για την προστασία δεδομένων, όπως ο GDPR. Σε αυτές τις ασφυκτικές συνθήκες όμως, πολλές τέτοιες δικλείδες ασφάλειας είναι πιθανό να παραλειφθούν, ή να υποτιμηθούν.
Αν επιπρόσθετα, ο οργανισμός δεν έχει αυξημένο βαθμό ωριμότητας σχετικά με τον σχεδιασμό και την αποτελεσματική χρήση συστημάτων πληροφορικής, τότε η διοίκηση του οργανισμού είναι περισσότερο απαραίτητο από ποτέ να γνωρίζει τους σημαντικούς και νέους κινδύνους που επιφέρει η απομακρυσμένη εργασία.
Απομακρυσμένη εργασία και διαρροή δεδομένων
Ο πρώτος από τους κύριους και βασικούς κινδύνους της απομακρυσμένης εργασίας είναι ο αυξημένος κίνδυνος διαρροής δεδομένων των οργανισμών.
Τα εργαλεία απομακρυσμένης εργασίας που θα κληθεί να υιοθετήσει η πλειοψηφία των οργανισμών, εκ του σχεδιασμού τους, παρακάμπτουν την πλειοψηφία των εσωτερικών σημείων και μηχανισμών ελέγχου που είναι σχεδιασμένοι να αποτρέπουν την απώλεια δεδομένων επιτρέποντας την κοινή χρήση απομακρυσμένου εκτυπωτή, αρχείων απομακρυσμένης επιφάνειας εργασίας και τις απομακρυσμένες συνδέσεις USB, λειτουργίες που μπορεί να χρησιμοποιηθούν για την παράκαμψη των μηχανισμών ελέγχου πληροφορικής που ισχύουν για την προστασία δεδομένων.
Όταν οι υπάλληλοι εργάζονται εξ αποστάσεως, βγαίνουν έξω από το κανονικό καθημερινό περιβάλλον γραφείου, το οποίο από μόνο του αποτρέπει πολλές επικίνδυνες και επιβλαβείς συμπεριφορές. Στο γραφείο, οι εργαζόμενοι θα παρατηρηθούν να κάνουν κάτι παράλογο, όπως να φέρουν μια εξωτερική μονάδα USB και να τη συνδέσουν σε έναν υπολογιστή γραφείου ή να προσθέσουν έναν άλλο εκτυπωτή στο δίκτυο γραφείων και να εκτυπώσουν πολλά έγγραφα της εταιρείας. Δεν έχει σημασία αν το κίνητρο είναι μια καλόβουλη επιθυμία να επιτευχθεί απλώς μια εργασία πιο γρήγορα ή αν έχει κακόβουλα κίνητρα αποσκοπώντας στην υποκλοπή δεδομένων του οργανισμού. Το τελικό αποτέλεσμα είναι το ίδιο, με μεγάλη πιθανότητα διαρροής δεδομένων και σημαντικό κίνδυνο παραβίασης της νομοθεσίας του GDPR.
Απομακρυσμένη εργασία και συνδεσιμότητα
Ο δεύτερος κύριος κίνδυνος αφορά την συνδεσιμότητα των εργαζόμενων.
Η απομακρυσμένη εργασία αυξάνουν εκθετικά τον φόρτο στις διαδικτυακές συνδέσεις. Το τυπικό επιχειρηματικό «πακέτο ευρυζωνικών υπηρεσιών» που παρέχει συνδεσιμότητα στο Διαδίκτυο στα γραφεία ενός οργανισμού είναι σπάνιο να έχει την δυνατότητα προσφοράς ικανοποιητικής χωρητικότητας για οτιδήποτε περισσότερο από μερικές ταυτόχρονες συνεδρίες απομακρυσμένες εργασίας. Συνήθως οι συνδέσεις αυτές, χαρακτηρίζονται από πολύ μεγαλύτερη χωρητικότητα για εισερχόμενα δεδομένα από ό, τι για εξερχόμενα δεδομένα.
Σε κανονικές συνθήκες, αυτό είναι θετικό, διότι σε μια κανονική εργάσιμη ημέρα το μεγαλύτερο μέρος της κίνησης δεδομένων αποτελείται από εισερχόμενη κίνηση. Η ενεργοποίηση της δυνατότητας απομακρυσμένης εργασίας, όμως, έχει σαν αποτέλεσμα την αντιστροφή των χαρακτηριστικών της διαδικτυακής κίνησης, αυξάνοντας την ανάγκη για χωρητικότητα εξερχόμενων δεδομένων.
Ως αποτέλεσμα, είναι επιτακτική ανάγκη να καθοριστούν οι μετρικές εκείνες που θα δώσουν την δυνατότητα στον οργανισμό να προσδιορίσει τον ακριβή αριθμό των υπαλλήλων που μπορούν, υπό τις παρούσες συνθήκες που τα χαρακτηριστικά των υποδομών επιτρέπουν, να εργαστούν απομακρυσμένα, καθώς και να καθορίσουν τους ρόλους εκείνους, για τους οποίους η απομακρυσμένη εργασία είναι αναγκαία, άρα έχουν προτεραιότητα σε ένα σενάριο απομακρυσμένης εργασίας.
Απομακρυσμένη εργασία και ασφάλεια πληροφοριών
Η απομακρυσμένη εργασία, όχι μόνο επιβαρύνει σημαντικά το δίκτυο του οργανισμού, όπως είδαμε παραπάνω, αλλά αποτελεί σημαντικό παράγοντα ανασχεδιασμού των μέτρων προστασίας στους μηχανισμούς περιμετρικής ασφάλειας των οργανισμών (firewalls), καθώς υπάρχει ξεκάθαρη ανάγκη παροχής συνδεσιμότητας εισερχόμενης κίνησης για απομακρυσμένη εργασία.
Είναι επίσης πιθανό, να υπάρξει ανάγκη να επιτρέπεται στους υπαλλήλους να συνδέονται εξ αποστάσεως στο δίκτυο του οργανισμού, από τους προσωπικούς τους οικιακούς υπολογιστές. Αυτό το σενάριο παρουσιάζει σημαντικά προβλήματα ασφάλειας, καθώς οι προσωπικοί υπολογιστές δεν βρίσκονται υπό την διαχείριση του οργανισμού και ενδέχεται να αποτελούν φορείς κακόβουλου λογισμικού ή άλλου κακόβουλου περιεχομένου. Επιπρόσθετα, το οικιακό δικτυακό περιβάλλον, επίσης έξω από την διαχείριση του οργανισμού, είναι πιθανό να χρησιμοποιείται από συσκευές οι οποίες δεν ακολουθούν τα πρότυπα ασφάλειας του οργανισμού (παραδείγματα τέτοιων συσκευών αποτελούν οι «έξυπνες» τηλεοράσεις, tablet και κινητά τηλέφωνα, «έξυπνοι» προσωπικοί βοηθοί – Siri, Alexa, Google Home κ.α.), αποτελώντας μια εκ των πραγμάτων πηγή κινδύνων.
Στην περίπτωση που ληφθεί η απόφαση από την διοίκηση του οργανισμού για την χρήση προσωπικών υπολογιστών, τότε πρέπει να δοθεί αυξημένη προσοχή και να ληφθούν πρόσθετα μέτρα ασφάλειας, λόγω της πιθανότητας μετάδοσης ransomware στο δίκτυο του οργανισμού, επιφέροντας την απώλεια δεδομένων.
Επιπρόσθετα, είναι αναπόφευκτο το γεγονός, ότι η παροχή δυνατότητας απομακρυσμένης πρόσβασης / εργασίας σε εξουσιοδοτημένους υπάλληλους, μπορεί κάποιες φορές να αξιοποιηθεί από κακόβουλους χρήστες. Για τον λόγο αυτό, υπάρχει η ανάγκη αυξημένων μέτρων παρακολούθησης και προστασίας των απομακρυσμένων συνδέσεων για να μειωθεί ο κίνδυνος περιστατικών ασφάλειας στον οργανισμό.
Απομακρυσμένη εργασία και διαχείριση των προσδοκιών
Ο όρος «απομακρυσμένη εργασία», μπορεί στα αυτιά κάποιων να φαίνεται απλός, καλύπτει όμως μια τεράστια ομπρέλα τεχνικών ζητημάτων και επιχειρηματικών κινδύνων.
Πολλές φορές, ως επαγγελματίες ασφάλειας ερχόμαστε στην δύσκολη θέση να εξηγήσουμε στην διοίκηση του οργανισμού ότι η παροχή της δυνατότητας αυτής είναι περισσότερο πολύπλοκη από όσο φαίνεται με την πρώτη ματιά, και ότι δεν είναι δυνατόν χωρίς επιπλέον δαπάνες και επιπλέον διαδικασίες να διατηρούνται ασφαλείς οι λειτουργίες πληροφορικής του οργανισμού.
Υπάρχουν διάφοροι τρόποι για να επιτευχθεί απομακρυσμένη εργασία. Κάθε οργανισμός πρέπει να αξιολογήσει το δικό του επίπεδο αποδεκτού κινδύνου, να αποφασίσει ποιες είναι οι απαραίτητες δαπάνες και ποια μέτρα προστασίας, καθώς και άλλες οργανωτικές και τεχνικές διασφαλίσεις πρέπει να εφαρμοστούν.
Απομακρυσμένη εργασία και άλλες προκλήσεις
Παρά τις τεχνολογικές εξελίξεις που προσφέρουν η υπολογιστική νέφους και οι συναφείς λύσεις, ακρογωνιαίος παράγοντας της δυνατότητας απομακρυσμένης εργασίας και το πρώτο βήμα ασφαλούς απομακρυσμένης πρόσβασης αποτελεί το δοκιμασμένο VPN από τον φορητό υπολογιστή, tablet ή κινητή συσκευή κάθε υπαλλήλου προς ένα εταιρικό δίκτυο. Ενώ οι συνδέσεις αυτές VPN παρέχουν έλεγχο και ασφάλεια μέσω κρυπτογράφησης, η ξαφνική και συνεχής αύξηση των συνδέσεων VPN λόγω απομακρυσμένης εργασίας θα δοκιμάσει τις αντοχές των σχετικών υποδομών των οργανισμών, και σε ορισμένες περιπτώσεις μπορεί να αποτελέσει τροχοπέδη στην αποδοτική απομακρυσμένη εργασία.
Επιπρόσθετα, η αποδοτική, βιώσιμη και παραγωγική απομακρυσμένη εργασία, είναι πιθανό να επιφέρει αυξημένο φορτίο σε εταιρικές εφαρμογές, συμπεριλαμβανομένων των εφαρμογών CRM, HR και επικοινωνίας / συνεργασίας. Εάν οι εγκεκριμένες (ή προτεινόμενες) εφαρμογές των εργαζομένων σε καθεστώς απομακρυσμένης εργασίας δεν ανταποκρίνονται άμεσα – με τον τρόπο που έχουν συνηθίσει εργαζόμενοι στο γραφείο – είναι σίγουρο στοίχημα ότι θα δημιουργήσουν νέους (μη εγκεκριμένους) τρόπους απομακρυσμένης εργασίας, αποτελώντας έναν πρόσθετο πονοκέφαλο στους ειδικούς ασφάλειας του οργανισμού.
Τέλος, ενώ μερικοί υπάλληλοι έχουν στο παρελθόν απολαύσει τη δυνατότητα απομακρυσμένης εργασίας και έχουν την σχετική εμπειρία, η πλειοψηφία του δυναμικού των οργανισμών δεν έχουν εργαστεί ποτέ εξ’ αποστάσεως. Ως εκ τούτου, ενδέχεται να μην είναι εξοικειωμένοι με την τήρηση των βέλτιστων πρακτικών και πολιτικών ασφάλειας, με προφανή επίπτωση στο επίπεδο ασφάλειας των δεδομένων του οργανισμού.
Οργανωτικές και τεχνολογικές προσεγγίσεις
Κάποιοι οργανισμοί είχαν ήδη υιοθετήσει πολιτικές απομακρυσμένης εργασίας που υποστήριζε τους εργαζόμενους που εξ ανάγκης εργαζόταν απομακρυσμένα. Όμως, η ανάγκη ανταπόκρισης στις νέες συνθήκες που επέφερε η επιδημία του κορανοϊού ανάγκασε τους οργανισμούς να επανεκτιμήσουν αυτές τις πολιτικές.
Η πραγματικότητα είναι ότι, για την πλειοψηφία των οργανισμών, η πολιτικές δεν συμβαδίζουν με τις τεχνολογικές δυνατότητες, και σε αυτό το πλαίσιο η ξαφνική απαίτηση για αύξηση του βαθμού της απομακρυσμένης εργασίας δοκιμάζει τους οργανισμούς, καθώς η υποδομή που απαιτείται για την υποστήριξη απομακρυσμένης εργασίας για μεγάλο μέρος του δυναμικού του οργανισμού, δεν είναι ισοδύναμη με την τεχνολογική υποδομή των γραφείων.
Αλλά πώς μπορούν να γνωρίζουν οι οργανισμοί ότι είναι επαρκώς προετοιμασμένοι; Ποιες υπηρεσίες μπορεί να χρειαστούν για να διατηρήσουν ένα παραγωγικό απομακρυσμένο εργατικό δυναμικό; Πού είναι τα πιθανά σημεία αυξημένου φόρτου του δικτύου; Είναι μια περίπλοκη εικόνα, επειδή πολλά μέρη είναι αλληλένδετα.
Σε κάθε περίπτωση, οι οργανισμοί που επιθυμούν να αναθεωρήσουν τις πολιτικές απομακρυσμένης εργασίας, με την ευκαιρία (ή εξ ανάγκης) της επιδημίας του κορανοϊού θα πρέπει να ξεκινήσουν με τα βασικά, παρέχοντας ασφαλείς απομακρυσμένες συνδέσεις VPN για να δώσουν στους υπαλλήλους πρόσβαση στο δίκτυο και τις εφαρμογές του οργανισμού, καθώς επίσης να αξιολογήσουν το περιεχόμενο και τα εργαλεία συνεργασίας για την υποστήριξη εσωτερικής και εξωτερικής επικοινωνίας.
Σύνδεση VPN και στρατηγική απομακρυσμένης πρόσβασης
Όπως φάνηκε ξεκάθαρα, μια από τις σημαντικές προκλήσεις της απομακρυσμένης εργασίας είναι η δυνατότητα συνδεσιμότητας και ασφαλών απομακρυσμένων συνδέσεων, η οποία να μπορεί να υποστηρίξει το σύνολο των εργαζομένων με απομακρυσμένη εργασία του οργανισμού. Η δυνατότητα αυτή, μπορεί να απειληθεί από μη προβλέψιμες αυξημένες απαιτήσεις χωρητικότητας δικτύου.
Για την αποφυγή της απειλής αυτής, τόσο η διοίκηση του οργανισμού όσο και οι υπεύθυνοι των δικτύων, πρέπει να προετοιμάσουν τις υποδομές τους ανάλογα για να μπορέσουν να ικανοποιήσουν τυχόν μη προγραμματισμένες απαιτήσεις εύρους ζώνης, απαντώντας στα παρακάτω ερωτήματα:
- Ποιος είναι ο μέγιστος αριθμός χρηστών που χρειάζονται απομακρυσμένη πρόσβαση;
- Πώς αυτό μεταφράζεται σε πρόσθετο εύρος ζώνης που απαιτείται;
- Πόσο σύντομα θα χρειαστεί επιπλέον χωρητικότητα / εύρος ζώνης;
- Πόσο γρήγορα μπορεί η επιπλέον χωρητικότητα αυτή να είναι διαθέσιμη;
- Πόσο γρήγορα μπορεί να γίνει η προμήθεια πρόσθετων αδειών χρήσης και άλλους πόρους για να υποστηριχθεί η αυξημένη ζήτηση;
- Πόσο περισσότερο θα κοστίσει για πρόσθετο εύρος ζώνης και στοιχεία δικτύου;
- Ποιες τεχνολογίες μπορούν να χρησιμοποιηθούν για την αύξηση του εύρους ζώνης οικονομικά;
- Πώς θα αντιμετωπιστούν οι απειλές για την ασφάλεια στον κυβερνοχώρο σε μια τέτοια κατάσταση;
- Πώς θα διασφαλιστεί και θα προστατευτεί ο αυξημένος αριθμός κίνησης δεδομένων;
- Πώς θα παρακολουθείται η κίνηση κατά την περίοδο της αυξημένης ζήτησης;
- Πώς επιστρέφουμε σε κανονικές συνθήκες λειτουργίας τη στιγμή που η ζήτηση για απομακρυσμένη πρόσβαση έχει επιστρέψει στα κανονικά επίπεδα;
- Ποιοι πόροι είναι διαθέσιμοι από φορείς τοπικής πρόσβασης;
- Ποιοι πόροι είναι διαθέσιμοι από παρόχους υπηρεσιών WAN και παρόχους υπηρεσιών Διαδικτύου (ISP);
Ανάλυση απαιτούμενων υπηρεσιών
Η απομακρυσμένη πρόσβαση και οι ασφαλείς απομακρυσμένες συνδέσεις αποτελούν βασικές στρατηγικές επιχειρησιακής συνέχειας. Ωστόσο, οι ανάγκες απομακρυσμένης εργασίας, με την ευκαιρία (ή εξ ανάγκης) της επιδημίας του κορωνοϊού καθιστούν αναγκαία την αξιολόγηση πλήθους άλλων παραγόντων και καταστάσεων που μπορεί να αποτελέσουν, με την σειρά τους, κίνδυνο για την αποδοτική απομακρυσμένη εργασία.
Το πρώτο βήμα σε αυτή την αξιολόγηση, δεν μπορεί να είναι άλλο από την ανάλυση απαιτήσεων. Πρώτον, οι οργανισμοί πρέπει να καταλάβουν ποιες υπηρεσίες είναι απαραίτητες για την λειτουργία τους. Οι απομακρυσμένοι εργαζόμενοι θα χρειαστούν συστήματα για να αντικαταστήσουν την προσωπική αλληλεπίδραση σε ένα γραφείο. Η ενοποιημένη επικοινωνία (UC) περιλαμβάνει έναν συνδυασμό λειτουργιών διαπροσωπικών επικοινωνιών, όπως φωνητικές κλήσεις, φωνητικό ταχυδρομείο, τηλεδιάσκεψη, κοινή χρήση οθόνης και ανταλλαγή άμεσων μηνυμάτων, για ομάδες και άτομα.
Οι απομακρυσμένοι εργαζόμενοι θα χρειαστούν επίσης πρόσβαση σε επιχειρηματικές εφαρμογές και αποθετήρια αποθήκευσης εγγράφων. Οι εταιρείες που έχουν αγκαλιάσει υπηρεσίες υπολογιστικής νέφους (cloud) ενδέχεται να βρίσκονται σε καλύτερη κατάσταση από τις εταιρείες που δεν έχουν ακόμη κάνει τη μετάβαση στο νέο περιβάλλον.
Μπορεί να είναι μια πρόκληση για τις ομάδες πληροφορικής να κατανοήσουν τις απαιτήσεις του νέου μοντέλου προσαρμοσμένου σε ένα απομακρυσμένο εργατικό δυναμικό. Θα πρέπει να κάνουν εκτιμήσεις βάσει των εκτιμήσεων χρήσης υπηρεσιών ενοποιημένης επικοινωνίας, του αριθμού των υπαλλήλων και των απαιτήσεων δικτύου των κανονικών επιχειρηματικών λειτουργιών. Επιπλέον, θα χρειαστούν άδειες χρήσης για εργαζόμενους, εκτιμήσεις εύρους ζώνης που απαιτούνται ανά εργαζόμενο και το μέγιστο εύρος ζώνης όλων των εργαζομένων.
Ακόμη και μια στοιχειώδης κατανόηση του τρέχοντος όγκου κυκλοφορίας δικτύου μπορεί να αποτελέσει τη βάση για τις παραπάνω εκτιμήσεις, προσδιορίζοντας τον όγκο δεδομένων σε κάθε μία από τις παρακάτω κατηγορίες:
- φωνητικές κλήσεις
- διαδραστικό βίντεο σε πραγματικό χρόνο, όπως τηλεδιάσκεψη
- ροή βίντεο – για παράδειγμα, παρακολούθηση εκπαιδευτικών βίντεο
- διαδραστικές επιχειρηματικές εφαρμογές
- μαζικές εφαρμογές δεδομένων, όπως μεταφορά email και αρχείων, και
- περιττή κίνηση, όπως ροή μουσικής και άλλη ψυχαγωγία
Έχοντας τις παραπάνω εκτιμήσεις διαθέσιμες, οι αρμόδιοι του οργανισμού μπορούν να αξιολογήσουν πως το σενάριο της απομακρυσμένης εργασίας για μεγάλο αριθμό εργαζομένων μπορεί να επηρεάσει την δικτυακή υποδομή και να προκαλέσει προβλήματα λόγω υπερφόρτωσης ή άλλων αιτιών, με αποτέλεσμα την αρνητική επίπτωση στην ποιότητα των παρεχόμενων υπηρεσιών και την μη αποδοτική εφαρμογή της απομακρυσμένης εργασίας.
Στην αξιολόγηση αυτή, σημαντική βοήθεια δίνει η παρακολούθηση των παρακάτω σημείων:
- Δρομολόγηση δικτυακής κίνησης –Η υποστήριξη μεγαλύτερου αριθμού απομακρυσμένων εργαζομένων θα αλλάξει δραστικά τις ροές κυκλοφορίας δικτύου, και ενδέχεται να υπάρξει ανάγκη αλλαγών δρομολόγησης για την βελτιστοποίηση της απόδοση του δικτύου και της εξασφάλισης ότι η κίνηση διασχίζει τα κατάλληλα συστήματα ασφαλείας δικτύου.
- Πρόσβαση στο Διαδίκτυο – Οι απομακρυσμένοι εργαζόμενοι συνδέονται στον οργανισμό μέσω του Διαδικτύου, δημιουργώντας πρόσθετο φόρτο στους μηχανισμούς πρόσβασης στο Διαδίκτυο και τον εξοπλισμό δικτύου, όπως δρομολογητές, διακόπτες, τείχη προστασίας και συγκεντρωτές VPN. Τα συστήματα παρακολούθησης δικτύου πρέπει να διαμορφωθούν ώστε να παρακολουθούν στενά αυτά τα κρίσιμα συστήματα για πιθανές συνθήκες υπερφόρτωσης.
- Χωρητικότητα τερματιστή VPN – Ο αριθμός των απομακρυσμένων VPN αυξάνεται σημαντικά, δίνοντας περισσότερο φόρτο στους μηχανισμούς τερματισμού VPN στην άκρη του εταιρικού δικτύου. Η διαρκής παρακολούθηση του φόρτου είναι απαραίτητη, καθώς επίσης και η προσθήκη περισσότερων συσκευών, ή η χρήση ιδεατών συσκευών (virtual machines).
- Ανεπαρκής υποδομή ελέγχου ταυτότητας δικτύου – Με δεδομένο ότι η πλειοψηφία των εργαζομένων θα έχουν πρόσβαση στο δίκτυο από απόσταση, η υποδομή ελέγχου ταυτότητας ενδέχεται να μην είναι σε θέση να χειριστεί το αυξημένο φορτίο. Η χρήση πρόσθετων συσκευών ή αδειών, πιθανά να είναι απαραίτητη. Επίσης, πρέπει να αξιολογηθεί η χρήση μηχανισμών ταυτότητας πολλαπλών παραγόντων που παρέχονται από εργαλεία που δημιουργούν εφάπαξ κωδικούς πρόσβασης.
- Περιορισμοί τηλεδιάσκεψης και φωνής – Κατά τη διαδικασία εκτίμησης του όγκου δεδομένων για φωνή και βίντεο, πρέπει να αξιολογηθεί ο αριθμός κλήσεων συνδιάσκεψης και να συγκριθεί με τους πιθανούς περιορισμούς του οργανισμού. Η διερεύνηση εναλλακτικών λύσεων, όπως μετεγκατάσταση των μηχανισμών τηλεδιάσκεψης και φωνής σε έναν πάροχο cloud, προκειμένου να μειωθούν οι εταιρικές απαιτήσεις σύνδεσης στο Διαδίκτυο ίσως είναι απαραίτητη ως αποτέλεσμα της παραπάνω αξιολόγησης.
- Υποδομή εικονικής επιφάνειας εργασίας – Οι υπάλληλοι γραφείου που χρησιμοποιούν κυρίως επιτραπέζιους υπολογιστές μπορεί να υποστηρίζονται καλύτερα από εικονική υποδομή επιτραπέζιου υπολογιστή (VDI). Αυτός ο μηχανισμός μεταδίδει μια κωδικοποιημένη μορφή των γραφικών της επιφάνειας εργασίας, επομένως ενδέχεται να μην έχει καλή απόδοση για ταχέως μεταβαλλόμενες οθόνες, όπως βίντεο υψηλής κίνησης ή σχεδιασμό με υπολογιστή και συστήματα κατασκευής με υπολογιστή, γεγονός που πρέπει επίσης να εκτιμηθεί.
- Ποιότητα υπηρεσιών – Δύο παράγοντες επηρεάζουν την ποιότητα των υπηρεσιών (QoS). Πρώτον, οι απομακρυσμένοι εργαζόμενοι συνήθως συνδέονται μέσω του δημόσιου διαδικτύου, το οποίο δεν υποστηρίζει το QoS. Χωρίς προτεραιότητα, η φωνή και το βίντεο ενδέχεται να αντιμετωπίσουν απώλεια πακέτων ή υψηλή καθυστέρηση. Δεύτερον, οι αλλαγές στη χρήση του δικτύου λόγω ενός απομακρυσμένου εργατικού δυναμικού είναι πιθανό να απαιτούν ενημερώσεις στις υπάρχουσες κατανομές εύρους ζώνης QoS.
- Τηλεφωνικά συστήματα – Η εταιρική υποδομή τηλεφωνικών κλήσεων ενδέχεται να μην είναι σε θέση να χειριστεί όλες τις κλήσεις που πρέπει να προωθηθούν. Ακόμη και κλήσεις μεταξύ εργαζομένων μπορεί να προωθηθούν εάν η κλήση γίνεται σε εταιρικούς αριθμούς τηλεφώνου που προωθούνται σε κινητές συσκευές.
- Τα τοπικά δίκτυα απομακρυσμένων εργαζομένων – Η ποιότητα του δικτύου σε μια τοποθεσία απομακρυσμένου εργαζομένου είναι επίσης σημαντική. Πρώτον, οι δρομολογητές και οι διακόπτες Wi-Fi για τους καταναλωτές πιθανότατα δεν ανταποκρίνονται στα πρότυπα του οργανισμού από άποψη λειτουργικότητας και ασφάλειας.Επίσης, η κακή ασύρματη κάλυψη ή παρεμβολές σε οικιακό δίκτυο μπορεί να είναι ένας σημαντικός παράγοντας. Τέλος, ο διαγωνισμός εύρους ζώνης μπορεί επίσης να προέλθει από άλλα μέλη της οικογένειας, ειδικά εάν κάποιο από αυτά τα μέλη απολαμβάνει εφαρμογές ροής βίντεο.
- Όρια εύρους ζώνης στις διασυνδέσεις ISP – Κάτι που δεν μπορεί να αξιολογηθεί άμεσα είναι το εύρος ζώνης των διασυνδέσεων του παρόχου υπηρεσιών διαδικτύου (ISP). Οι απομακρυσμένοι εργαζόμενοι μπορούν να χρησιμοποιούν έναν οικιακό ISP που έχει περιορισμένη συνδεσιμότητα εύρους ζώνης με τους επιχειρησιακούς ISP. Έχουν υπάρξει αναφορές για προβλήματα με την απομακρυσμένη συνδεσιμότητα εργαζομένων λόγω της κυκλοφοριακής συμφόρησης στο Διαδίκτυο.
- Προσωπικό υποστήριξης – Τέλος, οι οργανισμοί ενδέχεται να μην έχουν αρκετό προσωπικό υποστήριξης για να υποστηρίξουν σωστά και αποδοτικά τους απομακρυσμένους εργαζόμενους με τα κατάλληλα συστήματα, διαπιστευτήρια και ασφάλεια.
Θέματα Ανθρώπινου Δυναμικού
Με την αύξηση της ανάγκης για απομακρυσμένη εργασίας, περισσότεροι οργανισμοί βασίζονται σε εφαρμογές ομαδικής συνεργασίας για να διατηρήσουν τους υπαλλήλους αφοσιωμένους και αποδοτικούς. Αλλά για την αποδοτική απομακρυσμένη εργασία, οι σχετικές εφαρμογές δεν είναι αρκετές, αν δεν συμπληρώνονται από σχετικές βέλτιστες πρακτικές.
Οι εργαζόμενοι που έχουν συνηθίσει να εργάζονται σε φυσικά γραφεία χρειάζονται τώρα μια πολιτική απομακρυσμένης εργασίας. Έχοντας την τεχνολογία για την υποστήριξη απομακρυσμένης εργασίας, πρέπει να καθοριστεί τι ακριβώς σημαίνει απομακρυσμένη εργασία για τον οργανισμό. Μπορούν οι εργαζόμενοι να εργάζονται από κάπου εκτός του σπιτιού; Μπορούν να χρησιμοποιούν τις δικές τους ηλεκτρονικές συσκευές; Τι μορφή θα λάβουν οι συναντήσεις — στο διαδίκτυο, μέσω βίντεο ή τηλεφώνου;
Επίσης, οι οργανισμοί πρέπει να καθορίσουν σαφείς στόχους για να διασφαλίσουν ότι οι εργαζόμενοι εργάζονται αποτελεσματικά από το σπίτι, με καλώς καθορισμένες οδηγίες που καλύπτουν, όχι μόνο την αποδοτικότητα και την ευελιξία, αλλά και την ευεξία του εργαζόμενου.
Τα στελέχη του οργανισμού, θα πρέπει να προάγουν την χρήση εργαλείων ομαδικής συνεργασίας για να διατηρούν τους εργαζόμενους να αισθάνονται συνδεδεμένοι. Δεν είναι αρκετή η πρόσβαση σε πλατφόρμες επικοινωνίας και συνεργασίας, αλλά πρέπει να υποστηρίζεται μια απομακρυσμένη εργασιακή εμπειρία που είναι τόσο φυσική όσο η προσωπική συνεργασία
Τέλος, τα στελέχη του οργανισμού πρέπει να προάγουν τη συνεπή επικοινωνία, διασφαλίζοντας ότι τα μέλη της ομάδας αλληλεπιδρούν μεταξύ τους, να είναι σε συνεχή επικοινωνία με τις ομάδες τους για να αποτρέψουν εσφαλμένη επικοινωνία και να παρακολουθούν την πρόοδο κάθε έργου, έχοντας κοινούς μακροπρόθεσμους αλλά και βραχυπρόθεσμους στόχους.
Φυσικά, όλα τα παραπάνω, δεν πρέπει να γίνονται αποσιωπώντας την κρισιμότητα της ασφάλειας και της προστασίας του απόρρητου, τόσο για τα δεδομένα του οργανισμού, αλλά και των προσωπικών δεδομένων των υπαλλήλων και των οικείων τους.
Επιτακτικά Θέματα ασφάλειας
Εκτός των παραπάνω, είναι απαραίτητο να αναληφθούν όλες οι απαραίτητες εκείνες υποστηρικτικές πρωτοβουλίες για να διασφαλιστεί ότι οι δραστηριότητες διαχείρισης της ασφάλειας των δεδομένων του οργανισμού μπορούν να διατηρηθούν και, εάν για κάποιο λόγο αποτύχουν, να ανακτηθούν γρήγορα και να επανεκκινήσουν.
Οι πρωτοβουλίες αυτές, μπορούν να κατηγοριοποιηθούν ακολούθως.
Πολιτικές. Οι πολιτικές ασφάλειας του οργανισμού σε περιβάλλον επιδημίας, μπορεί να είναι ίδιες με τις υπάρχουσες πολιτικές ασφάλειας πληροφοριών ή οι υπάρχουσες πολιτικές ενδέχεται να χρειαστεί να ενημερωθούν ώστε να αντικατοπτρίζουν τις επιθέσεις στον κυβερνοχώρο και τις συνέπειές τους.
Διαδικασίες. Οι διαδικασίες ασφάλειας πρέπει να τεκμηριώνονται και να διατηρούνται ενημερωμένες, με βάση την εμπειρία από πραγματικά γεγονότα, καθώς και τις ενημερωμένες σχετικές πληροφορίες από προμηθευτές, συμβούλους και μέσα ενημέρωσης.
Σχεδιασμός διαδοχής. Είναι απαραίτητος ο σχεδιασμός διαδοχής του προσωπικού της ομάδας ασφάλειας του οργανισμού. Βασικό εργαλείο σε αυτή την κατεύθυνση αποτελεί ένας πίνακα δεξιοτήτων που απαριθμεί βασικό προσωπικό ασφάλειας του οργανισμού και τους ρόλους τους, καθώς και εκείνους οι οποίοι μπορούν να τους υποστηρίξουν σε καταστάσεις έκτακτης ανάγκης, παρέχοντας και την αναγκαία εκπαίδευση, όπου κρίνεται απαραίτητο. Στόχος πρέπει να είναι η ύπαρξη τουλάχιστον δύο ατόμων για κάθε βασική λειτουργία της ομάδας ασφάλειας.
Ενημέρωση κανόνων τείχους προστασίας. Είναι επιτακτικό οι κανόνες του τείχους προστασίας να είναι όσο το δυνατό πιο πρόσφατοι, ενημερώνοντάς τους ώστε να είναι σε θέση να καλύψουν τις αυξημένες ανάγκες απόδοσης και ασφάλειας του μεγάλου αριθμού απομακρυσμένων εργαζομένων.
Διαχείριση IDS και IPS. Επίσης, είναι επιτακτική η ανάγκη οι κανόνες του συστήματος ανίχνευσης και πρόληψης εισβολής και άλλα πρωτόκολλα να είναι ενημερωμένοι και ελέγχονται συχνότερα ώστε να καλύπτουν τις αυξημένες ανάγκες ασφάλειας του μεγάλου αριθμού απομακρυσμένων εργαζομένων.
Συντονισμός προμηθευτών δικτύου. Απαραίτητη κρίνεται, επίσης, η επικοινωνία και ο συντονισμός τόσο με τους παρόχους υπηρεσιών δικτύου, συμπεριλαμβανομένης της τοπικής πρόσβασης, της πρόσβασης στο Διαδίκτυο και των υπηρεσιών WAN, όσο και των προμηθευτών εξοπλισμού, σχετικά με τα σχέδιά τους για την αντιμετώπιση των αυξημένων αναγκών απομακρυσμένου εργατικού δυναμικού, ώστε να διασφαλιστεί ότι δεν θα υπάρξει διακοπή στις υπηρεσίες δικτύου και ασφάλειας.
Σχέδια αντίδρασης σε περιστατικά ασφάλειας. Τα σχέδια αντίδρασης σε περιστατικά ασφάλειας ή απώλειας πληροφοριών πρέπει να είναι ενημερωμένα και τεκμηριωμένα με όλα τα απαραίτητα δεδομένα για να ορθή αντιμετώπισης περιστατικών, λαμβάνοντας υπόψη τις ιδιαιτερότητες που επιφέρει η απομακρυσμένη εργασία. Τέτοια σχέδια, πρέπει να περιγράφουν τα περιγράφει τα βήματα που πρέπει να ακολουθηθούν κατά τον εντοπισμό, την ανάλυση και τον μετριασμό ενός πιθανού περιστατικού ασφάλειας.
Δοκιμή σχεδίων αντίδρασης σε περιστατικά ασφάλειας. Η ύπαρξη ενός τέτοιου σχεδίου, όσο καλά τεκμηριωμένο και αν είναι, έχει μειωμένη χρησιμότητα αν η ομάδα ασφάλειας του οργανισμού δεν είναι εξοικειωμένοι με αυτά, και δεν γνωρίζουν τους ρόλους και τις ευθύνες τους σε ένα περιστατικό. Είναι επιτακτική ανάγκη, λοιπόν, τα σχέδια αυτά να δοκιμάζονται τακτικά σε συνθήκες που προσομοιάζουν τις πραγματικές.
Εργαλεία ασφάλειας. Υπάρχει πληθώρα διαθέσιμων εργαλείων ασφάλειας, που κυμαίνονται από αυτόνομες εφαρμογές έως σουίτες συστημάτων που παρέχουν εκτεταμένη διαχείριση ασφάλειας όλων των λειτουργιών και πόρων ασφαλείας του οργανισμού, ανεξάρτητα από την τοποθεσία και τον κατασκευαστή. Η χρήση των κατάλληλων εργαλείων, είναι απαραίτητη για την πλήρη, αποδοτική και αξιόπιστη υποστήριξη της ασφάλειας οργανισμού, καθώς και για την ανεμπόδιστη υπέρβαση των προκλήσεων που ενσκήπτουν σε συνθήκες απομακρυσμένης εργασίας
Ενεργή παρακολούθηση σε πραγματικό χρόνο της κυκλοφορίας δεδομένων. Η ενεργή παρακολούθηση σε πραγματικό χρόνο είναι κρίσιμη για την ορθή και έγκαιρη αντίδραση σε περίπτωση ύποπτων περιστατικών.
Ενημέρωση των εργαζομένων. Η ενημέρωση των εργαζομένων για τις ανάγκες διατήρησης της ασφάλειας και τις ιδιοτικότητας κατά την διάρκεια της απομακρυσμένης εργασίας, είναι ζωτική για την υιοθέτηση βέλτιστων πρακτικών.
Επίλογος
Υπάρχουν τέσσερις βεβαιότητες στο μέλλον μας, τις οποίες η παρούσα επιδημία κατέστησε περισσότερο ορατές:
- Οι χρήστες θα συνεχίσουν να έχουν την ανάγκη απομακρυσμένης εργασίας και φορητότητας σε διαρκώς αυξανόμενο βαθμό
- Οι εφαρμογές θα εκτελούνται σε υποδομές υπολογιστικής νέφους (cloud)
- Οι ανάγκες εύρους ζώνης θα συνεχίσει να αυξάνεται εκθετικά
- Οι συνδέσεις θα κρυπτογραφούνται για την προστασία των πληροφοριών καθώς αυτές μεταδίδονται
Ως μηχανικοί πληροφορικής και επαγγελματίες ασφάλειας, είναι δική μας δουλειά να όχι μόνο να διευκολύνουμε και να υλοποιούμε τις επιχειρησιακές ανάγκες των οργανισμών μας, αλλά επίσης να ενημερώσουμε και να συμβουλεύουμε ότι οι αλλαγές στα συστήματα πληροφορικής, για να προσθέσουν την δυνατότητα απομακρυσμένης εργασίας, θα προσθέσουν ορισμένους νέους και σημαντικούς κινδύνους στο ήδη υπάρχον πεδίο απειλών που αντιμετωπίζουν.
Η τωρινή επιδημία, θα πρέπει να χρησιμεύσει ως υπενθύμιση ότι το παράδειγμα λειτουργίας της σύγχρονης τεχνολογίας μπορεί να αλλάξει σε ελάχιστο χρονικό διάστημα. Η πιθανότητα πολλοί οργανισμοί να συνεχίσουν να εργάζονται από το σπίτι, ακόμα και μετά το πέρας της επιδημίας, θα πρέπει να είναι μια κλήση αφύπνισης σε εκείνους που δεν έχουν ακόμη αγκαλιάσει και σχεδιάσει για την επόμενη γενιά συστημάτων πληροφορικής και ασφάλειας, οι οποία θα είναι σε θέση να αντιμετωπίσει ολοκληρωτικά τις προκλήσεις που το νέο παράδειγμα επιφέρει.