راهنمای امنیتی؛ نکات امنیتی دورکاری کارکنان در سازمان­‌ها

قبل از مطالعه بدانید: در این راهنما به درست/نادرست بودن دورکاری اشاره ای نگردیده، زیرا که سیاست‌ها و نیازهای سازمان‌ها متفاوت است. پس با فرض اینکه به این نتیجه رسیده‌­اید که دورکاری در شرکت یا سازمان شما انجام گردد، می­­‌توانید از این راهنما در خصوص افزایش امنیت انجام دورکاری استفاده بفرمایید.

یادآوری: این مستند بروز می­­‌شود.

مخاطبین:

  • مدیران و کارشناسان فناوری اطلاعات
  • مدیران و کارشناسان امنیت اطلاعات
  • مدیران و کارشناسان حراست

نکات امنیتی دورکاری کارکنان در سازمان‌ها

ضرورت نیاز به دورکاری

امروزه بسیاری از سازمان­­‌ها و شرکت­­‌های دولتی و خصوصی در ایران به دلیل گسترش بیماری واگیردار کرونا و همچنین با هدف حفظ سلامت نیروی انسانی و پیشگیری از همه‌گیر شدن این بیماری در کشور، به کارکنان خود اجازه داده­­‌اند تا مسئولیت‌­ها و وظایف محوله خود را در خانه و به صورت دورکاری انجام دهند.

چالش های امنیتی دورکاری

انجام دورکاری مستلزم اجرا و تامین پاره­­ای از الزامات امنیت سایبری از سوی کارکنان می­­‌باشد که در این مستند به بیان این الزامات در حوزه­‌های زیر پرداخته شده است:

  • کلان امنیت سایبری
  • کاربران مجاز
  • ایمیل­‌های فیشینگ
  • جلسات و تماس­‌های آنلاین
  • حریم خصوصی
  • رسیدگی به رخداد و حملات سایبری
  • پشتیبان گیری

جهت سهولت مطالعه مخاطبین عزیز، الزامات امنیتی بصورت چک لیست تهیه و ارائه می­گردد.

  • حوزه امنیت سایبری
    • اطمینان حاصل شود که لپ تاپ‌ها/تجهیزات، دارای رمزگذاری سخت­ افزاری می‌­­باشد.
    • در صورت امکان، از کارکنان خواسته شود که از فیلترهای صفحه نمایش[۱] به منظور سخت­­‌تر کردن حملات Shoulder-Surfing [2] استفاده شود و یا اینکه دقت نمایند در محیطی که فعالیت می­‌کنند، فردی به صفحه نمایش آنها اشراف نداشته باشد. (تحت هیچ عنوان تصویری از صفحه نمایش خود در حال کارکردن در فضای مجازی منتشر ننمایند.)
    • می بایست در صورت امکان برای تمام کارکنانی که دورکاری می­‌کنند، احراز هویت ۲ عاملی اجباری گردد (به خصوص در دسترسی به مواردی از قبیل ایمیل و سیستم‌­ها و برنامه­‌های کاربردی حیاتی). چنانچه از قبل تدابیری اندیشیده نشده، اکنون بهترین زمان برای انجام این کار است.
    • کارمندان را تشویق کنید که از ابزارهای مدیریت رمز عبور بر روی دستگاه­‌های خود استفاده نمایند.
    • به کارمندان تاکید گردد که حتما از سیاست‌­های رمز عبور پیچیده برای تعیین رمز­های عبور خود استفاده نمایند.
    • به کارمندان تذکر داده شود که در صورت مشاهده لینک­‌ها و مستندات مرتبط با کروناویروس بر روی سیستم و ایمیل خود، به هیچ عنوان اقدام به باز نمودن آن نکرده و مراتب را هر چه سریعتر به سازمان گزارش دهند.
    • در خصوص محرمانه بودن اطلاعات سازمان و همچنین لزوم حفظ محرمانگی آنها به کارکنان تذکرات لازم داده شود. همچنین بیان گردد که مسئولیت حفظ محرمانگی این اطلاعات برعهده کارکنان بوده و در صورت قصور در انجام آن، می­‌بایست پاسخگو باشند.
    • از کارمندان خواسته شود تا بروزرسانی­‌های مهم نرم­‌افزاری سیستم خود را به تعویق نیاندازند و همواره سیستم خود را بروز نگه‌ دارند.
    • کارکنان به هیچ وجه نباید از سایت­‌هایی مانند وب­‌سایت‌­های فیلم غیرقانونی و همچنین حاوی مطالب غیر اخلاقی بازدید کنند زیرا ممکن است بر اثر آن، سیستم­ آنها به باج‌­افزار و یا سایر نرم‌افزارهای مخرب آلوده گردد.
    • از کارمندان خواسته شود تحت هیچ عنوانی، رایانه‌­ای را که برای دورکاری استفاده می­‌نمایند در اختیار فرزندان و سایر اعضای خانواده (حتی برای چند لحظه) قرار ندهند.
    • با توجه به اینکه دورکاری ممکن است منجر به اشتراک گذاری بیشتر رمز­های عبور گردد لذا می‌­بایست بر اهمیت عدم به اشتراک­ گذاری رمز عبور با سایرین حتی اعضای خانواده، تاکید و پافشاری گردد.
    • به کارکنان یادآوری شود که آنها مسئول رفع مشکلات فنی نیستند و نباید خودسرانه اقدام به رفع آن نمایند چرا که ممکن است مخاطرات بیشتری به همراه داشته باشد، لذا تنها کافی است به سازمان این موارد را اطلاع دهند.
    • از کارکنان خواسته شود در صورت امکان از شبکه‌­های سیمی برای برقراری ارتباطات اینترنتی استفاده نمایند. یا در صورت استفاده از شبکه WIFI حتما پیش از استفاده، اقدام به امن سازی آن نمایند (بهتر است در این خصوص راهنماهای امنیتی به کاربران ارائه شود).
    • برای برقراری ارتباط راه­‌دور با سیستم­‌ها و شبکه­‌های سازمانی، حتما از اتصالات VPN مورد تایید سازمان استفاده گردد و تحت هیچ عنوانی پورت­‌های مدیریتی و راه دور از قبیل RDP، VNC و SSH به طور مستقیم از اینترنت قابل دسترس نباشد.
    • از نصب آنتی ویروس و بروز بودن آن در رایانه‌­ای را که برای دورکاری استفاده می­نمایند، اطمینان حاصل بفرمایید.
  • کاربران مجاز
    • اطمینان حاصل کنید که به تمام کاربران مجاز کسب‌­و­کار و فناوری اطلاعات سازمان تذکرات لازم داده شده است و :
      • به کلیه کارکنان مسئولیت­‌هایشان را یادآوری کنید.
      • از کارکنان بخواهید که برای انجام کارهای عادی روزمره خود، هیچ گاه از طریق کاربری با سطح دسترسی بالا در سیستم لاگین نکنند.
      • از کارکنان بخواهید تا تمامی خطاهای سیستمی و اشتباهات انسانی خود را فورا به سازمان گزارش نمایند.
      • لیست کاربران متصل به سرورها و استفاده‌­کنندگان از پروتکل های ارتباط از راه دور، با لیست کاربران مجاز به صورت تصادفی چک شود. بهتر است لاگ کلیه اتصالات ذخیره گردد.
  • ایمیل­های فیشینگ
    • به کارمندان یادآوری شود که هر شخصی ممکن است اشتباه کند و در صورتی که به هر دلیلی مرتکب یکی از کارهای زیر شده هر چه سریعتر موضوع را به اطلاع سازمان برساند:
      • در صورتی که به صورت تصادفی بر روی یک لینک یا فایل مشکوک کلیک گردد.
      • یا یک فایل اکسل، PDF و یا ورد حاوی ماکرو باز گردید.
    • کارکنان می­‌بایست بلافاصله آلودگی­‌های بدافزاری/باج افزاری خود را گزارش نمایند.
  • جلسات و تماس‌های آنلاین
    • به کارکنان یادآوری شود که زمانیکه در یک تماس کنفرانسی صحبت نمی­‌کنند، میکروفون خود را قطع کنند.
    • می­‌بایست به تمامی کارکنان آموزش داده شود تا این اطمینان حاصل گردد که تمامی وب­‌کم ها به صورت پیش فرض مسدود شده‌­اند (این کار می تواند بصورت فیزیکی و با یک برچسب صورت پذیرد).
    • می‌بایست به تمامی کارکنان گفته شود که سیستم­های باز و لاگین شده خود را خصوصا در زمان تماس و یا مشاهده مستندات مهم، به هیچ عنوان ترک نکنند و پیش از ترک، سیستم خود را قفل[۳] نمایند.
    • از کارکنان خواسته شود که یک مکان مستقل برای انجام دورکاری خود انتخاب نموده و از اماکن عمومی و کافی­‌شاپ­‌ها به خصوص در زمان برقراری تماس محرمانه و یا کار بر روی اسناد محرمانه، اقدام به دورکاری ننمایند.
  • حریم خصوصی
    • به کلیه کارکنان در خصوص مسئولیت خود در قبال حفظ حریم خصوصی مشتریان و کارکنان سازمان تذکرات لازم داده شود.
    • به واحدهای فناوری اطلاعات و امنیت سایبری اطلاع داده شود تا بر روی فعالیت­‌های مخرب احتمالی بر روی حساب­‌های کاربری بسیار هوشیار باشند.
    • به کارکنان اعلام شود که از ارسال اطلاعات سازمان از طریق ایمیل شخصی و یا ذخیره آنها در فضاهایی که مورد تایید نمی‌­باشند، اجتناب کنند.
    • از کارکنان خواسته شود که از بکارگیری ابزارهای ارتباطی از قبیل Whatsapp، Telegram، Linkedin یا هر ابزار ارتباطی شخصی برای دورکاری و تبادل اطلاعات سازمان اجتناب گردد و تنها از ابزارهای مورد تایید سازمان برای این منظور استفاده شود.
    • ممکن است کارکنان نیاز به تبادل شماره تلفن یا ایمیل با همدیگر داشته باشند. از کارکنان خواسته شود که حتی­‌الامکان از این کار بپرهیزید یا اینکه از آنها بخواهید عبارت “بعدا پاک شود” را در ابتدای نام آنها اضافه کنند البته اگر جزییات را ذخیره می‌­نمایند.
  • رسیدگی به رخداد و حملات سایبری
    • دائما به کارکنان یادآوری کنید که نسبت به ایمیل فیشینگ و سایر تلاش­ها برای به خطر انداختن/سرقت اطلاعات حساب کاربری خود هوشیار باشند.
    • به کارکنان تاکید گردد که در صورت مشاهده این ایمیل­‌ها و فعالیت­‌های مخرب بلافاصله مراتب را گزارش نمایند. به منظور اطلاع می­‌بایست راهکار مناسب ایمیل یا شماره تلفن در اختیار کارکنان قرار گیرد.
    • از کارکنان خواسته شود تا در صورت نیاز با ذی­نفعان و واحدهای مربوطه سازمان تماس بگیرند.
    • کارکنان واحدهای امنیت سایبری سازمان می‌­بایست هوشیار بوده و به طور فعال به دنبال فعالیت‌­های مشکوک باشند (با توجه به عادت های کار کردن از راه دور کاربران ممکن است این فعالیت از نظر عملیاتی برای سازمان گران باشد)
    • از پرسنل و کارکنان واحد فناوری اطلاعات و امنیت سایبری سازمان خواسته شود که اگر موضوعی مهم می­باشد به جای آنکه تنها به ایمیل اکتفا کنند، تلفن را انتخاب کرده و تماس بگیرند.
    • به کارکنان تذکر داده شود که در زمان دورکاری، دیگر واحدهای سازمانی در کنار شما حضور ندارند، بنابراین می بایست هرگونه درخواست برای به اشتراک گذاشتن داده‌های محرمانه یا انتقال وجوه را حتی در صورتی که از طریق ایمیل نیز ارسال شده باشد، پیش از انجام با درخواست کننده تماس گرفته و تاییدیه ایشان دریافت شود.
    • از کارکنان خواسته شود تا یک نسخه چاپی از روال‌­ها و چک­‌لیست‌­های خود در منزل به همراه داشته باشند و مطمئن باشند که این مستندات در دسترس دیگران قرار ندارد.
    • به تمامی کارکنان یادآوری شود که بروز اشتباهاتی از قبیل ارسال ایمیل به گیرندگان اشتباه، کلیک بر روی لینک­‌های مخرب و مواردی از این دست، ممکن است برای همه اتفاق بیافتد و آنها باید بلافاصله بروز این اشتباهات را به سازمان اطلاع بدهند. همچنین تاکید گردد که در صورت گزارش فوری، در اکثر موارد عواقب ناگواری برای آنها به همراه نخواهد داشت.
    • سازمان­ها می­‌بایست اقدام به مانیتورینگ کلیه اتصالات و دسترسی­‌های راه دور خود نمایند.
  • پشتیبان گیری
    • برای کارکنان، نرم‌­افزاری برای اطمینان از پشتیبان­‌گیری از اسناد مهم فراهم نمایید.
    • از کارمندان بخواهید تا از داده­‌های خود در یک دیسک سخت خارجی تأیید شده که به طور دائم به دستگاه متصل نیست، پشتیبان تهیه نمایند.
    • از کارکنان خود بخواهید تا به هیچ عنوان از خدمات ذخیره‌­ساز ابری خارجی[۴]، استفاده نکنند.
    • از کارکنان خواسته شود تا در مورد هر نوع ذخیره‌سازی ابری یا راهکارهای سرویس ابری که می‌خواهند از آنها استفاده کنند، پیش از استفاده از سازمان تاییدیه‌­های لازم را دریافت نمایند و بدون دریافت تاییدیه به هیچ عنوان از آنها استفاده نکنند.

در پایان:

امیدواریم در این ایام با حفظ مسائل امنیتی و رعایت کل نکات، بتوانید با خاطری آسوده به کسب و کار خود ادامه دهید. واحد عملیات امنیت و مدیریت رخدادهای امنیتی شرکت اوژن تدبیر پارس در این ایام بصورت شبانه‌­روزی در خدمت شماست تا در صورت نیاز به مشاوره و یا بروز مشکل در کنار شما باشد.

(www.ojan.org) راهنمای امنیتی دورکاری کارکنان در سازمان ها

[۱] Screen Filters

[۲] این حملات نوعی تکنیک مهندسی اجتماعی است که مهاجم برای بدست آوردن اطلاعاتی از قبیل شماره شناسایی شخصی (PIN)، گذرواژه‌ها و سایر اطلاعات محرمانه، اقدام به نشستن در کنار قربانی و تماشای بدون اجازه صفحه نمایش دستگاهی که قربانی درحال کار کردن با آن است، می­کند.

[۳] Lock

[۴] External Cloud Storage Services