Bezpieczeństwo pracy zdalnej, jak sobie z tym poradzić?

Okta
by Kamil Jakubczyk

W obecnych czasach większość z firm działa w trybie zdalnym, a duża część jej zespołów jest rozproszona. Podczas gdy praca zdalna zwiększa elastyczność pracy, powstaje pytanie w jaki sposób robić to bezpiecznie?

Poniżej przedstawimy kilka odpowiedzi na często zadawane pytania dotyczące pracy zdalnej. Dodatkowo wskażemy kilka najlepszych praktyk umożliwiających pracownikom pracę poza biurem.

1. Narzędzia do pracy grupowej – jakie wybrać?

Jednym z największych wyzwań pracy zdalnej jest zapewnienie pracownikom odpowiednich narzędzi, by mogli pracować równie efektywnie jak wtedy gdy widywali się w biurze. W ostatnich latach sporo firm inwestowało w narzędzia do pracy grupowej, takie jak Zoom, Slack czy Box, po to by ułatwić wspólną komunikację pracownikom.

 

Według raportu “Okta 2020 Business @ Work” powyższe aplikacje są najbardziej popularnymi aplikacjami do wspólnej pracy w całym katalogu aplikacji dostępnym w Okta (OIN). Dla organizacji szukających narzędzi chmurowych wspierających zdalną pracę pracowników te wydają się być ciekawą alternatywą.

2. W jaki sposób szybko i sprawnie wdrożyć nowe aplikacje i zapewnić dostęp do istniejących usług chmurowych oraz lokalnych?

Wdrożenie nowych aplikacji oraz dostarczenie ich do użytkowników końcowych może odbywać się sprawnie i szybko jeżeli wykorzystamy do tego rozwiązanie jednokrotnego logowania (SSO).

SSO jest kojarzone z rozwiązaniami chmurowymi, jednakże nie jest to jedyny przypadek użycia tego rozwiązania. Biorąc pod uwagę użytkowników którzy wymagają dostępu do infrastruktury chmurowej (IaaS), wystarczy zintegrować je z rozwiązaniem SSO, by mieć pewność że ten sam zestaw poświadczeń jest używany podczas dostępu do serwerów. Sporo firm ma również problem z zapewnieniem pracownikom bezpiecznego dostępu do aplikacji lokalnych, takich jak Oracle eBusiness Suite, Peoplesoft, JD Edwards, SharePoint i Qlik.

Do starszych aplikacji lokalnych możemy uzyskiwać dostęp zdalnie używając narzędzia Web Access Management (WAM), które zapewnia bezpieczne logowanie dla użytkowników.

Dodatkowo Single-Sign-On (SSO) może pomóc w:

Zmniejszeniu próśb o reset hasła kierowanych do działu IT Helpdesk

Ze względu na to, iż wiele zespołów pracuje zdalnie, użytkownicy końcowi wymagają możliwości samoobsługi, aby w razie potrzeby zresetować hasło bez konieczności oczekiwania na wsparcie ze strony działu IT.

Integracji z istniejącymi w organizacji katalogami danych

Jeżeli organizacja korzysta z Active Directory lub innej usług LDAP, użytkownicy mogą nadal używać tych samych poświadczeń, aby uzyskać dostęp do swoich aplikacji.

Raportowaniu / logowaniu zdarzeń

Niezależnie od tego czy pracownicy będą pracować zdalnie czy z biura, SSO pozwoli zespołom IT oraz działowi bezpieczeństwo na szybką reakcję w przypadku wykrycia anomalii związanych z dostępem do aplikacji.

 

3. Jak wdrożyć uwierzytelnianie wieloskładnikowe (MFA) do aplikacji biznesowych?

Wiele organizacji zwraca szczególną uwagę na zabezpieczenie swojej sieci wewnętrznej, często nie zwracając uwagi na to co dzieje się poza nią, poza budynkami firmowymi. Pracownicy mogą nie podlegać restrykcyjnym politykom bezpieczeństwa w momencie opuszczenia biura, zwłaszcza w sieci domowej podczas pracy zdalnej.

Ponadto warto zauważyć że praca zdalna odbywa się nie tylko w zaciszu własnego domu, jednak również w kawiarni, na lotnisku oraz wszędzie indziej gdzie użytkownik znajdzie dostęp do Internetu. Wszystko to zwiększa ryzyko zgubienia lub kradzieży urządzenia pracownika, co z kolei umożliwi dostęp do newralgicznych aplikacji przez osoby trzecie.

Okta pozwala dodać dodatkową warstwę zabezpieczeń dla wszystkich użytkowników w postaci wieloskładnikowego uwierzytelnienia (MFA). Dodatkowe czynniki mogą przybierać różne formy takie jak: pytanie bezpieczeństwa, jednorazowe hasła SMS. Zalecane są jednak silniejsze składniki uwierzytelniania, jak mobile aplikacje uwierzytelniające czy dane biometryczne.

Poniżej znajdziecie kilka kroków mówiących o tym w jaki sposób wdrożyć wieloskładnikowe uwierzytelnianie dla wszystkich pracowników, niezależnie od tego gdzie się znajdują.

  • Zidentyfikuj składnik uwierzytelniania który będzie dostępny dla wszystkich pracowników

Okta sugeruje używanie uwierzytelniania biometrycznego w standardzie WebAuthn (FIDO2.0) oraz używania mobilnych aplikacji uwierzytelniających, takich jak Okta Verify. Równie często klienci używają jednorazowego hasła SMS lub E-mail. Dobrą praktyką jest umożliwienie wyboru użytkownikom spośród przynajmniej dwóch składników uwierzytelnienia (np. w przypadku braku dostępu do telefonu w trakcie rejestracji).

  • Zdecyduj czy któraś z grup użytkowników wymaga silniejszych czynników uwierzytelniania

Zarząd oraz pracownicy posiadający dostęp do aplikacji zawierających poufne dane, według najlepszych praktyk powinni być zobowiązani do uwierzytelnienia się poprzez czynnik w standardzie WebAuthn (FIDO2.0). Przykładem może być TouchID na MacOS, Windows Hello, odciska palca na urządzeniu z Android czy też tokeny sprzętowe obsługujące FIDO2.0.

  • Implementuj MFA stopniowo

Określ grupy, które w pierwszej kolejności powinny podlegać dodatkowemu uwierzytelnianiu. Zastanów się, czy poniższy podział jest odpowiedni dla waszej organizacji:

Faza 1: Dział IT oraz dział bezpieczeństwa,

Faza 2: Zarząd oraz kadra menadżerska,

Faza 3: Użytkownicy mający dostęp do poufnych danych (zespoły sprzedażowe z dostępem do danych firmowych, zespoły marketingu z dostępem do danych o przychodach, programiści z dostępem do kodu źródłowego itd.),

Faza 4: Pozostali pracownicy na pełen etat,

Faza 5: Współpracownicy, kontraktorzy, pracownicy tymczasowi,

Faza 6: Zewnętrzni partnerzy mający dostęp do zasobów firmowych.

 

MFA staje się niezbędnym czynnikiem zabezpieczającym dostęp do aplikacji, zarówno dla administratorów jak i użytkowników końcowych. Jakie jeszcze rozwiązania i aplikacje mogą zostać zabezpieczone przy pomocy wieloskładnikowego uwierzytelniania?

MFA do aplikacji lokalnych (on-prem)

Jeżeli podłączymy aplikacje lokalne do rozwiązania pojedynczego logowania (SSO), możemy używać tych samych czynników uwierzytelniających dla aplikacji chmurowych jak i aplikacji lokalnych (on-premises). Obowiązuje tutaj ta sama polityka uwierzytelniania MFA – np. tylko jednokrotnie, dla poszczególnej aplikacji lub też na podstawie czasu sesji.

MFA do serwerów

Zdalny dostęp do serwerów to obecnie powszechność, jednak ze względu na to, że to one przechowują najbardziej krytyczne aplikacje biznesowe warto zadbać by dostęp do nich był szczególnie chroniony. Włącz wieloskładnikowe uwierzytelnianie (MFA), w momencie logowania do serwera poprzez RDP (niezależnie czy są to serwery chmurowe czy lokalne).

MFA dla połączeń VPN

Jeżeli dostęp do wielu aplikacji oraz zasobów biznesowych odbywa się w waszej organizacji poprzez połączenie VPN warto wybrać tego dostawcę, który pozwala na integracje z SSO w celu obsługi uwierzytelniania wieloskładnikowego (MFA). Obsługa czynników uwierzytelniania może się różnić w zależności od rozwiązania MFA, jednak zasada zawsze jest taka sama użytkownik otrzymuje zapytanie o dodatkowy składnik podczas nawiązywania połączenia. Rozwiązania VPN integrują się poprzez:

  • Integrację dostawcy rozwiązania VPN z rozwiązaniem SSO oraz uruchomienie logowania poprzez protokół SAML do usługi VPN. Pozwala to zmniejszyć ilość haseł w organizacji oraz dostarcza tych samych składników uwierzytelniania, które są dostępne dla innych aplikacji,
  • Integrację dostawcy VPN z dostawcą rozwiązania SSO używając serwera RADIUS. Użytkownicy będą proszeni o podanie jednorazowego kodu SMS, hasła podanego głosowo lub uwierzytelnienia poprzez aplikacje mobilną podczas uruchamiania połączenia VPN.

 

4. Jakie zasady dostępu powinny obowiązywać zdalnych pracowników?

Po wdrożeniu pojedynczego logowania (SSO) oraz wieloskładnikowego uwierzytelniania (MFA) dla wszystkich pracowników warto rozważyć również utworzenie bardziej szczegółowych zasad dostępu na podstawie kontekstu użytkownika, urządzenia, sieci czy lokalizacji. W tym wypadku możesz stworzyć szczegółowe zasady dostosowujące siłę polityki do potencjalnego ryzyka związanego z logowaniem. Poniżej przedstawiamy przykłady tych zasad:

  • Wyłączenie uwierzytelniania Office 365 opartego na protokołach POP/IMAP

Protokoły POP oraz IMAP omijają wymagania uwierzytelniania wieloskładnikowego. Z tego powodu najlepiej byłoby całkowicie zablokować dostęp do Office 365 za ich pośrednictwem. Więcej informacji na temat zabezpieczenia tych protokołów można znaleźć tutaj (link: https://www.okta.com/resources/whitepaper/securing-office-365-with-okta/thankyou/)

  • Utworzenie restrykcji sieciowych

Jeżeli organizacja potrzebuje blokować dostępu do zasobów z sieci, które są uznane jako niebezpieczne, przeglądarek tor lub ryzykownych lokalizacji geograficznych, możemy utworzyć politykę zabraniania dostępu lub poprosić o dodatkowy składnik uwierzytelniania dla użytkowników którzy próbują logować się z tego typu sieci.

  • Mailowe powiadamianie użytkowników końcowych

W związku z tym, że dostęp do zasobów firmowych odbywa się z różnych urządzeń oraz różnych lokalizacji, pomocne może być informowanie użytkowników w przypadku wykrycia podejrzanych lub rzadkich działań takich jak logowanie z nowego urządzenia, rejestracja nowego składnika MFA lub jego reset.

  • Weryfikacja dostępu z urządzeń mobilnych oraz laptopów

Zdalny tryb pracy wymusza umożliwienie pracy z prywatnych urządzeń, telefonów, tabletów czy laptopów. Po to, aby mieć pewność że tylko urządzenia zarządzane przez organizację mają dostęp do aplikacji biznesowych warto zintegrować rozwiązanie SSO z narzędziem zarządzającym urządzeniami mobilnymi. Pozwoli to na stworzenie restrykcyjnej polityki zakazującej pracy z niezarządzanych urządzeń bądź też wymusi uruchomienie dodatkowego uwierzytelnienia w postaci MFA.

 

Wszystkie powyższe praktyki zabezpieczenia pracy zdalnej umożliwia znajdujące się w naszej ofercie produktowej rozwiązanie OKTA. Zapraszamy do kontaktu w celu opowiedzenia o szerszym koncepcie zarządzania tożsamością w organizacji. W razie pytań, pozostajemy do dyspozycji.

Źródło: https://www.okta.com/secure-remote-workforce/?utm_source=okta_businesses_at_work_from_home&utm_medium=BaWFH_web_report#tools
O autorze

Kamil Jakubczyk

Praktyk IT z ponad 10-letnim doświadczeniem w wielu obszarach technologii informatycznych. Zdobywał doświadczenie w kilku firmach zapoznając się z wieloma technologiami dotyczącymi systemów przetwarzania danych, backupu, sieci informatycznych oraz urządzeń i systemów bezpieczeństwa IT zdobywając certyfikację oraz biorąc udział w szkoleniach i konferencjach tematycznych. Dzięki temu posiada techniczną wiedzę z szeroko pojętego świata informatyki. Ostatnie lata poświęcił rozwojowi w obszarze systemów bezpieczeństwa informacji oraz specjalistycznych narzędzi wspierających firmy w tym zakresie. Obecnie Product Manager oraz inżynier wdrożeniowy Okta w firmie EMS Partner.

ZAPISZ SIĘ
DO NEWSLETTERA

EMS Partner Sp. z o.o.
ul. Szyperska 14, 61-754 Poznań
tel.: +48 61 624 85 89
info@emspartner.pl

BeyondTrust Distribution Center
Jesteśmy dystrybutorem BeyondTrust na Europę Środkowo-Wschodnią