Securitatea Informației și Protecția Datelor cu Caracter Personal în contextul telemuncii și utilizării echipamentelor IT personale.

Pentru ușurința prezentării celor de mai jos, vom cataloga Datele cu Caracter Personal drept date confidențiale aparținând organizației dumneavoastră și vom încerca să explicăm câteva măsuri de bază pentru protejarea lor, în conformitate cu legislația și standarde actuale. Prin date confidențiale înțelegem acele date care pierdute, incomplete, dezvăluite unor persoane neautorizate pot cauza pagube însemnate din punct de vedere juridic, financiar sau de imagine. Aceste date necesită inventariere corectă și completă, marcare distinctă, manipulare procedurată și asigurarea confidențialității, integrității și disponibilității.

Asigurați-vă că toți angajații au semnat contracte sau anexe conform legislației in vigoare privind telemunca. Aceste documente constituie baza pentru măsurile ulterioare, atât tehnice cât și organizatorice.

Conștientizarea angajaților este cheia succesului inițiativei privind Securitatea Informațiilor în general, inclusiv în programele de telemuncă. Tehnologiile sunt suficient de avansate încât să ofere un nivel rezonabil de protecție atunci când sunt corect implementate, dar ultima acțiune, cea care poate duce la pierderi sau dezvăluiri de date importante, aparține tot utilizatorului. Aveți în vedere comunicări în acest sens către angajați, fie prin emailuri care sa conțină, spre exemplu, Top 10 acțiuni de tipul „În siguranță / Periculos”, sau prezentarea acestui Top 10 într-o conferință audio sau video lunară.

Top 10

Acordați atenție relației contractuale cu partenerii, atât furnizori cât și clienți. Există posibilitatea ca unii dintre ei să nu fie de acord total sau parțial cu telemunca și atunci sunt necesare soluții specifice. Aveți în vedere acordul privind nivelul serviciilor furnizate și posibilitatea neatingerii obiectivelor stabilite la semnarea contractului. Obțineți acordul explicit al acestora și solicitați instrucțiuni clare privind Securitatea Informației și Protecția Datelor cu Caracter Personal, după caz.

De asemenea, solicitați ajutorul Managerului IT sau companiei care vă oferă suport IT pentru îmbunătățirea sau crearea de soluții tehnice noi pentru telemuncă. Acest ajutor este esențial, pentru că anumite soluții gratuite sau foarte ieftine la început pot fi nescalabile sau pot duce în timp la costuri foarte mari de administrare și întreținere.

Recomandările următoare au fost întocmite urmând bune practici IT și cerințe standardizate conform ISO27001 și CIS Controls.

Printre exemple se regăsesc soluții Open-source. Deși asigură funcționalitatea necesară, există anumite riscuri privind mentenanța și suportul. Majoritatea soluțiilor Open-source oferă și varianta cu suport și mentenanță plătite și recomandăm orientarea spre aceste versiuni. Încurajăm și donațiile către soluțiile Open-source folosite, pentru a asigura finanțarea necesară dezvolatării continue.

Fie că angajatul folosește propriul calculator sau își transporta acasă calculatorul folosit la birou, sfaturile și instrucțiunile următoare vor fi de folos.

În majoritatea cazurilor, orice calculator mai nou de 5 ani se poate achita cu succes de sarcinile zilnice ale lucrătorilor de acasă: aplicații de tip office, email, mesagerie instantanee(chat), CRM sau ERP, aplicații specifice financiar-contabile, pentru resurse umane sau din zona juridică. Un aport sensibil de performanță, la costuri minimale, îl reprezintă instalarea unui SSD și a minim 8GB RAM, în cazul în care acestea nu sunt deja prezente.

Am încercat sintetizarea unor cerințe minimale, accesibile oricarei organizații care beneficiază de suport IT intern sau externalizat. O mare parte din aceste recomandări pot fi implementate si de utilizatori cu cunoștințe medii generale IT. Recomandăm însă solicitarea ajutorului unor specialiști IT, în special pentru măsurile privind criptarea, anumite setări sau implementări incorecte putând duce la pierderea ireversibilă a datelor.

Așadar, un set minimal de recomandări pentru calculatorul de acasă, fie personal sau apaținând organizației:

  • Creați conturi de utilizator unice și cu privilegii limitate pentru fiecare persoana. Protejați-vă contul de lucru cu o parolă complexa, de minim 12 caractere pe care sa o schimbați periodic. Evitați folosirea acelorlași parole pentru conturile personale și cele profesionale, de preferat fiind folosirea unei parole unice per serviciu.
  • Creați o parola complexă pentru contul cu privilegii administrative. Folosiți acest cont numai când este necesar(instalarea unei noi aplicații, activități de mentenanță).
  • Setați blocarea ecranului sesiunii de lucru la 10 minute de inactivitate.
  • Instalați si mențineți activă o soluție antimalware(antivirus, antispyware). Încercați să folosiți o soluție comercială, cu funcții avansate.
  • Mențineți activă soluția Firewall și acordați atenție alertelor acesteia.
  • Nu instalați sisteme de operare sau aplicații nelicențiate sau piratate.
  • Acordați atenție la sursele de unde descărcați și instalați aplicații gratuite. Exista multe site-uri plasate in zona promovată de motoarele de căutare care reîmpachetează aplicații gratuite lângă aplicații malware sau generatoare de reclame. Căutați site-ul valid al producatorului respectivei aplicații.
  • Actualizați periodic(lunar), sau ori de câte ori este necesar, sistemul de operare și aplicațiile folosite.
  • Evitați stocarea locală a datelor confidențiale. În funcție de soluțiile implementate, folosiți soluții Cloud sau serverele organizației, accesate prin VPN.
  • Utilizați solutiile criptografice pentru protejarea stocării locale. Este recomandată criptarea integrala a unităților fixe de stocare(harddisk, SSD). Dacă nu este posibila criptarea integrala a discurilor folosind functii incluse in sistemele de operare, există solutii terțe cu care se poate aplica criptarea integrală sau se pot crea zone protejate pe harddisk sau SSD unde datele sunt stocate criptate.
  • Dacă acest calculator este folosit ocazional și de copii, activați masurile de control parental si monitorizați aplicațiile folosite si site-urile vizitate. Folosiți o solutie pentru blocarea resurselor din Internet nepotrivite pentru copii(filtrare conținut).
  • Nu salvați parole în fișiere text, pe desktop sau chiar in browsere. KeePass, soluție gratuită, oferă funcționalități multiple pentru gestionarea sigură a parolelor.
  • În cazul în care nu este posibilă evitarea utilizării mediilor de stocare externe, este necesar un inventar și aprobarea utilizarii acestora. Mediile portabile trebuie sa fie intotdeauna criptate (BitLocker, VeraCrypt) și folosite doar în cazuri excepționale.

Rețeaua de acasă este o țintă în creștere și măsuri de protecție sunt necesare:

  • Schimbarea parolelor standard pentru administrarea echipamentelor este esențială. Folosiți parole unice, complexe, diferite de cele utilizate pentru alte platforme online.
  • Actualizați, daca este posibil, versiunea de software/firmware a echipamentelor de rețea(router WiFi, AccessPoint WiFi și a dispozitivelor conectate la rețea: senzori, smartTV, monitoare copii, asistenți digitali, supraveghere video, alte echipamente din familia “smart”. Evitați, pe cât posibil, folosirea de echipamente foarte vechi, în special dacă necesită conexiune la Internet. Schimbați parolele standard de administrare ale acestor echipamente.
  • Pentru Wireless, folosiți tehnologii moderne de criptare: WPA2/3-AES, parola complexă și schimbată periodic. Dacă echipamentul permite, activați o conexiune WiFi(SSID) dedicată lucrului de acasă, separată de restul rețelei.
  • Evitați expunerea la Internet de servicii de acces de la distanță: servicii de remote desktop, interfețe de administrare și acces supraveghere video și monitorizare copii. Există soluții VPN și pentru acest tip de necesități. Pentru suport de la distanță, echipa IT vă va oferi soluția potrivită și autorizată.

Pentru multe IMM, infrastructura existentă va rămâne de bază pentru desfășurarea activităților, inclusiv telemuncă. Venim și aici cu un set de recomandări pentru îmbunătățirea măsurilor privind Securitatea Informației:

  • În cazul în care soluțiile interne folosite de firmă rămân active și trebuie accesate de la distanță, folosiți exclusiv conexiuni VPN securizate pentru a le accesa de acasă. Există soluții Open-source capabile să ofere protecția necesară. Este esențial să utilizați soluții actuale, fără vulnerabilități cunoscute, care includ tehnologii criptografice moderne: AES256, SHA256 sau mai mare. Spre exemplu, implementările OpenVPN oferă flexibilitatea și protecția necesare. Evitați utilizarea de protocoale învechite, cu vulnerabilități cunoscute și ușor de exploatat. PPTP este un astfel de serviciu învechit.
  • Solicitați echipei IT instalarea soluției VPN într-o zona izolată a rețelei interne și folosirea unui firewall care să permită doar traficul necesar clienților VPN. Insistați pe folosirea unei soluții care să permită autentificarea la VPN cu mai mulți factori, de exemplu certificat și combinația cont+parolă unice, evitând partajarea credențialelor VPN între utilizatori.
  • Insistați pe efectuarea frecventă de copii de siguranță ale bazelor de date și fișierelor stocate pe serverele din infrastructura internă, precum si pe implementarea unei soluții de copii de siguranță având ca destinație platforme externe, accesibile fără acces fizic. Criptarea datelor înainte de părăsirea rețelei interne este obligatorie!
  • Există și posibilitatea ca, prin VPN, utilizatorii să-și acceseze de la distanță calculatoarele de la birou, dar trebuie reasigurată pornirea acestora în cazul întreruperii alimentării cu energie electrică.
  • Asigurați-vă că lățimea de bandă disponibilă la birou este suficientă pentru conectarea simultană a lucrătorilor de la distanță. Aveți in vedere o creștere a capacității sau mutarea anumitor servicii interne pe alte platforme sau în Cloud. În cazul accesării anumitor resurse direct prin Internet, insistați pe utilizarea de protocoale securizate(https, imaps, smtps) și autentificare multifactor.
  • Solicitați implementarea unui sistem centralizat, automatizat, de management al activelor IT. Este necesară inventarierea tuturor activelor și datelor, clasificarea și monitorizarea acestora. Asigurați-vă ca echipamentele sunt predate către utilizatori în baza unor procese verbale și conform cu nevoile acestora.
  • Sistemele expuse la Internet sunt țintele principale pentru atacuri externe. Este esențială protejarea acestora prin folosirea de tehnologii criptografice moderne, cu certificate digitale valide și metode suplimentare de protecție: managementul vulnerabilităților, sisteme de detectarea și prevenirea intruziunilor-IDS/IPS, sisteme de tip application firewall, utilizarea de zone de rețea izolate-DMZ. Se recomandă îmbunătățirea soluției de filtrare de conținut prin activarea funcțiilor de jurnalizare a accesului, în special în cazul utilizatorilor cărora le sunt blocate doar anumite destinații în baza unor liste(blacklisting). Exemple de solutii: S/MIME pentru email, utilizare TLS1.2, 1.3, cu cifru puternic >=256bit, cu cheie puternica >=4096bit. IDS/IPS: Snort, Suricata, segmentare retea L2-VLAN si L3-Subnet, cu routere și firewalluri interne. Se recomandă menținerea unui echilibru între complexitate, funcționalitate și securitate. Toate segmentele rețelei în care sunt procesate și stocate date sensibile(inclusiv DCP), folosite pentru trafic administrativ, folosite pentru trafic Internet trebuie monitorizate cu soluții IDS/IPS, care să transmită alerte către persoanele autorizate și loguri către sistemul centralizat. Exemple de soluții: pentru rețea: Snort, Suricata, Cisco, Zeek; pentru stații de lucru, laptopuri, servere: OSSEC, Tripwire, Wazuh, BitDefender, F-Secure.
  • Este esențială utilizarea de echipamente, licențe și soluții aflate în perioada de suport. Actualizări periodice sau la descoperirea unor vulnerabilități critice ajută la prevenirea incidentelor. Este necesar un sistem centralizat de gestionare a actualizărilor. Sunt necesare scanări periodice pentru vulnerabilități, atât din exteriorul cât și în interiorul infrastructurii. Scanările externe vor viza serviciile expuse la Internet și vor fi efectuate periodic sau ori de cate ori apare o schimbare. Scanările interne vor viza toate serviciile interne care procesează sau stochează date confidențiale (DCP, Resurse Umane, conturi utilizatori) precum și echipamentele esențiale ale infrastructurii: servere, echipamente de rețea. Scanările interne vor utiliza conturi cu privilegii administrative, nu vor fi blocate prin firewall sau IDS/IPS și vor fi efectuate în afara programului de lucru, pentru prevenirea întreruperilor. Exmple de soluții: OpenVAS, Rapid7 Nexpose, BeyondTrust Retina, Tenable Nessus, OWASP, Acunetix.
  • Este necesară identificarea tuturor sistemelor care procesează și stochează date sensibile(inclusiv DCP) și setarea jurnalizării accesărilor operaționale și administrative pentru transmiterea către soluția centralizată. De asemenea, se recomandă centralizarea logurilor generate de: accesări administrative ale echipamentelor de rețea și serverelor critice din infrastructură, soluțiile firewall și de tip IDS/IPS (administrative cât și operaționale), soluțiile VPN. Exemple de soluții: Graylog, Splunk, ELK.
  • Este esențială existența unui plan de management al incidentelor privind Securitatea Informației. Pregatiți un proces care să pregătească persoanele din organizație cu atribuții în cazul unui incident. Actualizați lista de contacte privind suportul IT, consultanță juridică și din zona Securității Informației. Stabiliți metodele de comunicare către autorități și persoanele fizice afectate sau potențial afectate de incident. Organizați instruiri periodice și faceți simulări privind incidentele.

Încheiem cu câteva sfaturi privind utilizarea în general a tehnologiei și Internetului:

Tehnicile de inginerie socială se rafinează și atacurile sunt mai bine țintite. Nu deschideți emailuri nesolicitate, nu urmați instrucțiuni care solicită imperativ și urgent acțiuni potențial periculoase: transmiterea de informații despre parteneri sau colegi, efectuarea de transferuri financiare, introducerea datelor de acces(conturi de utilizator și parole) pentru confirmarea anumitor servicii, accesarea unui link sau a unei aplicații de control de la distanță pentru “remedierea unei situații foarte urgente și periculoase”.

Responsabilitatea protejarii datelor aparține tuturor celor implicați și ignorarea sau incălcarea unei măsuri aparent minore poate avea efecte dezastruoase pentru organizație.