Juhtimine
10.09.2020, 20:31

Hajusad meeskonnad ja hajus turvalisus - kuidas kaitsta meeskondi kodukontoris

 
Tauno Telvik, OIXIO AS tegevjuht
OIXIO ASi tegevjuht Tauno Telvik.
OIXIO ASi tegevjuht Tauno Telvik.
FOTO: Foto: MK Foto.Maaris Puust.Kaupo Puust, OIXIO
Sügisel jätkavad paljud organisatsioonid vähemalt osaliselt kaugtööd. Kuidas olla kindel, et töö käigus vahetatavad andmed on kaitstud? Millised on kaugtööd peamised turvariskid? Milliseid samme peaks ettevõtte juhtkond turvalisuse kaitsmiseks astuma, selgitab OIXIO tegevjuht Tauno Telvik.

Hajusate meeskondadena või kaugtöö režiimil töötamine on paljude organisatsioonide jaoks juba ammu tavapärane. Võimalus valida paindlikult oma töötamise kohta ja aega on teadmuspõhiste töötajate jaoks on iseenesestmõistetav ning organisatsioonid, mis seda võimalust ei paku, on tööturul tipptalentidele konkureerimisel selgelt kehvemas seisus.

Ülemaailmne koroonapandeemia sundis aga paljud teisedki organisatsioonid üleöö oma meeskonnad kaugtöö režiimile üle viima, olid nad selleks valmistunud või mitte. Esmajoones lahendati ära kõige olmelisemad probleemid, et töö saaks reaalselt jätkuda, infoturbe küsimus ei olnud paljude jaoks prioriteetide tipus. Oleme saanud nüüdseks pisut kohaneda ja kõige põletavamad küsimused lahendada. Kui turvalisus ei olnud enne prioriteet nr 1, siis nüüd on aeg see esikohale tõsta.

Erinevad võimalused ja jääv muutus

Tulenevalt organisatsiooni omapäradest võib kaugtöö võimalusi olla erinevaid. On ettevõtteid, mis saavad töötada täielikult hajusatena, st kõik töötajad töötavad kaugelt, kokku on lepitud kindel tööaeg, kuid kontori järele vajadus puudub. Sellest veel samm edasi on olukord, kus ei ole isegi kokkulepitud tööaega, vaid ühised eesmärgid, mida täidetakse sobilikul ajal. Oleme ausad, need on mõlemad pigem väga harva esinevad stsenaariumid. Seni oli tavapärane, et töötajad, kelle ametikoht lubas, tegid aeg-ajalt eemalt tööd, kuid alati oli keegi kontoris ning töö käis nö hübriidrežiimis. Aeg-ajalt tundsid kaugtöötajad vajadust kontorist tegutseda, kuna vastasel juhul kippusid nad ilma jääma olulisest informatsioonist ning pelgasid, et suhete jahenemise tulemusena võib kannatada nende karjääritrajektoor. Tegelikkuses ei olnud ka suur osa juhte tahtnud anda töötajatele töötegemise koha valikul täielikku vabadust

Koroonaviiruse puhang muutis seda pilti täielikult. Kuigi täielikult hajusad meeskonnad on endiselt haruldased ja töö käib enamjaolt hübriidrežiimis, on oluliselt rohkem neid, kes peaasjalikult töötavadki kontorist eemal, kasutades kolleegide ja klientidega suhtlemiseks tänaseks väga heal tasemel digitaalseid vahendeid. Kriis sundis infovahetust tõhustama ja seetõttu ei ole FOMO enam niivõrd suur probleem kui enne. Kuna pealesunnitud kaugrežiim näitas, et töötajate produktiivsus enamjaolt ei langenud, siis juhtide valmisolek jäävaks muudatuseks on kindlasti tõusnud.

Erinevates organisatsioonides, sh OIXIOs, läbiviidud küsitlused näitavad, et enamik töötajatest soovivad edaspidi töötada vähemalt pooled päevad kontorist eemal ja oluline osa soovib edaspidi teha seda 100% ajast. Kaugtöö on tulnud, et jääda ja IT-taristu peab selle muutusega kaasa tulema.

Küberturbe väljakutsed hajusates meeskondades

Võib julgelt väita, et küberturbe väljakutseid jagus organisatsioonidele juba enne hajusatesse meeskondadesse jagunemist. Endiselt on väga paljudel juhtudel hügieenitase saavutamata ja sealt tulekski alustada. Kaugtöö režiim lisab veel komplekti lisamuresid (ja võimalusi pahalastele).

Hügieenitasemeks võib lugeda tugevat paroolipoliitikat, kahetasemelist autentimist kõikide teenuste kasutamiseks, ajakohase lõppkasutajaseadmete turvalahenduste kasutust ja turvapaikamist, rakendustundliku tulemüürilahenduse kasutust ning organisatsiooni töötajate koolitamist elementaarse küberhügieeni teemal. Kui töötajad liiguvad andmeid kandvate seadmetega kontorist väljaspool, on ka kõvaketta krüpteerimine väga oluline.

Need on olukorrad, mis tuleb ära lahendada sõltumata sellest, kas peamine tööviis on kontoripõhine või kaugtöö. Kaugtöö lisab siia lihtsalt veel ühe mõõtme - IT-osakonna poolt kontrollimata keskkonna.

Hajusate meeskondade lisaohuallikad

Hajusatel meeskondadel on lisaks tavapärastele järgmised küberturvariskid:

  • Kasutatakse avalikke või lihtsalt korrektselt turvamata internetiühendusi.
  • Kasutatakse isiklikke, jagatud kasutuses seadmeid töö tegemiseks ehk seadmed ei ole organisatsiooni kontrolli all
  • Kasutatakse erakontodega registreeritud rakendusi töö tegemiseks
  • Oluliselt suuremat mahtu infot vahetatakse e-kirja või muu digitaalse kanali vahendusel
  • IT-tugi ja nõu ei ole kiirelt kättesaadav ja organisatsiooni sise-IT ei jõua kõigi probleemidega tegeleda
  • Kolleegid ei ole vahetus läheduses - e-kirjade valiidsust ei saa "üle ukse" kontrollida

Kuidas aga hajusate meeskondade töö turvalisemaks muuta?

  1. Varustage kõik kaugtöötajad ettevõtte poolt hallatavate ja turvatasemele vastavate tööseadmetega - eraseadmetes ei peaks äriandmeid olema.
  2. Mobiilseadmed, mida kasutatakse nii tööks kui eraeesmärkidel, olgu mobiilseadmete haldustarkvara poolt hallatud.
  3. Tööseadmed ühendugu automaatselt ja alati krüpteeritud VPN tunneliga ettevõtte tulemüüri, kus teostatakse turvakontroll.
  4. Tundliku info vahetus toimugu mitte e-kirja manustena, vaid spetsiaalselt vastuvõtjale genereeritud linkide abil või ID-kaardiga krüpteerides, et vältida ekslikult info valedele inimestele edastamist.
  5. Disainige töövahendid, sh tarkvaralised rakendused selliselt, et neid on mugav kasutada - et töötaja ei peaks kasutusmugavust otsima potentsiaalselt ebaturvalistest kolmanda osapoole pilverakendustest.
  6. Kasutage lõppkasutaja turvalahendusi, mis kasutavad masinõpet ja liivakasti ehk "sandboxi" tehnoloogiat pahavara sisaldavate e-kirjade manuste tuvastamiseks.
  7. Krüpteerige kõik tööalaseid andmeid sisaldavate seadmete kõvakettad (hügieenitase, aga tuletame meelde).
  8. Leppige kokku selged reeglid, millist infot vahetatakse e-kirja teel. Näiteks raamatupidajad võiksid teada, et ülekandeid e-kirjas edastatud palvete peale ei tehta.
  9. Veenduge, et teie IT-tugiteenuse leping sisaldab ka kodukasutajate tuge.
  10. Kaaluge turvaintsidentide monitooringu ja reageerimise teenuse kasutamist.

Kokkuvõte

Hajusate meeskondade töö efektiivne korraldamine on väljakutseterohke ja küberturvalisus on vaid üks aspekt, mida arvestada. Kuna see toob kaasa täiendava ohu organisatsiooni väärtuslikuimale varale - andmetele, siis peaks see selgelt olema prioriteetide nimekirja ülemises otsas. Samas tuleb vaadata turvalisust alati toimivuse ja kasutusmugavusega kontekstis, unustamata sealjuures töötajate turvateadlikkuse pideva tõstmise vajadust. Suure pildi nägemine ja süsteemne lähenemine on siin ülimalt oluline, seega on igati mõistlik kaasata juba planeerimisfaasis partner, kellel on võimalik rakendada pikaajalist kogemust ja parimaid praktikaid. Kõike ei pea ise tegema.

Kommenteeri Loe kommentaare
Delfi
Jaga
Kommentaarid