Onboarding-ul angajatilor – o problema de securitate?

Onboarding-ul angajatilor noi poate parea ca este o treaba pe care sa o faca strict departamentul de HR. Insa acel angajat va avea acces la resursele organizatiei, programele software si aplicatiile acesteia, va accesa reteaua si Internet-ul pentru a-si indeplini task-urile de zi cu zi si, cel mai probabil, va face aceste lucruri de pe un laptop si telefon puse la dispozitie de companie. Asa ca onboarding-ul unui angajat este si o datorie a departamentului IT care trebuie sa se asigure ca noul coleg va sti cum sa isi desfasoare activitatea in siguranta si cum sa reactioneze daca intalneste ceva dubios in mediul online.

In acest sens, departamentul IT impreuna cu CIO/CISO-ul organizatiei trebuie sa compuna un mic ghid de securitate prin care sa informeze angajatii noi despre conduita pe care sa o aiba atunci cand isi desfasoara online. Evident ca informatiile din ghid pot fi prezentate si angajatilor existenti din organizatie.

Cateva dintre aspectele care ar trebui tratate in acest document sunt:

Accesul la reteaua organizatiei si la resursele acesteia

  • folosirea unor parole puternice. Fiecare cont folosit de angajat trebuie sa fie protejat de o parola puternica si ar trebui evitata refolosirea unei parole folosita deja la alt cont. Astfel, daca un cont este compromis nu exista vreun risc ca si alt cont sa pateasca acelasi lucru.
  • pentru a nu impovara utilizatorul sa tina minte pe dinafara parola fiecarui cont in parte, acesta ar trebui incurajat sa foloseasca un program de management al parolelor. Un astfel de program este facut asa incat sa nu se faca “password reuse” si sa genereze o parola lunga si complexa care sa nu poata fi sparta cu usurinta printr-un atac de tipul “brute force”
  • parolele trebuie tinute secrete 😊. Nimeni in afara de proprietarul de drept al unui cont nu trebuie sa cunoasca parola de acces. Utilizatorul nu trebuie sa spuna parola de la email sau de la laptop vreunui coleg doar pentru ca el este in pauza de masa si un client are nevoie de un raport atunci, pe loc. Utilizatorul nu trebuie nici sa isi noteze parolele pe biletele si sa le lipeasca de monitor sau sub tastatura.
  • folosirea autentificarii in doi pasi oriunde se poate implementa aceasta masura de protectie. Astfel, un atacator chiar daca reuseste sa obtina parola contului, nu va putea avea acces la informatii. Solutii ca Microsoft Authenticator, Google Authenticator sau Cisco Duo sunt foarte usor de folosit, chiar si de catre aceia ca nu sunt tech-savvy.
  • utilizarea conexiunii VPN catre organizatie ori de cate ori utilizatorul foloseste o retea publica ca un hotspot sau reteaua dintr-o cafenea sau aeroport. Conexiunea VPN cripteaza traficul si face imposibila citirea acestuia de cineva care poate intercepta o sesiune. Pentru a nu uita pornirea VPN-ului, se recomanda a se configura o politica de acces de genul “always on VPN”. De indata ce laptopul este pornit, acesta sa se conecteze la VPN-ul organizatiei.

Securitatea documentelor

  • angajatul trebuie sa aiba acces strict la documentele necesare in activitatea sa. Principiulprivilegiului minim” trebuie exercitat si cand vine vorba de acces la informatii si documente.
  • documentele printate care contin informatii sensibile sau confidentiale trebuie distruse, dupa ce nu mai sunt necesare. Sunt cazuri in care organizatii au fost compromise prin atacuri de tipul “dumpster diving”. Hacker-ii sunt dispusi sa intre in tomberon si sa caute prin gunoi orice bucatica de foaie pentru a obtine informatiile dorite.
  • transferul documentelor catre colegi, clienti sau parteneri trebuie facut folosind un canal sigur de comunicare. Documentele ar trebui puse intr-o arhiva, iar aceasta sa fie parolata. Trasnsmiterea parolei trebuie sa fie facuta folosind un alt mijloc de comunicare, insa si acesta sigur (nu SMS). De exemplu, printr-o aplicatie care cripteaza traficul inainte de a-l transmite. Daca se folosesc servicii de tipul Google Docs sau Microsoft Sharepoint pentru partajarea documentelor, sa se foloseasca o adresa de email specifica si nu optiunea de “anyone with the link” 😊

Atentie la amenintarile cibernetice

  • angajatul nu trebuie sa dea click pe orice link din email-uri si sa verifice intodeauna adresa de la care vine mesajul. La prima vedere poate parea ca emailul a venit de la o sursa legitima, insa la o examinare mai atenta se poate dovedi contrariul. Pentru link-ul inclus in email este suficient sa se tina mouse-ul deasupra acestuia pentru a vedea exact destinatia acestuia. Daca link-ul este suspect, nu trebuie accesat.
  • atasamentele din email nu trebuie deschise daca acestea contin fisiere executabile. Adesea, acestea contin malware care se instaleaza pe sistemul utilizatorului daca sunt deschise. Atentie sporita trebuie avuta si la documentele de tip Office sau .pdf pentru ca ele pot contine macro-uri sau script-uri care reprezinta malware.
  • un stick USB gasit undeva intr-o cafenea, intr-o parcare sau mall nu trebuie connect la laptop sub nicio forma. Aceste atacuri de tip “USB drop” sunt o metoda eficienta, ieftina si preferata de atacatori pentru a raspandi si distribui malware.

Ideile de mai sus pot fi preluate de orice organizatie si pot fi personalizate dupa nevoile specifice fiecareia in parte. Angajatul mai trebuie sa stie si pe cine sa contacteze daca a primit un email suspicios sau daca laptopul se poarta ciudat (mouse-ul se misca singur, se deschid sau se inchid ferestre de la sine, se misca greu, etc). Aceasta persoana poate fi un inginer din departamentul IT, administratorul de retea sau chiar CIO/CISO-ul.

Inginerii Dendrio va pot ajuta la construirea si personalizarea acestui ghid de securitate pentru onboarding-ul angajatilor noi avand in vedere domeniul de activitate, business case-ul organizatiei si sistemele de securitate deja implementate.

Meniu