![[Shutterstock] За авторите Митко Карушков е съдружник в адвокатско дружество](https://www.capital.bg/shimg/zx620y323c_4042039.jpg)
Как да се намалят IT рисковетe при работа от вкъщи
[Shutterstock] За създателите
Митко Карушков е съучастник в адвокатско сдружение " Камбуров и съдружници " и началник на отдел " Технологии, медии и телекомуникации ".
Марио Арабистанов е член на отдел " Телекомуникации, медии и технологии " в сдружението. През предходната седмица с решение на Народното събрание на Република България беше оповестено изключително състояние по отношение на нуждата да се ограничи разпространяването на CoVid-19. Малко по-късно със заповед на министъра на опазването на здравето беше въведен пакет от ограничения, които по своя темперамент са ограничаващи и засегнаха разнообразни сфери на публичния живот. Логично, част от ограниченията имаха за собствен получател частните бизнеси и техните връзки със чиновниците им, а точно: " Всички работодатели според от спецификата и опциите на съответната трудова активност да вкарат отдалечена форма на работа за чиновниците си. "
Концепцията за работа от у дома (home office) не е нещо ново в България. В последните години това се трансформира в общоприетоо решение, което дава еластичност на чиновниците и икономисва разноски на работодателите по наем на по-големи офис площи. Разликата с сегашния случай е мащабът на използване на home office практиката.
Ситуацията с ковид Четете хронологията на събитията без непотребна страст в Дневник Затварянето на физическите офиси на фирмите и всеобщата работа от у дома води до неизбежни последствия за бизнеса, които включват, само че и излизат отвън финансовите такива - отдалечен достъп до сървърите на фирмите (напр. посредством VPN), понижен надзор върху интернет интензивността на потребителите, потребление на персонални устройства, които не са с подобаваща отбрана или употребяват нелицензиран програмен продукт, и други Тази цялост от фактори основава удобна среда за хакерски атаки против IT системите на фирмите посредством изпращане на " фишинг " мейли, опити за инсталиране на злотворен програмен продукт и така нататък В подобен миг времето за реакция на чиновниците, ангажирани със сигурността, би било доста по-дълго, в сравнение с в общоприетия работен развой.
Възниква разумният въпрос " Какво могат да създадат работодателите, с цел да минимизират риска от пробиви в сигурността на информацията? "
Технически ограничения
На първо място, следва да бъдат въведени подобаващи механически ограничения за отбрана. Ключово в този случай би било потреблението на лицензиран и благонадежден програмен продукт за отбрана от разнообразни типове хакерски атаки. Друга мярка би могла да бъде въвеждането на ограничавания на достъпа до избрани страници, които биха могли да съставляват опасност за сигурността на ИТ системите на съответния шеф. Като в допълнение превантивно деяние работодателите биха могли да лимитират опцията на потребителите да конфигурират програмен продукт на корпоративните си устройства (лаптопи, таблети, мобилни телефони и т.н.).
Организациите, които употребяват облачна инфраструктура за реализиране на бизнес връзките си, не би трябвало да срещат проблеми по отношение на нетипичната работна среда при изключителното състояние. Във всеки случай, в случай че се съчетава потребление на облачни услуги и работа от разстояние, целесъобразни са следните ограничения: обезпечаване на достъп до облака за устройства, подобаващи за работа от домашна среда; обезпечаване на нужните ограничения за киберсигурност при използването на тези устройства; обезпечаване на опция за потребление на " служебни устройства " отвън офисна среда (със наложителните ограничения за сигурност); Компаниите могат да обмислят обезпечаване на използването на приложения за бизнес връзка, както и внедряването им (някои компании към този момент предоставиха безвъзмезден достъп за избран интервал от време). Тук още веднъж е належащо личният състав да бъде осведомен с изискванията за прилагане и да бъде виновен при потреблението на сходни запаси.
Организационни ограничения
Голяма част от ограниченията, разказани нагоре, биха били мъчно използвани, в случай че при работата си от у дома чиновниците употребяват персоналните си устройства. Решение на този проблем би било даването на корпоративни устройства, които дават отговор на съответните критерии за сигурност. Ако компанията не разполага с такива, то закупуването на нов хардуер би било обвързвано със значителен разход, който би могъл да се окаже недоходоносен с оглед финансовите вреди на работодателите, зародили по отношение на изключителното състояние. Възможно решение, което би представлявало по-малко финансово задължение за работодателя, би било със заповедта за въвеждане на отдалечена работа работодателят да осведоми своите чиновници, които употребяват персоналните си устройства за работни цели, че ще обезпечи закупуването на лицензи за антивирусен или различен предпазен програмен продукт.
Балансът сред сигурността на IT системите на работодателите и работата от разстояние може да бъде импортиран от използването на съществуващите регулации и въвеждането на нови такива.
Законови отговорности на чиновниците
Кодексът на труда (в член 126, т. 5) вкарва обвързване за чиновниците да съблюдават техническите и софтуерните правила на работодателя. Това обвързване е въведено по отношение на потребление на оборудването на работодателя в границите на работния развой - категория, в която попада и потреблението на IT инфраструктурата. Технологичните и техническите правила следва да бъдат признати от съответния шеф и да включват ограничавания и отговорности по отношение на потреблението на IT инфраструктурата на компанията.
Вътрешни правила за IT сигурност
Една част от бизнесите към този момент имат признати вътрешни правила по отношение на потребление на IT инфраструктурата на компанията, на корпоративните устройства, на корпоративната мрежа, отдалечен достъп до сървъри посредством VPN и други Те са обвързващи за чиновниците и следва да бъдат спазвани, като глобата за нарушаването им включва търсенето на дисциплинарна отговорност.
От оперативна позиция признатите правила или тези, които предстоят да бъдат признати, могат да бъдат инкорпорирани в правилника за вътрешния трудов ред на съответната организация. С оглед действеност и изясненост би могло да се сметне за по-удачно да се изведат в обособени документи, които да имат освен регулаторно/формално значение, а да бъдат потребни за организацията на работния развой в границите на компанията.
С оглед на обстоятелството, че вътрешните актове на работодателя следва да бъдат сведени до знанието на чиновниците, с цел да бъдат обвързващи за тях, поражда въпросът по какъв начин да действа работодателят, в случай че към този миг към момента няма признати правила по отношение на IT сигурността, а чиновниците към този момент работят от у дома и няма по какъв начин да им бъде възложен физически образец, който чиновниците да прочетат и подпишат, че са осведомени.
Възможно решение на този въпрос е обещано в член 4 от Наредбата за типа и условията за основаването и съхраняването на електронни документи в трудовото досие на служащия или служителя, а точно, че страните по трудовото правно отношение могат да се договорят в трудовия контракт или в друга писмена форма да бъдат получатели на електронни изказвания посредством е-поща. В този случай признатите правила могат да бъдат изпратени до електронните пощи на чиновниците и по този метод да се обезпечи формалното им обвързващо деяние.
Остава обаче рискът за валидността на връзката сред шеф и чиновник при неналичието на сходни сделки. При такава обстановка служителят още веднъж ще е привързан със задължението да опазва имуществото и репутацията на своя шеф, което включва и сигурността на базите данни и IT системите.
Възможен е един промеждутъчен метод, посредством който по едно и също време със заповедта, която вкарва работата от разстояние, да се дават и инструкции съгласно характерния бизнес на съответния шеф.
Въведените от заповедта противоепидемични ограничения несъмнено ще окажат въздействие върху действието на бизнеса като организъм, като с изключение на всичко е допустимо организациите да станат по-уязвими за хакерски атаки, защото отдалечената работа и пониженият потенциал усилват рисковете, както и времето за реакция на отделите по киберсигурност. Факт е, че на тези опасности може да се опълчи построяването на ясно написана организация посредством вътрешни правила за потребление на IT инфраструктурата и отдалечен достъп до сървърите на фирмите, което, съчетано с имплементирането на подобаващите механически ограничения, би довело до по-гладка миграция от офис към home office.
Митко Карушков е съучастник в адвокатско сдружение " Камбуров и съдружници " и началник на отдел " Технологии, медии и телекомуникации ".
Марио Арабистанов е член на отдел " Телекомуникации, медии и технологии " в сдружението. През предходната седмица с решение на Народното събрание на Република България беше оповестено изключително състояние по отношение на нуждата да се ограничи разпространяването на CoVid-19. Малко по-късно със заповед на министъра на опазването на здравето беше въведен пакет от ограничения, които по своя темперамент са ограничаващи и засегнаха разнообразни сфери на публичния живот. Логично, част от ограниченията имаха за собствен получател частните бизнеси и техните връзки със чиновниците им, а точно: " Всички работодатели според от спецификата и опциите на съответната трудова активност да вкарат отдалечена форма на работа за чиновниците си. "
Концепцията за работа от у дома (home office) не е нещо ново в България. В последните години това се трансформира в общоприетоо решение, което дава еластичност на чиновниците и икономисва разноски на работодателите по наем на по-големи офис площи. Разликата с сегашния случай е мащабът на използване на home office практиката.
Ситуацията с ковид Четете хронологията на събитията без непотребна страст в Дневник Затварянето на физическите офиси на фирмите и всеобщата работа от у дома води до неизбежни последствия за бизнеса, които включват, само че и излизат отвън финансовите такива - отдалечен достъп до сървърите на фирмите (напр. посредством VPN), понижен надзор върху интернет интензивността на потребителите, потребление на персонални устройства, които не са с подобаваща отбрана или употребяват нелицензиран програмен продукт, и други Тази цялост от фактори основава удобна среда за хакерски атаки против IT системите на фирмите посредством изпращане на " фишинг " мейли, опити за инсталиране на злотворен програмен продукт и така нататък В подобен миг времето за реакция на чиновниците, ангажирани със сигурността, би било доста по-дълго, в сравнение с в общоприетия работен развой.
Възниква разумният въпрос " Какво могат да създадат работодателите, с цел да минимизират риска от пробиви в сигурността на информацията? "
Технически ограничения
На първо място, следва да бъдат въведени подобаващи механически ограничения за отбрана. Ключово в този случай би било потреблението на лицензиран и благонадежден програмен продукт за отбрана от разнообразни типове хакерски атаки. Друга мярка би могла да бъде въвеждането на ограничавания на достъпа до избрани страници, които биха могли да съставляват опасност за сигурността на ИТ системите на съответния шеф. Като в допълнение превантивно деяние работодателите биха могли да лимитират опцията на потребителите да конфигурират програмен продукт на корпоративните си устройства (лаптопи, таблети, мобилни телефони и т.н.).
Организациите, които употребяват облачна инфраструктура за реализиране на бизнес връзките си, не би трябвало да срещат проблеми по отношение на нетипичната работна среда при изключителното състояние. Във всеки случай, в случай че се съчетава потребление на облачни услуги и работа от разстояние, целесъобразни са следните ограничения: обезпечаване на достъп до облака за устройства, подобаващи за работа от домашна среда; обезпечаване на нужните ограничения за киберсигурност при използването на тези устройства; обезпечаване на опция за потребление на " служебни устройства " отвън офисна среда (със наложителните ограничения за сигурност); Компаниите могат да обмислят обезпечаване на използването на приложения за бизнес връзка, както и внедряването им (някои компании към този момент предоставиха безвъзмезден достъп за избран интервал от време). Тук още веднъж е належащо личният състав да бъде осведомен с изискванията за прилагане и да бъде виновен при потреблението на сходни запаси.
Организационни ограничения
Голяма част от ограниченията, разказани нагоре, биха били мъчно използвани, в случай че при работата си от у дома чиновниците употребяват персоналните си устройства. Решение на този проблем би било даването на корпоративни устройства, които дават отговор на съответните критерии за сигурност. Ако компанията не разполага с такива, то закупуването на нов хардуер би било обвързвано със значителен разход, който би могъл да се окаже недоходоносен с оглед финансовите вреди на работодателите, зародили по отношение на изключителното състояние. Възможно решение, което би представлявало по-малко финансово задължение за работодателя, би било със заповедта за въвеждане на отдалечена работа работодателят да осведоми своите чиновници, които употребяват персоналните си устройства за работни цели, че ще обезпечи закупуването на лицензи за антивирусен или различен предпазен програмен продукт.
Балансът сред сигурността на IT системите на работодателите и работата от разстояние може да бъде импортиран от използването на съществуващите регулации и въвеждането на нови такива.
Законови отговорности на чиновниците
Кодексът на труда (в член 126, т. 5) вкарва обвързване за чиновниците да съблюдават техническите и софтуерните правила на работодателя. Това обвързване е въведено по отношение на потребление на оборудването на работодателя в границите на работния развой - категория, в която попада и потреблението на IT инфраструктурата. Технологичните и техническите правила следва да бъдат признати от съответния шеф и да включват ограничавания и отговорности по отношение на потреблението на IT инфраструктурата на компанията.
Вътрешни правила за IT сигурност
Една част от бизнесите към този момент имат признати вътрешни правила по отношение на потребление на IT инфраструктурата на компанията, на корпоративните устройства, на корпоративната мрежа, отдалечен достъп до сървъри посредством VPN и други Те са обвързващи за чиновниците и следва да бъдат спазвани, като глобата за нарушаването им включва търсенето на дисциплинарна отговорност.
От оперативна позиция признатите правила или тези, които предстоят да бъдат признати, могат да бъдат инкорпорирани в правилника за вътрешния трудов ред на съответната организация. С оглед действеност и изясненост би могло да се сметне за по-удачно да се изведат в обособени документи, които да имат освен регулаторно/формално значение, а да бъдат потребни за организацията на работния развой в границите на компанията.
С оглед на обстоятелството, че вътрешните актове на работодателя следва да бъдат сведени до знанието на чиновниците, с цел да бъдат обвързващи за тях, поражда въпросът по какъв начин да действа работодателят, в случай че към този миг към момента няма признати правила по отношение на IT сигурността, а чиновниците към този момент работят от у дома и няма по какъв начин да им бъде възложен физически образец, който чиновниците да прочетат и подпишат, че са осведомени.
Възможно решение на този въпрос е обещано в член 4 от Наредбата за типа и условията за основаването и съхраняването на електронни документи в трудовото досие на служащия или служителя, а точно, че страните по трудовото правно отношение могат да се договорят в трудовия контракт или в друга писмена форма да бъдат получатели на електронни изказвания посредством е-поща. В този случай признатите правила могат да бъдат изпратени до електронните пощи на чиновниците и по този метод да се обезпечи формалното им обвързващо деяние.
Остава обаче рискът за валидността на връзката сред шеф и чиновник при неналичието на сходни сделки. При такава обстановка служителят още веднъж ще е привързан със задължението да опазва имуществото и репутацията на своя шеф, което включва и сигурността на базите данни и IT системите.
Възможен е един промеждутъчен метод, посредством който по едно и също време със заповедта, която вкарва работата от разстояние, да се дават и инструкции съгласно характерния бизнес на съответния шеф.
Въведените от заповедта противоепидемични ограничения несъмнено ще окажат въздействие върху действието на бизнеса като организъм, като с изключение на всичко е допустимо организациите да станат по-уязвими за хакерски атаки, защото отдалечената работа и пониженият потенциал усилват рисковете, както и времето за реакция на отделите по киберсигурност. Факт е, че на тези опасности може да се опълчи построяването на ясно написана организация посредством вътрешни правила за потребление на IT инфраструктурата и отдалечен достъп до сървърите на фирмите, което, съчетано с имплементирането на подобаващите механически ограничения, би довело до по-гладка миграция от офис към home office.
Източник: capital.bg
КОМЕНТАРИ