לעבודה מהבית היבטים רבים גם מזווית אבטחת המידע, אשר בעיקרה באה להגן על המידע שבארגון על כל סוגיו: מידע עסקי רגיש, מידע אישי שהארגון מחזיק וקניין רוחני של הארגון. לפני הכול יש להסתייע בגורמי אבטחת מידע המלווים את הארגון, באמצעותם יש להגדיר את ממשק החיבור מרחוק באופן נכון ומאובטח (לרבות שמירת תיעוד גישה, הגבלה לפי אזור ולתיקיות חיוניות בלבד, וכו'). כמו כן, יש להסתייע באותם גורמים לשם עבודה מאובטחת מחוץ למשרד, תוך עמידה בהוראות תקנות אבטחת המידע הרלוונטיות ובראשן – התחברות אל מערכות המידע המצויות בארגון לאינטרנט בעזרת אמצעי הגנה מתאימים מפני חדירה או תוכנות מזיקות.
להלן מספר הנחיות חשובות למעסיק והנחיות חשובות לעובד מרחוק מהבית, עליהן יש להקפיד בעת עבודה מהבית / גישה מרחוק.
המעסיק
- מתן גישה על בסיס צריך לדעת בלבד – יש להקפיד על מתן הרשאות גישה מסודרות וקפדניות במיוחד בעת מתן גישה מרחוק למידע של ארגון. יש להקפיד כי הגישה למידע תינתן במידה המינימלית הנדרשת, תוך הגבלת האפשרות לגישה לתיקיות חיוניות בלבד. ככל הניתן, יש להימנע מהפרקטיקה של שימוש ב-Remote desktop protocol פשוט וכללי להשתלטות מרחוק, לבטח כאשר זה נעשה באופן עצמאי על ידי העובדים, וללא פיקוח המעסיק.
- הימנעות מפעולה במחשבים אשר מותקנות בהם תוכנות לא-חוקיות ומסוכנות – יש לעשות מאמץ, ככל שניתן, להשתמש במחשבים הניידים המוכרים ומתוחזקים של המעסיק. כאשר עובדים מתחברים באופן שוטף מהמחשבים האישיים, יש להנחות אותם לוודא כי מערכות ההפעלה שברשותם עדכניות ונתמכות באופן שוטף. כן, יש להנחות את העובדים לוודא כי המחשבים שבשימוש מוגנים מפני חדירות ווירוסים ככל הניתן, באמצעות תוכנות ייעודיות
- גישה מוגבלת בזמן – ככל שניתן להסתייע בתמיכה טכנית לחיבור ארעי מרחוק והעברת קבצים נקודתית – הרי זה עדיף. בכל מקרה, חיבור משתמשים מרחוק צריך להיות מוגבל בזמן, ומשך הגישה צריך להיות מתועד.
- מתן גישה לפי רשימת הרשאות קבועות – כפי שבשגרה כל עובד צריך לקבל גישה לפי רשימת הרשאות המתייחסת לתפקידו, במידה הנדרשת לתפקידו בלבד, כך גם בחירום ובעבודה מהבית. כלומר, לא רק היקף ההרשאות צריך להיות מצומצם, אלא גם סוג ההרשאות צריך להתאים למידע הרלוונטי שהעובד נדרש אליו במסגרת תפקידו. גישה מרחוק אינה דבר בינארי ותשתנה מעובד לעובד, ויש להקפיד ליצור את החיץ האמור, ככל שמתאפשר, באמצעות גורמי המחשוב המלווים את המעסיק.
- חיזוק סיסמאות- יש לקבוע כי כל עובד יידרש לעדכן את סיסמתו האישית למחשב האישי, לתיבת הדוא"ל ולכניסה למערכות, ככל שמתאפשר.
- אמצעי פיזי לזיהוי – עת גישה מרחוק, ככל שניתן להשתמש בטוקן או אמצעי פיזי אחר לשם שיפור אבטחת המידע בזיהוי והאימות (למשל – OTP – one time password ואימות דו שלבי) – יש לעשות כן.
העובדים:
- לעיתים בעבודה מהבית נוח יותר להתחבר לתיבה האישית או לשלוח אליה קבצים – בעת הזו חשוב במיוחד להקפיד לעשות שימוש בתיבת הדואר האלקטרוני המקצועית בלבד.
- היזהרו מפישינג! יש להימנע מפתיחת קבצים ומיילים משולחים לא מוכרים, ולהתריע בפני הממונה בארגון על כל חשד בזהות שולח הדואר האלקטרוני או תוכן שאינו שיגרתי לפעילות.
- יש לדאוג לנעול את המחשב עובדים מרחוק, לא להשאיר אותו במקום שאינו מוגן וללא השגחה, תחת ההבנה כי כעת נגיש למערכות מאגרי המידע.
- יש לרענן סיסמאות ולוודא כי הן מורכבות (ספרות, אותיות, סימנים מיוחדים) ואינן מהוות סדרות עוקבות של מספרים, רצפים מוכרים, תאריכים סמליים עבורם, שמות מוכרים וכיו"ב.
- יש להתחבר לרשתות WIFI קבועות בלבד, ולהימנע מהתחברות לרשתות ציבוריות או מזדמנות. ככל שלא נדרש חיבור לרשת, לעבוד במצב לא מחובר או מחיבור VPN.
- לגלות אחריות וערנות באופן כללי, להישמע להוראות המנהלים ונהלי החברה ולדווח על כל אי סדר וחשש מפני חדירה, העתקה או דליפה של מידע או חומר.
