Za nami kolejny webinar specjalny organizowany przez home.pl w ramach cyklu praca zdalna. Podczas spotkania poruszane były zagadnienia związane m.in. z procedurami bezpieczeństwa informacji i sposobami minimalizacji potencjalnych cyberzagrożeń podczas pracy z domu. Webinar poprowadzili Dariusz Grajnert, Tomasz Kowal oraz Radosław Nowik z działu IT home.pl. Poniżej publikujemy odpowiedzi na pytania zadane przez uczestników podczas spotkania online.
Czy stosujecie politykę zmiany haseł co n dni? Czy to już jest może przestarzała metoda?
Okresowa zmiana hasła na pewno jest procesem, który pozytywnie wpływa na bezpieczeństwo. W pierwszej kolejności skupiłbym się jednak na znalezieniu dodatkowych metod znacząco podnoszących poziom bezpieczeństwa dostępu. Jednym z tych elementów jest mechanizm 2FA/MFA (wieloskładnikowa autoryzacja).
Zmiana hasła ma sens szczególnie wtedy, gdy doszło już do ekspozycji hasła bieżącego. Takie działanie ma jednak również charakter prewencyjny. Pamiętać należy także o dobrej polityce dotyczącej haseł, ich siły, historii czy warunków, w jakich są zmieniane. Użytkownicy, często dla wygody, zmieniają hasła na bardzo podobne do poprzedniego, różniące się jedynie niewielkim fragmentem, cyfrą, datą, a sama konstrukcja nadal pozostaje bazowa, często opierająca się o słownikowe frazy. Dobre hasło to takie, które ma przede wszystkim sporą liczbę znaków. W dzisiejszych czasach hasła 6-8 znakowe są możliwe do złamania relatywnie niskim kosztem.
Zdecydowanie dodatkowe mechanizmy autoryzujące, oprócz wyłącznie hasła i loginu, są trendem, który dziś jest zauważalny i realnie podnosi bezpieczeństwo całego rozwiązania. W naszej ofercie znaleźć można produkty typu Office 365 czy Google Workspace, które wspierają wieloskładnikową autoryzację. Pracujemy także nad tym, aby w jak najszerszym zakresie naszych usług takie mechanizmy naszym klientom dostarczać.
Jak najlepiej zabezpieczyć nieprzerwany dostęp sieciowy do zasobów firmy, aby VPN miał się do czego połączyć?
Z praktycznego punktu widzenia, w przypadku małej i średniej firmy, najlepiej VPN uruchomić w ramach routera brzegowego w siedzibie. Dostęp do Internetu można wtedy zapewnić za pomocą przynajmniej dwóch osobnych dostawców i w przypadku awarii (czy innej nieprzewidzianej sytuacji) jednego z nich, wykorzystywać alternatywne łącze. Mówiąc już o redundancji, należy także rozważyć potencjalne uszkodzenia samego routera czy innych urządzeń sieciowych w firmie, zatem w sytuacji, kiedy dostęp ten jest dla nas kluczowy i nie możemy sobie pozwolić na przestoje, należałoby rozważyć architekturę w modelu wysokiej dostępności (“HA”).
Innym rozwiązaniem jest przeniesienie infrastruktury i zasobów IT poza siedzibę (zwłaszcza, jeżeli dostęp do Internetu w siedzibie firmy jest słaby, a fizyczne zabezpieczenia infrastruktury trudne do aranżacji). Dostępne są modele IaaS albo SaaS, które pomagają uniknąć centralizowania infrastruktury w siedzibie i cedują sporą część obowiązków na usługodawcę, przy zachowaniu relatywnie niskiego kosztu wejścia, szczególnie, kiedy rozliczanie może odbywać się w modelu płatności miesięcznych.
Dlaczego polecacie łącza od dwóch różnych operatorów? To naprawdę takie ważne?
W naszej firmie stosujemy tego typu rozwiązania od lat. Nie możemy bowiem pozwolić sobie nawet na chwilowe przestoje w dostępie do sieci. W home.pl mamy kadrę, która jest w stanie zapewnić nam właściwą konfigurację urządzeń w taki sposób, żeby w pełni wykorzystywać możliwości takiego rozwiązania.
W przypadku mniejszych firm, niezwiązanych z IT, należy zastanowić się nad tym, jak bardzo kluczowe jest zapewnienie stałego i nieprzerwanego dostępu do Internetu. Często wystarczającym rozwiązaniem będzie alternatywny dostęp za pomocą modemu LTE podłączonego bezpośrednio do routera w siedzibie firmy, a w innych przypadkach szerokopasmowy dostęp kilkoma niezależnymi fizycznymi trasami (z tzw. protekcją).
Nie tylko jednak awarie mogą być potencjalnym problemem. Czasem może być nim obniżenie wydajności jednego z operatorów, innym razem sprawy formalne jak np. nieprzewidziane zaprzestanie świadczenia usługi i wypowiedzenie umowy z krótkim terminem, którego nie dopilnowaliśmy na etapie zawiązywania współpracy.
Nieprzewidzianych sytuacji może być wiele, a kiedy nieprzerwany dostęp do sieci jest dla naszej organizacji elementem krytycznym – wówczas należy dopasować odpowiednie do tego rozwiązanie.
W organizacji dbającej o bezpieczeństwo warto wdrożyć proces związany z analizą ryzyka i zagrożeń mogących wpłynąć na firmę oraz świadomym postepowaniem ze zdefiniowanymi ryzykami. Pomocne w tym zakresie mogą okazać się wytyczne z norm ISO 27001/27002.
Jaki VPN polecacie dla małej firmy?
Trudno jest tu polecić jedno „najlepsze” rozwiązanie. Dostępność programów na rynku jest naprawdę szeroka, a ich cechy powinny zostać dostosowane do indywidualnych potrzeb organizacji.
W przypadku małych i średnich firm, które systemy mają umiejscowione we własnej siedzibie, rozwiązaniem będzie skonfigurowanie dostępu VPN w ramach routera w siedzibie. Można wykorzystać do tego popularne, w miarę proste i tanie urządzenia firmy Mikrotik lub produkty firmy Ubiquity, ale także wielu innych producentów. Należy pamiętać, że w takim przypadku najlepiej zadbać u dostawcy o stały adres IP – większość operatorów oferuje tego typu usługę.
Jak wspomniałem na wstępnie, rozwiązań w tym zakresie jest sporo, począwszy od popularnego oprogramowania OpenVPN. Jeżeli szczególnie zależy nam na bezpieczeństwie danych, istnieją także bardziej kompleksowe rozwiązania sprzętowo-programowe z np. Palo Alto Networks – Global Protect lub Fortinet.
Innym sposobem może być skorzystanie z rozwiązań zewnętrznych, szczególnie, kiedy nasze systemy znajdują się poza siedzibą firmy. Dobór tych rozwiązań, jeśli sami nie jesteśmy pewni, jak to zorganizować, najlepiej powierzyć profesjonalnej firmie, która zaproponuje odpowiedni sposób. Należy przy tym pamiętać, że niepoprawna konfiguracja może narazić organizację na duże niebezpieczeństwo.
