IT必知五大支援要領 安全遠端工作非難事

2020-05-05
為因應新冠肺炎(Covid-19)疫情蔓延,讓高風險員工遠離辦公室,許多公司突然增加了許多在家工作的員工。如何不讓這項保護員工身體健康的預防措施,反倒變成對網路安全的威脅,是當下必須面對的挑戰,對此本文提供了安全在家工作的五個因應技巧。

 

越來越多企業和組織開始了「在家工作」或至少「在外工作」的作法。許多IT部門團隊,或許已經習慣準備筆記型電腦供員工遠端使用,以及幫他們設定可存取公司資料的手機。

但是,隨著全球對目前新冠肺炎(COVID-19)疫情的因應,以及讓高風險員工遠離辦公室的需求,許多公司很快地就會突然多出許多在家工作的員工,重點在於,不要讓這個保護員工身體健康的預防措施,反而變成對網路安全的威脅。

重要的是,如果同事需要在家工作以遠離辦公室,那麼IT將無法如同過去一般取得他們的新筆記型電腦和手機並進行現場解說,以便他們可以成為更安全的遠端工作者。

最終,可能需要完全從頭開始協助這些遠端使用者進行設定,還要搞定很多過去沒有做過的事情。 針對以上的疑慮,以下提供了安全在家工作的五個技巧:

一、確保使用者可以輕鬆上手

最好挑選具有「自助服務入口網站」(Self-Service Portal,SSP)的安全產品,讓使用者即使從自行購置的全新筆記型電腦,也可以連線到所需的服務,然後安全、輕鬆地進行設定,無須將電腦實際交給IT部門。

許多SSP還可以讓使用者選擇使用不同的存取等級,以便他們可以使用個人設備(儘管允許存取的公司系統比透過公司設備少)或專供公司使用的設備安全地連線。

而必須輕鬆且正確地設定好的三個關鍵要件是加密、保護以及更新修補。「加密」是指確保已經啟用全裝置加密功能,若裝置上的任何資料被偷,可以保護資料不會落入他人之手;「保護」意味著必須依照政策要求安裝已知的安全軟體,如防毒軟體;「修補」則是確保使用者能自動安裝任何所需的安全更新,以免忘記。

請記住,如果真的發生資料外洩(例如筆記型電腦遺失),可能會需要通報目前所在國家∕地區的資料保護主管機關。接著,如果想要表明公司已經採取正確的預防措施以免受罰,那麼就得出示證據──主管機關需要的是證據!

二、確保使用者可以進行所需的操作

如果使用者不使用「伺服器X」或「系統Y」就真的無法完成工作,那麼要他們回到無法存取X和Y的家中就沒有意義。

首先,得要確保所挑選的遠端存取解決方案夠可靠。先強迫自己接受且習慣,然後再讓使用者使用它。

如果新的解決方案與使用者過去的操作方式有差別,請清楚向他們說明差異何在(例如用手機收信時附件會被移除),不要讓他們自己摸索。否則使用者不但會覺得煩,還可能會試圖用自己的方法來繞過這個問題,例如要求同事將檔案上傳到個人帳號。要請使用者盡可能諒解以前可以在辦公室做的事情,在家中或許只能勉強辦到。

三、確保可以看到使用者在做什麼

不要讓使用者完全自行管理自己的設備,也不要讓他們決定作法。如果幫他們設定好自動更新,請確保你也有辦法檢查是否能正常運作,並準備好花時間從線上幫助他們解決問題。

如果他們的安全軟體發出了可預期他們會看到的警示,請確保你也能查看這些警示,並讓使用者知道它們代表的意義,以及你希望他們對可能出現的問題採取哪些措施。

別把使用者當傻瓜,因為沒人喜歡。但也不要讓他們自己自生自滅──多給他們一些網路安全的愛心,他們很有可能會熱情回報你。

四、確保使用者有地方回報安全問題

如果你還沒有,請設定一個好記的電子郵件地址,例如IT119@公司網域名稱,讓使用者可以快速並且簡單地回報安全問題。

請記住,許多網路攻擊之所以能成功,是因為詐騙份子會反覆嘗試,直到某個使用者犯下無心之過。因此,如果第一個看到新威脅的人能夠立即回報到某個地方,而且知道不會被批評(更糟糕的是被忽略),就能幫上其他所有人。

教育使用者,只能透過你提供的電子郵件地址或電話號碼來與你聯繫或申請網路安全協助。事實上,這一點適用於辦公室工作人員,也同樣適用於遠端工作者。可考慮以書面郵寄一張印有詳細資訊的卡片或貼紙。

如果他們不使用電子郵件內提供的連結或電話號碼進行聯繫,那麼被騙的可能性將大大降低。

五、確保掌握使用中的「影子IT」方案

影子IT(Shadow IT)是非IT員工為了方便或快速,而採用其他方法解決技術問題的情形。很多同事過去都是在辦公室一起工作,但現在只能夠分散各地無法見面,那麼他們很可能會使用自己沒有用過的工具來進行線上合作。

有時,這種方式可以低成本且愉快地促進團隊合作,你甚至會樂於見到他們這樣做。例如,他們可能會用自己的信用卡開辦一個線上白板服務帳戶(甚至是你也信任的平台),以後再向公司報帳。

在這種情況下,每個人想到的第一個風險是:「如果他們犯了安全錯誤或洩露不應外洩的資料,怎麼辦?」但很多公司會忘記另一個問題,那就是:「萬一什麼安全問題都沒發生,而且這個作法卻意外地成功,又該怎麼辦?」

為了解決當前疫情問題所使用的暫時性解決方案,很可能會變成讓公司轉型成為線上的生力軍。因此,請確保你知道用信用卡付款的是誰,以及即使最初創辦帳號的人忘記密碼或者取消信用卡,你仍然有權限可以使用這個帳號。

所謂的「影子IT」,不僅在出錯時會成為風險,正確可行時還會變成複雜的責任!

最重要的是同理心

最重要的是,如果你和你的使用者突然需要進行遠端工作,請做好大家需要互相讓步和合作的心理準備。

例如,如果你是使用者,而IT團隊突然堅持要求你開始使用密碼管理程式和二階段驗證(表示每次都必須輸入第二個密碼),那就忍耐一下說聲「好吧!」即使你討厭二階段驗證,並且因為覺得很不方便而在個人生活中避免使用它。

如果你是系統管理員,那麼不要對使用者不理不睬,即使覺得他們的問題早就應該知道答案,或者又來要求你已經說過「不行」的東西。原因很可能是你第一次沒講清楚,或是他們需要的功能對正確完成工作很重要。

這個時代生活不易,所以請不要讓疫情引起任何會妨礙網路安全的摩擦!


<本文作者:張光宏現為Sophos台灣區總經理>

 


 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!