Fjernarbeid er en arbeidsordning der en ansatt arbeider utenfor det tradisjonelle kontormiljøet, typisk fra eget hjem eller et annet sted de selv velger. Denne ordningen kan være heltid eller deltid og tilbys ofte av en bedrift som et fleksibelt arbeidsalternativ. Eksternt arbeid tilrettelegges av kommunikasjonsteknologier som e-post, videokonferanser, chatter, oppgaveadministrasjonsplattformer, SaaS-apper, nettleseren og tilleggsprogramvare som gjør det mulig å kommunisere med kolleger og fullføre arbeidsoppgaver.
Å jobbe eksternt har blitt stadig mer populært de siste årene. Dette skyldes de teknologiske fremskrittene som støtter ekstern kommunikasjon, samarbeid og drift. I tillegg har globaliseringen også akselerert fjernarbeid, ettersom ansatte må samarbeide med kolleger og kunder i forskjellige tidssoner og steder.
En annen faktor som har ansporet til fjernarbeid er økende bevissthet om balanse mellom arbeid og privatliv: mange ansatte verdsetter fleksibiliteten og balansen mellom arbeid og privatliv som fjernarbeid gir, noe som har ført til en økning i etterspørselen etter ordninger for fjernarbeid. Bedrifter som tilbyr alternativer for fjernarbeid kan tiltrekke seg og beholde topptalenter.
Til slutt er ingen diskusjon om fjernarbeid komplett uten å nevne COVID-19-pandemien, som tvang bedrifter til å gå over til en komplett fjernarbeidsmodell for hele arbeidsstyrken, nesten over natten.
Likevel kommer fjernarbeid ikke uten utfordringer, siden det skiller seg drastisk fra arbeid på stedet. Eksternt arbeid cybersikkerhet er en av de beste. Med flere ansatte som jobber hjemmefra, må bedrifter sikre at systemene og dataene deres er beskyttet mot cybertrusler.
For å beskytte mot disse risikoene, setter selskaper inn tiltak og praksis for å beskytte konfidensialiteten, integriteten og tilgjengeligheten til deres data, nettverk og systemer. Dette inkluderer:
- Sikre at sensitiv informasjon holdes konfidensiell og beskyttet mot uautorisert tilgang.
- Sikre at eksterne arbeidere kobler til sikre nettverk og bruker sikre protokoller for å få tilgang til bedriftens ressurser.
- Sikre at enhetene som fjernarbeidere bruker for å få tilgang til selskapets ressurser har riktige sikkerhetskontroller på plass.
- Sikre at kun autoriserte personer har tilgang til selskapets ressurser og data og at sterke autentiserings- og tilgangskontroller er på plass for å forhindre uautorisert tilgang.
- Sikre at ansatte er opplært i hvordan de identifiserer og forebygger sikkerhetstrusler.
- Sikre at ansatte bruker sikre nettlesere når de går inn på nettsteder og apper.
Hva er sikkerhetsrisikoen ved fjernarbeid?
Fjernarbeid gir mange fordeler, som økt fleksibilitet og balanse mellom arbeid og privatliv. Det følger imidlertid også med en rekke risikoer som organisasjoner og ansatte må være oppmerksomme på. Noen av sikkerhetsrisikoene for fjernarbeid inkluderer:
Phishing-angrep
Eksterne ansatte bruker ofte sine personlige enheter (BYOD) for å få tilgang til bedriftens ressurser. Disse enhetene har ikke samme sikkerhetsnivå som selskapets administrerte enheter. Dette kan gjøre dem mer utsatt for phishing-angrep, siden enhetene deres er mer sårbare for installasjon av skadelig programvare på enheter. I tillegg kan ansatte være mindre på vakt mot phishing-forsøk siden de jobber i et ikke-kontormiljø. COVID-19 førte til en økning i phishing-angrep.
Malware-injeksjoner
BYOD øker risikoen for skadelig programvare på grunn av mangel på sikkerhetskontroller i bedriftsgrad, samt bruk av ikke-godkjente apper og nettleserutvidelser som utgjør en risiko. Skadelig programvare kan infisere et system gjennom nettleseren, gjennom e-postvedlegg, infiserte nettsteder, skadelig programvare forkledd som legitime apper og mer. Dette kan resultere i et sikkerhetsbrudd som kompromitterer ikke bare den ansattes personopplysninger, men også selskapets sensitive data og ressurser.
Uautorisert tilgang
Hackere kan få tilgang til en eksternt arbeidende ansatts enhet eller nettverk ved å utnytte sårbarhetene eller lure den ansatte til å oppgi påloggingsinformasjon eller annen sensitiv informasjon. Når hackeren får tilgang til enheten eller nettverket, kan de stjele sensitive data, installere skadelig programvare eller løsepengeprogramvare eller ta kontroll over enheten. Deretter kan de utvikle seg sideveis i organisasjonen. Personlige enheter har vanligvis ikke sikkerhetskontroller på plass for å forhindre kontoovertakelse.
Datalekkasje
Eksternt arbeidende ansatte kan utilsiktet lekke data ved å sende sensitiv informasjon gjennom usikrede kanaler, for eksempel personlige e-postkontoer, meldingsverktøy eller ikke-godkjente apper, eller ved å lagre data på personlige enheter eller skylagringstjenester som kanskje ikke er like sikre som selskapets interne nettverk. De kan også være mer utsatt for phishing-angrep eller sosial ingeniør taktikk som kan føre til tyveri av sensitive data.
Supply Chain Angrep
Tredjepartsleverandører og leverandører kan betraktes som en type eksternt arbeid som må sikres for å beskytte organisasjonen. Å angripe en organisasjons forsyningskjede kan være en enklere måte å bryte en organisasjon på. Dette er fordi tredjeparters sikkerhetskontroller ofte er forskjellige fra organisasjonens, men de er ofte klarert av organisasjonen og har tilgang til interne systemer. SolarWinds-angrepet er et av de mest beryktede forsyningskjedeangrepene.
Remote Work Security Policy
Retningslinjer for sikkerhet for eksternt arbeid er et sett med retningslinjer og prosedyrer som organisasjoner etablerer for å beskytte sine data, systemer og nettverk når ansatte jobber eksternt. De spesifikke retningslinjene som en organisasjon implementerer vil variere avhengig av virksomhetens art og typen risiko de står overfor. Noen eksempler på sikkerhetspolicyer for eksternt arbeid som organisasjoner kan vurdere inkluderer:
Passordpolicyer
Passord er en kritisk komponent i fjernarbeidssikkerhet. Organisasjoner kan etablere retningslinjer for passordkompleksitet, lengde og utløp, og kreve MFA for ekstern tilgang. Eller de kan velge et passordløst alternativ helt.
BYOD-retningslinjer
Eksterne arbeidere bruker ofte personlige enheter for å få tilgang til bedriftens ressurser (BYOD – Bring Your Own Device), noe som kan øke risikoen for cybertrusler. Organisasjoner kan etablere retningslinjer for enhetshelseadministrasjon, som å kreve antivirusprogramvare, aktivere kryptering eller sjekke sertifikater.
Retningslinjer for databeskyttelse
Eksterne ansatte lagrer sannsynligvis sensitive data på personlige enheter eller skytjenester, noe som kan øke risikoen for datainnbrudd. Ved å etablere retningslinjer for databeskyttelse, som å forby lagring av sensitive data på personlige enheter og kreve kryptering, kan de redusere risikoen.
Nettlesersikkerhetspolicyer
Nettlesere er i skjæringspunktet mellom organisatoriske og eksterne ressurser, enheter og apper. Som sådan er de en førsteklasses angrepsvektor for angripere. Organisasjoner kan etablere retningslinjer for nettleserbruk, som å kreve en nettlesersikkerhetsplattform, forhindre gjenbruk av passord, kontrollere tilgangsadministrasjon eller forby opplasting av sensitive data.
Retningslinjer for hendelsesrespons
Selv med de beste sikkerhetstiltakene på plass, vil cyberhendelser sannsynligvis fortsatt forekomme. Det anbefales at organisasjoner etablerer retningslinjer for respons på hendelser, for eksempel å etablere prosedyrer for rapportering av hendelser, undersøke sikkerhetsbrudd og kommunisere med interessenter.
Beste praksis for ekstern arbeidssikkerhet
For å oppnå effektivt og sikkert eksternt arbeid, anbefales det å implementere følgende beste praksis:
Sikker ekstern tilgang
Sikker ekstern tilkobling kan oppnås ved hjelp av metoder som Zero Trust og kontinuerlig autentisering og autorisasjon. Ved å håndheve MFA og granulære autorisasjonspolicyer på tvers av alle apper og implementere prinsippet om minste privilegium, kan organisasjoner sikre at ekstern tilgang er sikker og at ingen uautoriserte brukere får tilgang til sensitive ressurser. Trafikkkryptering, vurdering av enhetssikkerhet og overvåking av brukeraktivitet kan også øke sikkerheten for ekstern tilkobling.
Data Protection
For å sikre bedriftens data bestemmer granulære tilgangspolicyer hvem som kan ta hvilke handlinger som skal implementeres. Dette inkluderer for eksempel å begrense opplasting av PII til visse SaaS-apper, nedlasting til uadministrerte enheter eller deling med ukjente destinasjoner.
Nettleserbeskyttelse
Overvåke, analysere og beskytte mot nettbårne cybertrusler og datarisikoer som stammer fra nettleseren. Nettlesersikkerhetsløsninger kan leveres på flere måter, for eksempel en nettleserutvidelse. Gode nettlesersikkerhetsløsninger vil oppdage og deaktivere risikofylt aktivitet på det tidligste stadiet med nesten null forstyrrelser i brukerens nettleseropplevelse.
Ansattes opplæring
Opplæring av ansatte om viktigheten av fjernarbeidssikkerhet, inkludert opplæring i selskapets retningslinjer for fjernarbeidssikkerhet, hjelpe ansatte med å gjenkjenne sikkerhetstrusler, oppmuntre til rapportering av sikkerhetshendelser og gjennomføre øvelser.
Hvordan LayerX kan hjelpe med ekstern arbeidssikkerhet
LayerX er en nettlesersikkerhetsplattform designet for å levere sanntid, høyoppløselig synlighet og styring over brukeraktiviteter i alle kommersielle nettlesere. Ved å gjøre det beskytter den mot potensielle nettleserelaterte risikoer som kan kompromittere bedriftsdata, applikasjoner og enheter, noe som gjør den til en ideell løsning for eksternt arbeid. Plattformens unike funksjon er dens evne til å finne brukerens nettleserhandlinger på det mest detaljerte nivået, slik at den kun kan identifisere og redusere aktivitetene som introduserer risiko.
LayerX tilbyr flere funksjoner, inkludert bruk av nettleseren som en autentisering for å få tilgang til bedriftens SaaS-apper på administrerte og ikke-administrerte enheter, håndheving av granulære tilgangspolicyer på tredjepartsleverandører når de får tilgang til bedriftsressurser fra sine egne enheter, og beskyttelse mot ondsinnede nettsider, phishing og skadelig programvare.