Production Perig - stock.adobe.c
Die Security-Strategie an hybride Arbeitsmodelle anpassen
Flexible Arbeitsmodelle sind inzwischen in vielen Unternehmen Standard oder werden es sein. IT-Teams müssen dies bei der strategischen Planung der IT-Sicherheit berücksichtigen.
Für viele Unternehmen wird das Arbeiten mit einem hybriden Modell aus Präsenz vor Ort im Unternehmen und flexiblen Arbeitsort wie Home-Office immer mehr zu Standard. Einige Organisationen werden sogar komplett auf ein Arbeiten im Home-Office setzen und die eigenen Büroflächen aufgeben. Daher existiert eine große Bandbreite an möglichen Arbeitsregelungen. Folglich hat die Gewährleistung der Sicherheit für eine solche hybrid tätige Belegschaft höchste Priorität. Mit den folgenden Schritten lässt sich sicherstellen, dass die Security bestmöglich gewährleistet ist.
Die gewählten Lösungen hinsichtlich Compliance und Security richtig bewerten
Als die Pandemie die Unternehmen zum schnellen Handeln zwang, haben viele CISOs und IT-Teams pragmatische und manchmal auch drastische Maßnahmen eingeleitet, als viele Mitarbeiter vom Home-Office aus agieren mussten. Einige Entscheidungen wurden wahrscheinlich aus Gründen der Zweckmäßigkeit getroffen. Mehr als ein Jahr später haben sich die aufgrund dieser Entscheidungen eingesetzten Tools vielleicht fest etabliert oder wurden sogar erweitert. Dennoch müssen all diese Plattformen immer wieder auf den Prüfstand gestellt werden und im Hinblick auf Compliance, Datenschutz sowie Vertraulichkeit, Integrität und Verfügbarkeit bewertet werden. Dazu zählen Lösungen aus den folgenden Bereichen: Messaging, Conferencing, Collaboration, Remote-Patching sowie Data Warehousing.
Das Sicherheitsbewusstsein immer im Blick behalten
Wenn Mitarbeiter überwiegend in den Büros des Unternehmens arbeiten, konnten sie durch unterschiedliche Formate der Kommunikation, ständig an die Bedeutung der IT-Security erinnert werden. Das reicht bis zu einfachen Mitteln wie Aushängen und Plakaten, aber auch direkter Ansprache. Um dies bei einer verteilt agierende Belegschaft zu gewährleisten, müssen diese Erinnerungen virtuell an die Mitarbeiter unterwegs und ins Home-Office übertragen werden. So können Unternehmen beispielsweise Gamification nutzen, um die Schulungen zum Sicherheitsbewusstsein zu unterstützen.
Die Risikobetrachtung erweitern
Wenn sich viele Mitarbeiter dafür entscheiden, dauerhaft oder gelegentlich vom Home-Office aus zu arbeiten, muss das Zuhause des Mitarbeiters Teil der Risikobetrachtung des Unternehmens sein. Die Ausweitung des Zero-Trust-Prinzips auf dort im Netz vorhandene Geräte ist unerlässlich. Die Mitarbeiter müssen entsprechend mit virtuellen Hintergründen oder Lösungen ausgestattet werden, damit die Privatsphäre des Mitarbeiters bei virtuellen Konferenzen gewahrt wird und sein Zuhause für Außenstehende nicht zu sehen ist. Die IT sollte die Belegschaft dabei unterstützen, die heimischen Geräte und die Arbeitsgeräte in separaten Subnetzen zu betreiben. Das Netzwerk des Mitarbeiters muss in die Risikobetrachtung einbezogen werden.
Einheitliche Richtlinien für Mitarbeiter festlegen
Bei hybriden Arbeitsmodellen gibt es keinen physischen Sicherheitsperimeter mehr. Ein Mitarbeiter, der das Unternehmensnetzwerk vor Ort nutzt, muss mit dem identischen Zero-Trust-Prinzip behandelt werden, wie ein Anwender, der vom Home-Office aus agiert. Wenn für bestimmte Anwendungen der Einsatz von VPN vorgesehen ist, dann sollte es immer eingesetzt werden, unabhängig vom Standort. Wann immer es technisch möglich, sollte zudem Multifaktor-Authentifizierung zum Einsatz kommen. Es sollten Regelungen getroffen werden, wie die Geräteeigenschaften und das Nutzungsverhalten der Endanwender beobachtet werden, um eine einheitliche Richtlinie für Warnungen und Reaktionen festzulegen.
Die Datensicherung anpassen
Unternehmen müssen sicherstellen, dass die Daten von Remote-Mitarbeitern ebenso gesichert werden, wie die von Mitarbeitern vor Ort im Unternehmen. Gleiches gilt für die Archivierung von Daten (siehe auch Home-Office: Daten müssen rechtskonform archiviert werden). Beides ist nicht aus Gründen der IT-Sicherheit zu betrachten, sondern es müssen auch alle gesetzlichen und Compliance-Vorschriften beachtet werden. Und das umfasst sowohl die Daten, die Mitarbeiter auf ihre mobilen Endgeräten wie Notebooks speichern, ebenso wie in der Cloud abgelegte Daten. Da die Anzahl der Ransomware-Angriffe weiter zunimmt, ist eine verlässliche Datensicherung ein wichtiger Baustein, um im Falle eines Falles den Geschäftsbetrieb aufrecht erhalten zu können. Und verlässlich heißt, es muss auch getestet werden, was die Datensicherung im Ernstfall wert ist.