Strategiczna rola dyrektorów IT i dyrektorów ds. bezpieczeństwa w czasie pandemii koronawirusa

W związku z apelami o pozostanie w domu w czasie rozprzestrzeniania się wirusa COVID-19 pojawia się konieczność pracy zdalnej zarówno pracowników, jak i podwykonawców.

Szeroko rozumiany dział IT wraz z działem bezpieczeństwa, reprezentowane przez CIO (Chief Information Officer) oraz CISO (Chief Information Security Officer), odgrywają kluczową rolę, aby dostosować organizację do sprawnego działania w tej nowej rzeczywistości. Firmy muszą zdecydować, kto i do jakich zasobów może mieć dostęp. Jest to o tyle istotne, ponieważ cyberprzestępcy w sposób bezwzględny wykorzystują obecną sytuację, aby zainfekować komputery złośliwym oprogramowaniem lub zdobyć dane uwierzytelniające do systemów informatycznych.

Praca zdalna jest jedną z podstawowych możliwości, po jakie może sięgnąć firma, która zmieniła sposób funkcjonowania w czasie pandemii COVID-19.

Procesy, które realizowane były dotychczas w sposób tradycyjny, nagle, z dnia na dzień, przeniosły się do świata cyfrowego. Praca zdalna wykorzystująca narzędzia jakimi dysponowały firmy w tym krytycznym momencie, stała się nową normą – mówi Krzysztof Radziwon, partner, szef działu doradztwa biznesowego w KPMG w Polsce.

Istotne kwestie dotyczące pracy zdalnej

Podstawowym zagadnieniem staje się decyzja, czy pracownik lub podwykonawca może wykorzystywać swój sprzęt pracując z domu. Jeżeli pracodawca udostępnił pracownikom swoje urządzenia (np. w postaci laptopa), sytuacja wydaje się prostsza, chociaż nie można zapominać, że należy połączyć się do zasobów firmowych poprzez internet, a co za tym idzie, takie połączenie również musi być bezpieczne. W przypadku umów o pracę, czy umów z podwykonawcami należy upewnić się, że firma posiada odpowiednie zapisy umowne umożliwiające takie rozwiązanie. Poza kwestiami prawymi należy zdecydować do jakich zasobów firmowych i aplikacji pracownicy czy podwykonawcy muszą mieć dostęp oraz czy obecna architektura teleinformatyczna pozwala na bezpieczne połączenie.

W większości firm komunikacja z klientami bardzo często odbywała się poprzez osobiste spotkania, rzadziej (szczególnie w ramach procesu sprzedaży usług) poprzez komunikację elektroniczną czy telefoniczną. W przypadku komunikacji wewnętrznej ważną rolę pełniły spotkania np. członków zespołów projektowych. Obecnie należy wybrać rozwiązanie zastępujące tradycyjne spotkania, gdzie każdy z uczestników może zaprezentować wyniki swojej pracy innym oraz umożliwić grupie osób pracę nad wspólnym produktem. Kolejnym i często niedocenianym obszarem jest HelpDesk, który będzie musiał świadczyć swoje usługi zdalnie. Usługi dotyczące zdalnej obsługi użytkowników są popularne, jednak należy wziąć pod uwagę przypadki losowe jak na przykład awaria sprzętu pracownika, czy też konfiguracja sprzętu pracownika, którego nie znamy.

Zapewnienie ciągłości działania

Kwestią, która pozostaje do rozstrzygnięcia jest zagadnienie kluczowych zasobów po stronie IT dla zapewnienia ciągłości działania. Konieczność kwarantanny części zespołu może skutecznie zachwiać poziomem świadczonych przez IT usług. By poradzić sobie z takim zagrożeniem, należy w pierwszej kolejności uświadomić sobie, które zasoby są kluczowe, a następnie zapewnić ich zastępowalność. Rozwiązaniem są inni pracownicy wewnątrz firmy lub zasoby zewnętrzne, a docelowo stopniowa zmiana architektury teleinformatycznej i struktury organizacyjnej dublująca miejsca krytyczne czyniąc je odpornymi również na zagrożenia dnia dzisiejszego.

Firma KPMG wypracowała standardy efektywnego podejścia do realizacji wyzwań w związku z nową rzeczywistością. Bazując na globalnym doświadczeniu widzimy, jakie rozwiązania się przyjmują i wspieramy naszych klientów w wybraniu optymalnej ścieżki zmian w obecnych czasach – mówi Marek Gzowski, dyrektor w dziale doradztwa biznesowego w zespole doradztwa informatycznego w KPMG w Polsce.

Pandemia koronawirusa to nie tylko bezprecedensowa konieczność weryfikacji na ile systemy zarządzania ciągłością działania oraz procedury zarządzania kryzysowego działają efektywnie. To niestety również czas intensywnej walki z hakerami, ponieważ cyberprzestępcy w sposób bezwzględny wykorzystują obecne niepokoje społeczne. Tworzą fałszywe strony internetowe oraz rozsyłają wiadomości e-mail z treściami dotyczącymi COVID-19, aby zarazić komputery złośliwym oprogramowaniem czy zdobyć dane uwierzytelniające do systemów informatycznych.

Człowiek jest najsłabszym ogniwem systemów zabezpieczeń. Obawy związane z pandemią COVID-19 zwiększają skuteczność socjotechniki wykorzystywanej powszechnie przez hakerów. Firmy powinny zintensyfikować działania uświadamiające personel odnośnie tych cyberzagrożeń. Nie można zapomnieć też o zabezpieczeniu zdalnego dostępu, najlepiej wdrażając dwuskładniowe uwierzytelnienie, bieżącej aktualizacji bezpieczeństwa oprogramowania, szyfrowaniu dysków komputerów przenośnych, czy regularnym tworzeniu kopii bezpieczeństwa. Ale trzeba również mieć świadomość, że przed cyberatakiem nie da się w pełni zabezpieczyć i należy być gotowym na sprawną reakcję w przypadku jego wystąpieniaMichał Kurek, partner w dziale doradztwa biznesowego, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Publikację pt. „Co mogą zrobić CIO i CISO, aby pomóc swojej firmie” w wersji elektronicznej można pobrać ze strony kpmg.pl