Mercoledì l'Agenzia per la sicurezza informatica e le infrastrutture (CISA) del Dipartimento per la sicurezza interna ha lanciato un " Telework Essentials Toolkit " progettato per aiutare le aziende ad adattarsi alla realtà del lavoro da casa durante la pandemia COVID.
Il DHS ha collaborato con il Cyber Readiness Institute (CRI), Global Cyber Alliance e altri partner per aggiungere queste risorse alla linea di prodotti di telelavoro dedicata dell'agenzia, lanciata lo scorso maggio. L'obiettivo principale della CRI è sulle piccole e medie imprese (PMI), molte delle quali non dispongono dei fondi e del personale di cui hanno bisogno per garantire adeguatamente la loro forza lavoro remota. Questo nuovo kit di strumenti potrebbe aiutare queste aziende a compensare.
Il toolkit contiene risorse per aiutare i professionisti IT a eseguire sei azioni tattiche e tecniche chiave, tra cui patch e gestione delle vulnerabilità, implementazione di app di telelavoro approvate e garanzia della sicurezza della posta elettronica. Inoltre, consiglia ai telelavoratori come sostenere le loro reti domestiche e fornisce anche ai dirigenti esecutivi raccomandazioni strategiche.
"Il telelavoro non è più un esperimento o un'opzione temporanea per la maggior parte delle aziende, delle organizzazioni e del governo", ha affermato Bryan Ware, assistente alla direzione del CISA, nell'annuncio . "Dato che il telelavoro esteso è la 'nuova normalità' per molti, è tempo che le organizzazioni facciano una valutazione completa della loro impresa ampliata per garantire o stabilire una posizione strategica di sicurezza informatica a lungo termine."
Kiersten Todt, amministratore delegato della CRI e direttore esecutivo della Presidential Commission on Enhancing National Cybersecurity, ha parlato con SC Media dell'ultima partnership di CRI con DHS e ha affrontato i casi in cui le PMI continuano a lottare in condizioni di lavoro da casa e qual è il loro massimo le priorità dovrebbero essere.
Hai già collaborato con CISA in altri sforzi per aiutare le piccole imprese a rimanere al sicuro. Aggiorna la nostra memoria su alcune delle tue precedenti collaborazioni.
Quando il CISA … ha iniziato a cercare come fornire strumenti per le piccole imprese, mi ero collegato a loro, essenzialmente, riguardo al lavoro che stavamo facendo, con la discussione che 'Non è necessario reinventare molto di questo. Molti di noi si sono concentrati su questo in modo specifico … "E quindi era chiaro che, semplicemente collaborando, avrebbero potuto essere, ancora più efficacemente, un archivio di tutti questi strumenti che sono là fuori, e potrebbero diventare quello sportello unico .
E così presto, abbiamo appena iniziato a collaborare con loro su strumenti per le piccole imprese e su come creare il modo più accessibile per convincere le piccole imprese a utilizzare gli strumenti, a capire cosa sono e su cui concentrarsi, in particolare dal nostro punto di vista, il lato del comportamento umano.
E come risultato di quella relazione iniziale, nella prima parte di quest'anno, mentre stavamo esaminando il ransomware, CRI ha contattato CISA e ha detto: "Ehi, ci piacerebbe fare un playbook sul ransomware con te". E quello che abbiamo finito per fare è stato sviluppare il playbook e poi ci hanno aiutato con la distribuzione.
[Stiamo] continuando a collaborare su questi toolkit per le piccole imprese … E si spera che la loro base di utenti stia solo aumentando come risultato di questo e di CRI.
Ma poi è arrivato Covid e ha scosso il mondo delle piccole imprese. Quindi, come ha fatto alla fine questo risultato in questo nuovo toolkit?
Abbastanza presto, abbiamo pubblicato la nostra prima guida sull'ambiente remoto il 13 marzo. [Ho detto], "Dobbiamo farlo uscire, perché le piccole imprese stanno per rimescolarsi e la loro rete di sicurezza è in molti casi inesistente . Quindi, molto rapidamente: come puoi assicurarti che in questa pandemia, in questa modalità di crisi, stai fornendo loro le basi su ciò che dovrebbero seguire, mentre stanno cercando di capire come spostare la forza lavoro da remoto e cosa dovrebbero prestare attenzione a?
E infatti, se guardiamo nel corso di quest'anno di pandemia, quei problemi su cui ci siamo concentrati – phishing, comportamento umano – quelli sono stati i maggiori punti deboli. Stiamo assistendo a un enorme aumento del phishing. Quindi [abbiamo] contribuito a creare quelle basi e abbiamo collaborato con CISA sul lavoro che stanno facendo per fornire loro dei contenuti ".
Qual è il contenuto specifico che fornisci?
Forniamo collegamenti a politiche molto specifiche su phishing, password e utilizzo di USB. Quindi, ovviamente, le linee guida per la condivisione di file in un ambiente di lavoro remoto diventano davvero critiche. Quindi il loro toolkit [DHS] ora fornisce collegamenti ai nostri consigli e ai nostri suggerimenti per questi problemi fondamentali.
Ma poi, abbiamo anche creato una serie di guide – ne siamo fino a nove al momento – su diversi problemi di lavoro a distanza. E più di recente, abbiamo appena fatto una guida sull'ambiente di lavoro ibrido. Penso che questo ambiente di lavoro ibrido creerà molte più sfide alla sicurezza. Perché anche se non è facile avere una forza lavoro esclusivamente remota, almeno sai dove sono tutti. Ma quando hai alcune persone che lavorano in ufficio e altre che lavorano da casa e poi passano avanti e indietro, quello che stanno facendo con le loro politiche deve essere esaminato più da vicino.
Quindi il nuovo documento sul telelavoro [DHS] si collega alle guide di lavoro a distanza che abbiamo prodotto da marzo sulla condivisione dei dati, i suggerimenti, le cose da fare e da non fare, e ora, questa prima nella nostra serie sugli ambienti di lavoro ibridi.
È passato più di sei mesi da quando la pandemia ha iniziato a colpire in modo significativo le imprese statunitensi lo scorso marzo. In quel lasso di tempo, le PMI hanno riacquistato una qualche posizione e posizione di sicurezza dopo essere dovute improvvisamente passare a un modello di lavoro a distanza?
Le piccole imprese – e in realtà tutte le imprese – stanno riallineando e ricordando ed evidenziando quanto siano importanti le basi…. La forza delle password, degli aggiornamenti software, del modo in cui condividi i file. Questi elementi sono fondamentali, indipendentemente dal fatto che tu sia in una pandemia o meno. Ma la pandemia le ha evidenziate. E penso che sia positivo, perché quello che stai vedendo sono organizzazioni, aziende, che si assicurano che quelle politiche siano valide e che tutti i loro dipendenti sappiano quali sono quelle politiche.
Direi che il lato negativo è che stiamo assistendo a un vero aumento del phishing e del ransomware … Una grande azienda globale [con cui CRI ha parlato di recente] che ha molte piccole imprese nella loro catena di fornitura che vengono martellate da ransomware …
È la premessa del motivo per cui abbiamo creato CRI, ovvero: le piccole imprese sono componenti critiche delle catene di approvvigionamento globali. E quindi lavorare con loro sulle basi della sicurezza è fondamentale. Quindi, mentre il playbook del ransomware che abbiamo fatto con DHS prima della pandemia, è qualcosa che stiamo usando molto nella pandemia perché parliamo di cosa fare per prepararci al ransomware, ma anche di cosa fare per rispondere ad esso.
Qual è la domanda che CRI è stata posta più frequentemente dalle piccole imprese che hanno cercato assistenza durante il calvario COVID?
Se sono solo pochi dipendenti, o se sono piccolo, la prima domanda è: “Sono davvero un target? E poi il secondo è: "A cosa devo pensare?" Abbiamo iniziato a vedere un po 'più di specifiche come: "Cosa dovrei fare in caso di phishing e ransomware?"
Ma è anche: "Come posso coinvolgere la mia forza lavoro con tutte queste politiche?" Quindi molto di ciò su cui ci stiamo concentrando è il lato del comportamento umano.
È solo una comunicazione di base: ogni settimana hai un problema di cui parli, ricorda ai tuoi dipendenti che aspetto ha una password sicura, ricorda loro di fare clic sugli aggiornamenti automatici del software sui loro computer e assicurati di avere un cloud basato sistema di condivisione di file, in particolare ora con gli ibridi in modo da non inserire l'USB in uno spazio fisico e poi tornare a casa e utilizzare le USB. Quindi è così che possiamo rendere quelle basi appetibili e comprensibili.
Le PMI post riapprendono le basi della sicurezza nelle condizioni di telelavoro di COVID sono apparse per prime su SC Media .