Paano i-secure ang remote at hybrid work?

Para gawing ligtas ang remote at hybrid work, magsimula sa mga pangunahing kaalaman. Gumamit ng multi-factor authentication, o MFA, na ibig sabihin ay may pangalawang hakbang sa pag-login bukod sa password. I-update ang mga laptop at telepono, protektahan ang data ng negosyo, at tiyakin na alam ng mga tao ang mga patakaran para magtrabaho mula sa bahay, sa biyahe, at sa opisina.

Ang magaling na seguridad para sa remote work ay hindi lang software. Proseso rin ito. Kailangan mo ng malinaw na mga patakaran sa access, isang ligtas na paraan ng pagbabahagi ng mga file, isang plano para sa mga nawalang device, at may responsableng taong tututok na tama ang paraan ng paghawak sa mga update, backup, at user account.

Para sa maraming maliliit na negosyo, ang praktikal na sagot ay makipag-ugnayan sa managed services provider, o MSP. Ang MSP ay kumpanyang nasa labas na tumutulong pangasiwaan at suportahan ang teknolohiya ng negosyo sa tuloy-tuloy na paraan. Kung naghahambing ka ng mga opsyon, makakatulong ang NodeBridge IT na makahanap ng isang independiyenteng managed IT provider na akma sa laki mo, sa budget mo, at sa mga pangangailangan mo.

Kapag ang mga tao ay nagtatrabaho sa magkakaibang lugar, mas maraming gumagalaw na bahagi ang negosyo mo. Puwedeng gumamit ang staff ng mga laptop sa opisina sa bahay, kumonekta sa pamamagitan ng home internet, mag-print ng mga dokumento sa labas ng opisina, o mag-sign in mula sa mga personal na telepono. Hindi ibig sabihin na awtomatikong delikado ang remote work, pero ibig sabihin ay kailangan mo ng mas maraming pagkakapare-pareho.

Madaling maabot ng maliliit na negosyo ang mga simpleng problema muna. May dating empleyado pa ring may access sa email. Nawala ang isang laptop sa loob ng kotse. Nakaimbak ang mga file sa tatlong magkakaibang lugar. Laktawan ang mga software update dahil walang nagmamay-ari ng gawain. Ito ay mga business risk, hindi lang mga isyu sa teknolohiya.

Nakakaapekto rin ang remote at hybrid work sa tiwala ng customer at sa compliance. Nag-iiba ang mga kinakailangan depende sa industriya at sa estado. Kung ang negosyo mo ay humahawak ng kalusugan, pagbabayad, legal, financial, o iba pang sensitibong impormasyon, maaaring kailangan mo ng mas mahigpit na kontrol, mga dokumentadong patakaran, at malinaw na rekord kung sino ang may access sa ano.

Ang magandang setup para sa remote work ay sapat na simple para sundin ng mga empleyado at sapat na organisado para suportahan ng provider. Ang bawat manggagawa ay gumagamit ng mga aprubadong device, aprubadong apps, at aprubadong paraan para ma-access ang data ng negosyo. Protektado ang mga sign-in gamit ang MFA. Regular na nakakakuha ng mga update at security software ang mga device. Inaalis ang access nang mabilis kapag may umalis.

Maganda rin ang mga setup kapag pinaghihiwalay ang personal at pang-negosyong aktibidad hangga’t maaari. Nanatili sa mga cloud system na aprubado ng kumpanya ang mga file ng kumpanya, hindi sa random na USB drives o personal na email account. Kapag nawala ang isang laptop o telepono, alam ng negosyo kung anong data ang nasa device at ano ang susunod na hakbang.

Walang tapat na provider na nangangakong zero downtime o hindi na-hahack. Ang tunay na layunin ay bawasan ang mga naiwasang risk, matukoy ang mga isyu nang mas maaga, at makabangon nang maayos kapag may nangyaring mali.

Magsimula sa identity at access. Gumamit ng malalakas na password, MFA, at malinaw na listahan kung sino ang dapat may access sa bawat system. Balikang suriin ang listahang iyon nang regular. Huwag gawing normal ang shared accounts kung maiiwasan.

Susunod ay pamamahala ng device. Dapat ma-track ang bawat laptop, desktop, at business phone. Ang endpoint ay anumang device na kumokonekta sa mga business system mo, tulad ng laptop, desktop, phone, o tablet. Ang patching ay pag-install ng mga software at security updates para maayos ang mga kilalang problema. Kapag walang nagtitiyak na nangyayari ang patching, mabilis na tumataas ang risk mo.

Maraming provider din ang gumagamit ng mga tool na tinatawag na EDR at RMM. Ang EDR ay endpoint detection and response. Ito ay software na nagmamasid sa mga device para sa kahina-hinalang aktibidad at tumutulong sa pag-iimbestiga ng mga problema. Ang RMM ay remote monitoring and management. Ito naman ay software na tumutulong sa provider na subaybayan ang kalagayan ng mga device, ilapat ang mga update, at asikasuhin ang mga regular na support tasks.

Mahalaga rin ang mga backup, lalo na sa mga remote team na gumagamit ng mga cloud app at local device. Ang 3-2-1 backup approach ay pag-iingat ng 3 kopya ng mahahalagang data, sa 2 magkakaibang uri ng storage, na may 1 kopyang nakaimbak sa offsite. Ang tamang setup ay depende sa kung paano gumagana ang negosyo mo, kung saan nakatira ang data mo, at kung gaano ka-bilis kailangan mong maibalik ang mahahalagang file.

Tumutulong ang teknolohiya, pero kailangan ng malinaw na mga patakaran para sa mga tao. Dapat malaman ng team mo kung anong mga device ang aprubado, paano mag-report ng nawalang laptop, saan dapat nakalagay ang mga business file, at ano ang gagawin kapag mukhang kahina-hinala ang isang login prompt o email. Mas mainam ang maikli at madaling sunding patakaran kaysa sa mahabang dokumentong hindi binabasa.

Ang training ay hindi kailangang dramatic o tuloy-tuloy. Dapat itong praktikal. Ipakita sa staff kung paano gamitin ang MFA, paano tukuyin ang mga karaniwang phishing attempt, paano iwasan ang pag-iimbak ng business files sa personal accounts, at kailan hihingi ng tulong. Ulitin nang madalas ang mga pangunahing kaalaman.

Dapat alam mo rin kung sino ang may-ari ng mga desisyon. Kung masyadong maliit ang negosyo mo para sa full-time na IT leader, may ilang MSP na nag-aalok ng vCIO support. Ang vCIO ay virtual Chief Information Officer. Ito ay part-time na strategic advisor na tumutulong sa pagpaplano, budgeting, priorities, at mga desisyon sa teknolohiya.

Kung hindi ka sigurado kung ano ang kailangan mo, magsimula sa simpleng inventory. Ilista ang staff mo, mga device, apps, lokasyon ng file, at mga lugar kung saan nagtatrabaho ang mga tao. Pagkatapos ay itanong kung ano ang mangyayari kapag may nawalang device, biglang umalis ang isang empleyado, o kailangang maibalik ang isang mahalagang file. Kadalasan, dito mo makikita kung saan may mga puwang.

Kapag nakikipag-usap ka sa mga provider, hilingin ang malinaw na paliwanag gamit ang plain language. Tanungin kung paano nila hinahandle ang mga update ng device, mga pagbabago sa account para sa bagong empleyado at sa aalis, mga check sa backup, training ng empleyado, at mga hakbang sa response para sa mga karaniwang insidente. Kapag binanggit nila ang service level agreement, o SLA, ibig sabihin nito ang mga nakasulat na patakaran para sa response times at saklaw ng support. Siguraduhin na akma ang mga terminong iyon sa oras ng operasyon mo at sa paraan ng trabaho mo.

Kung may pangangailangan ang negosyo mo sa compliance, itanong nang direkta. Ang HIPAA ay mga pederal na patakaran para sa privacy at security ng kalusugan na nalalapat sa ilang organisasyong pangkalusugan at mga partner nila. Ang PCI kadalasan ay tumutukoy sa Payment Card Industry Data Security Standard para sa mga negosyong humahawak ng mga card payments. Ang SOC 2 ay isang reporting framework na ginagamit ng maraming vendor para ipakita kung paano nila pinamamahalaan ang seguridad at mga kaugnay na kontrol. Nag-iiba ang mga kinakailangan ayon sa industriya at estado, kaya dapat ipaliwanag ng tamang provider kung ano ang saklaw at kung ano ang hindi.

Kung gusto mo ng tulong sa pag-aayos ng mga opsyon, tingnan ang higit pang mga sagot sa plain language sa aming resource library, alamin kung paano karaniwang naka-structure ang managed IT services sa aming services page, o magpakatugma sa isang independiyenteng provider. Ang NodeBridge IT ay isang libreng matching service. Hindi namin pinapamahalaan, hindi namin sinusubaybayan, hindi namin sinisigurado, hindi namin nire-repair, at hindi namin ina-access ang mga system mo.