Cultura organizațională de securitate

Bugeac Ciprian
Grupa: CR51

Politica de securitate acces de la distanta

Introducere
Desi pandemia de Coronavirus ne-a surprins pe toti la inceputul lunii martie, deja au trecut 2 luni de
cand companiile au fost nevoite sa adopte modul de lucru de acasa, in functie de tipul de activitate pe
care o desfasoara. Unele organizatii aveau deja implementat acest mod de lucru, ca si beneficiu acordat
angajatilor, dar la o amploare mult mai mica, de cateva zile pe luna sau in unele cazuri, pe saptamana.

Pentru multe firme desfasurarea activitatii de acasa a reprezentat o adevarata provocare, incepand de la
asigurarea echipamentelor IT pana la adaptarea fluxurilor si a proceselor operationale la modul de lucru
remote.

Dar pe masura ce perioada de incertitudine si de ingrijorare la nivel global s-a extins, angajatorii au
inceput sa isi indrepte atentia si asupra altor aspecte care privesc desfasurarea activitatii de acasa, dar si
la birou, in conditiile distantarii sociale.

Cum putem comunica permanent si eficient cu angajatii?

Cum pastram vie cultura organizationala?

Cum ne asiguram ca salariatii nu se simt deconectati de la business si cum ii putem ajuta sa treaca mai
usor prin aceasta perioada?

Pentru asta am asigurat implementarea unor politici imbunatatite de securitate cu privire la accesarea
infrastructurii de la distanta dar si a uneltelor de acces la dispozitive pentru a asigura un suport activ
angajatilor.

S-a imbunatatit politica de acces la distanta dar si Politica privind instrumentele de acces la distanță

Politică de acces la distanță

Prezentare generală
Accesul de la distanță la rețeaua noastră este esențial pentru a menține productivitatea echipei noastre,
dar în multe cazuri acest acces la distanță provine din rețele care pot fi deja compromise sau sunt într-o
poziție de securitate semnificativ mai mică decât rețeaua noastră . În timp ce aceste rețele la distanță nu
sunt in controlul nostru, trebuie să diminuăm aceste riscurile externe cât mai bine.

Scop
Scopul acestei politici este de a defini regulile și cerințele pentru conectarea la rețeaua Crucial Systems
& Services de la orice gazdă. Aceste reguli și cerințe sunt concepute pentru a reduce expunerea
potențială a Crucial Systems & Services la daune care pot rezulta din utilizarea neautorizată a resurselor
Crucial Systems & Services. Daunele includ pierderea de date confidențiale sau confidențiale ale
companiei, proprietate intelectuală, deteriorarea imaginii publice, deteriorarea sistemelor interne
Crucial Systems & Services și amenzi sau alte datorii financiare generate de aceste pierderi.

1
Domeniu
Această politică se aplică tuturor angajaților Crucial Systems & Services, contractanților, furnizorilor și
agenților cu un computer sau o stație de lucru deținută sau deținută personal sau utilizată pentru a se
conecta la rețeaua Crucial Systems & Services. Această politică se aplică conexiunilor de acces la distanță
utilizate pentru a lucra în numele Crucial Systems & Services, inclusiv citirea sau trimiterea de e-mail și
vizualizarea resurselor web intranet. Această politică acoperă toate implementările tehnice de acces la
distanță utilizate pentru a vă conecta la rețele Crucial Systems & Services.

Politică
Este responsabilitatea angajaților, a contractorilor, a vânzătorilor și a agenților cu privilegii de acces la
distanță la rețeaua corporativă a Crucial Systems & Services pentru a se asigura că conexiunea lor de
acces la distanță este considerată aceeași ca și conectarea utilizatorului la site-ul Crucial Systems &
Services.

Accesul general la Internet pentru utilizare recreativă prin rețeaua Crucial Systems & Services este strict
limitat la angajați Crucial Systems & Services, antreprenori, vânzători și agenți (denumit în continuare
"Utilizatori autorizați"). Atunci când acceseaza rețeaua Crucial Systems & Services de pe un computer
personal, Utilizatorii autorizați sunt responsabili pentru împiedicarea accesului la orice resurse sau date
de calculator ale utilizatorilor neautorizați. Efectuarea activităților ilegale prin intermediul rețelei Crucial
Systems & Services de către orice utilizator (autorizat sau nu). Utilizatorul autorizat poartă
responsabilitatea și consecințele utilizării necorespunzătoare a accesului utilizatorului autorizat. Pentru
informații și definiții suplimentare, consultați Politica de utilizare acceptabilă.

Utilizatorii autorizați nu vor utiliza rețele Crucial Systems & Services pentru a accesa Internetul pentru
interese comerciale externe.

Pentru informații suplimentare cu privire la opțiunile de conectare la accesul la distanță ale Crucial
Systems & Services, inclusiv modul de obținere a unei conectări de acces la distanță, software anti-virus
gratuit, depanare etc., accesați site-ul web Accesul la distanță (url-ul companiei).

Cerinţe
 Accesul la distanță securizat trebuie să fie strict controlat cu criptare (adică, rețele virtuale
private (VPN)) și fraze de trecere puternice. Pentru informații suplimentare, consultați Politica
de criptare acceptabilă și Politica de parolă.
 Utilizatorii autorizați își protejează autentificarea și parola, chiar și de membrii familiei.
 În timp ce utilizați un computer cu numele Crucial Systems & Services pentru a vă conecta de la
distanță la rețeaua Crucial Systems & Services, Utilizatorii autorizați se vor asigura că gazda la
distanță nu este conectată la nicio altă rețea în același timp, cu excepția rețelelor personale care
sunt sub controlul lor complet sau sub controlul complet al unui utilizator autorizat sau al unei
terțe părți.
 Utilizarea resurselor externe pentru derularea activității Crucial Systems & Services trebuie să fie
aprobată în prealabil de către InfoSec și managerul unității de afaceri corespunzător.
  Toate gazdele care sunt conectate la rețeaua Crucial Systems & Services prin intermediul
tehnologiilor de acces la distanță trebuie să utilizeze cel mai actualizat software antivirus (adresa
URL pe site-ul software corporativ aici), acesta include calculatoarele personale. Conexiunile de
la terți trebuie să respecte cerințele prevăzute în Acordul terț.
 Echipamentele personale utilizate pentru a se conecta la rețeaua Crucial Systems & Services
trebuie să îndeplinească cerințele echipamentelor deținute de Crucial Systems & Services pentru
acces la distanță, așa cum se prevede în Standardele de configurare hardware și software pentru
accesul la distanță la reteaua Crucial Systems & Services.

Respectarea politicilor
Măsurarea conformității
Echipa Infosec va verifica respectarea acestei politici prin diferite metode, inclusiv, dar fără a se limita la,
mersul periodic, monitorizarea video, rapoartele instrumentelor de afaceri, audituri interne și externe și
inspecție și va oferi feedback proprietarului de politică și de afaceri adecvate. manager de unitate.

Excepţii
Orice excepție de la politică trebuie să fie aprobată în prealabil de Serviciile de acces la distanță și echipa
Infosec.

Nerespectarea obligațiilor
Un angajat constatat că a încălcat această politică poate fi supus unei acțiuni disciplinare, până la
încetarea angajării.

Politica privind instrumentele de acces la distanță

Prezentare generală
Software-ul desktop de la distanță, cunoscut și sub denumirea de instrumente de acces la distanță, oferă
o modalitate pentru utilizatorii de computere și personalul de suport de a împărtăși ecrane, de a accesa
sisteme de lucru de la domiciliu și invers. Exemple de astfel de software includ Teamviewer, VNC (Virtual
Network Computing) și Windows Remote Desktop (RDP). În timp ce aceste instrumente pot economisi
timp și bani semnificativ prin eliminarea călătoriilor și permițarea colaborării, acestea oferă și o gaura de
securitate din în rețeaua Crucial Systems & Services care poate fi utilizată pentru furtul, accesul
neautorizat sau distrugerea bunurilor. Drept urmare, pe sistemele Crucial Systems & Services pot fi
utilizate doar instrumente de acces la distanță aprobate, monitorizate și controlate corespunzător.

Scop
Această politică definește cerințele pentru instrumentele de acces la distanță utilizate la Crucial Systems
& Services.

Domeniu
Această politică se aplică tuturor accesului de la distanță unde oricare dintre capătele comunicării se
încheie la un computer al Crucial Systems & Services.
Politică
Toate instrumentele de acces la distanță utilizate pentru a comunica între activele Crucial Systems &
Services și alte sisteme trebuie să respecte următoarele cerințe de politică.

Instrumente de acces la distanță

Crucial Systems & Services oferă mecanisme de colaborare între utilizatorii interni, cu partenerii externi
și din sistemele Crucial Systems & Services. Lista software aprobată poate fi obținută din Lista de
software aprobata intern. Deoarece configurația corectă este importantă pentru utilizarea în siguranță a
acestor instrumente, sunt prevăzute proceduri de configurare obligatorii pentru fiecare dintre
instrumentele aprobate.

Lista software aprobată se poate modifica oricând, dar pentru a selecta produsele aprobate vor fi
utilizate următoarele cerințe:

 Toate instrumentele sau sistemele de acces la distanță care permit comunicarea cu resursele
Crucial Systems & Services de pe Internet sau sisteme externe partenere trebuie să necesite
autentificare multi-factor.
 Sursa bazei de date de autentificare trebuie să fie Active Directory sau LDAP, iar protocolul de
autentificare trebuie să implice un protocol de răspuns la provocări care nu este susceptibil de
atacuri de redare. Instrumentul de acces la distanță trebuie să se autentifice reciproc la ambele
capete ale sesiunii.
 Instrumentele de acces la distanță trebuie să accepte Crucial Systems & Services ca si proxy
decât conexiuni directe prin firewall-ul perimetru.
 Instrumentele de acces la distanță trebuie să suporte o criptare puternică, de la capăt la final a
canalelor de comunicații de acces la distanță, așa cum este specificat în politica de protocoale de
criptare a rețelei Crucial Systems & Services rețea.
 Toate antivirusurile Crucial Systems & Services, programele de prevenirea a pierderilor de date
și alte sisteme de securitate nu trebuie să fie dezactivate sau evitate în niciun fel.

Toate instrumentele de acces la distanță trebuie achiziționate prin intermediul procesului de achiziții
standard Crucial Systems & Services, iar aprobarea achiziționarii.

Respectarea politicilor
Măsurarea conformității
Echipa Infosec va verifica respectarea acestei politici prin diferite metode, inclusiv, fără a se limita la,
verificare periodică, monitorizare video, rapoarte instrumente de afaceri, audituri interne și externe și
feedback pentru proprietarul poliței.

Excepţii
Orice excepție de la politică trebuie să fie aprobată în prealabil de către echipa Infosec.

Nerespectarea obligațiilor
Un angajat constatat că a încălcat această politică poate fi supus unei acțiuni disciplinare, până la
încetarea angajării.
Concluzie
Echipa Infosec a Crucial Systems & Services a instalat pe toate statiile companiei soft de monitorizare a
statiilor si sistemelor cu care angajatii au interactionat cu reteaua interna a Crucial Systems & Services.

Pe statiile si sistemele cu care angajatii au interactionat cu reteaua Crucial Systems & Services a fost
instala client VPN care asigura si verifica complianta din punct de vedere securitate a sistemului, astfel
reteaa Crucial System & Services este protejata de accesul unui system nesigur.

Pe toata acesta perioada s-a asigurat suport prin tool de acces de la distanta propriu Crucial Systems &
Services.