e-Ravnatelj

O produktu | Naročnina

info@forum-media.si | 02 250 18 00

Brezplačna registracija

Prijava

Zagotavljanje IT varnosti pri delu od doma

Natisni

Delo od doma je danes pogosto mantra start-upov in modernih podjetij, ki na tak način ohranjajo nižje stroške poslovanja. Podjetja so raziskala možnosti na trgu in si izbrala orodja, ki njihovemu načinu dela najbolj ustrezajo. V zadnjih letih je tovrstnih orodij za skupinsko kolaboracijo dokumentov, vodenje projektov na daljavo, oblačnih storitev za shranjevanje dokumentov in nenazadnje tudi online seminarjev, klicev in skupinskih sestankov itd. vedno več. Večina teh orodij se osredotoča predvsem na odlično uporabniško izkušnjo, saj le-ta dobro prodaja. Nekateri sistemi omogočajo namestitev različnih »vtičnikov«, ki razširijo možnosti prvotnega namena orodja in so tako še bolj mamljiva. Četudi je določeno orodje bilo na začetku zastavljeno bolj robustno (kar načeloma pomeni varnejše), se z vpeljavo različnih razširitev to lahko hitro spremeni. Ob veliki ponudbi različnih orodij je vedno treba preveriti njihovo vzdrževanje s strani proizvajalcev oziroma ali so posodobitve redno na voljo in kako hitro podjetje reagira ob ugotovljeni ranljivosti.

Ne glede na to, da je delo od doma privlačno za marsikatero okolje, pa lahko situacije (kot je npr. COVID-19) organizacije prisili, da po hitrem postopku uredijo delo od doma, če ne želijo še večjega izpada posla v obdobju izrednega stanja.

Z vidika varovanja informacij je vsaka impulzivna, nagla, nedodelana izbira dejanja potencialna varnostna luknja organizacije.

IT službe so bile prisiljene zelo hitro pripraviti veliko število naprav za delo od doma, kar bistveno poveča verjetnost za obstoj nepravilnosti in potencialno odpira vrata napadalcem do občutljivih podatkov organizacije. Tudi sicer delo izven organizacijskega okolja, kjer je možno infrastrukturo bolje zavarovati, prinaša določena tveganja, ki pa se jih da obvladovati, če ima IT služba tudi izdatno pomoč uporabnikov samih. Preden zaposleni pričnejo z delom od doma, je naloga IT službe ali zunanjega ponudnika informacijske infrastrukture, da zaposlene izobrazi o varnem delu od doma in varovanju informacijskega premoženja organizacije.

Vsa pravila veljajo tudi za strokovne delavce, ki izvajajo vzgojno-izobraževalno delo od doma, predvsem pa ravnatelje, skrbnike IKT tehnologije in tehnično-administrativno osebje, ko dela od doma.

Priporočila za IT službe: priprava terena za uporabnike

Preden se podate v vode dela od doma, je treba zagotoviti formaliziranje pravil. Za to so primerni dokumenti, kot je varnostna politika ali pravilnik, ki ureja to področje. Sam dokument sicer ne bo prinesel želenega učinka, saj je nerealno pričakovati, da ga bodo vsi zaposleni resnično prebrali in ne nazadnje tudi razumeli. V pomoč pri predajanju znanja na zaposlene so vam lahko naslednja vodila:

  1. Informacije naj bodo podane na strukturiran način in se naj med seboj vsebinsko povezujejo. Izogibajte se skakanja levo, desno, naprej in nazaj.
  2. Informacije naj bodo podane v uporabniku razumljivem jeziku. Večina uporabnikov ne ve, kaj je to npr. RAT (Remote Access Trojan), tako kot verjetno IT služba ne razume najbolje pomena »ne bis in idem«, ki pa je dobro poznan pravni službi. Torej izogibamo se uporabi tehničnih izrazov in te razložimo na preprost način, priporočljivo z uporabo primerov iz prakse v povezavo z dejavnostjo vaše organizacije. Na ta način bodo informacije hitreje sprejete in bolje razumljene.
  3. Varnostno politiko ali pravilnik, ki razlaga in nalaga dolžnosti pri delu od doma, predstavite in predajte zaposlenim s pomočjo izobraževanja na to temo, kjer se predstavi samo vsebino in poda dobre prakse na demonstracijah praktičnih situacij, kjer gre lahko nekaj narobe in tudi kakšno je pravilno ravnanje. Treba se je zavedati, da smo si ljudje različni in se tudi različno učimo. Tako poznamo vidne, slušne in zaznavne učne tipe posameznikov.
  4. Če kakovostnega izobraževanja ne morete izvesti sami, prepustite to zunanjemu strokovnjaku, ki bo za vas pripravil vsebino na osnovi vaše dokumentacije in izobraževanje tudi izvedel.
  5. Če je možno, izobraževanje posnemite, da je le-to na voljo zaposlenim tudi kasneje. Enako velja za dokumentacijo, ki ureja delo od doma (in tudi druge varnostne politike in pravilnike) – naj bo vedno dosegljiva posameznikom, da si lahko vsebino ogleda tudi kasneje, saj si vsega posameznik, z redkimi izjemami, ne more zapomniti z enkratnim branjem.

Ko urejate oziroma pripravljate naprave za delo od doma za zaposlene, za vsakega zaposlenega naredite seznam naprav, ki jih bo potreboval pri svojem delu, in mu jih tudi zagotovite. S tem dosežete zmanjšanje možnosti uporabe lastnih naprav za službene namene, mešanje službenega in domačega okolja in zmanjšate možnost odteka informacij. Seznam naprav lahko vsebuje: delovna postaja, prenosni računalnik, zunanji disk, USB ključki, miška, tipkovnica, slušalke in mikrofon, mobilni telefon, tablica itd. Ne pozabite na pripadajoče polnilce in kable za povezovanje omenjenih naprav, kjer je to smiselno.

Na napravah morajo biti zagotovljeni licenčni programi, ki jih zaposleni potrebuje za svoje delo, kot so VPN, Microsoft Office (ali podobni programi), oblačna storitev za shranjevanje in deljenje službenih dokumentov, aplikacija za video klice ter drugi programi, ki jih posameznik potrebuje pri svojem delu. Poskrbite za vse potrebne varnostne nadgradnje operacijskih sistemov in aplikacij.

Pogosta težava organizacij, ki se nenačrtovano spopade z množičnim delom od doma, je nezmogljivost infrastrukture za takšen izziv. Nujno je da preverite zmogljivosti vašega virtualnega privatnega omrežja (Virtual Private Network – VPN). Če je sistem preobremenjen, predvidite urnike njegove uporabe za posamezne zaposlene ali pa najdite drugega ponudnika, ki lahko prenese zahtevano obremenitev. Počasne povezave bodo precej podaljšale samo delo (lahko z nekaj sekund na nekaj minut) in povzročile nestrpnost pri zaposlenih, kar lahko na koncu vodi v napake.

Samo načrtovanje delovnih postopkov mora predvideti, da nimajo vsi zaposleni na voljo zanesljive internetne ali mobilne povezave doma. V Sloveniji se novi priključki stalno gradijo, vendar odročni kraji in manjše vasi večinoma še vedno nimajo na voljo optičnega interneta. Predvidite, kako bodo ti posamezniki opravljali svoje delo, če je sploh smiselno zaradi omenjenih omejitev.

Priporočila za IT službe: varnostni vidik

Domače delovno okolje zaposlenih se mora čim bolj približati siceršnjemu poslovnemu v organizaciji tudi z vidika varnosti. V prvi vrsti je treba predvideti, da se incidenti bodo dogajali in da moramo biti na to pripravljeni. Zaščita pred napadi obsega tako tehnične ukrepe, kamor spadajo uporaba antivirusne programske opreme, požarnega zidu, filtrov na strežnikih, VPN povezav, sistemov za nadzor in preprečevanje vdorov itd., kot tudi redno izobraževanje in ozaveščanje uporabnikov oz. zaposlenih. Ker pa smo najbolj varni takrat, ko se zavemo, da popolne varnosti ni, je nujna izdelava varnostnih kopij. Izobraževanja se lahko prikladno izvajajo tudi na daljavo, tako kot poteka normalna komunikacija pri delu od doma.

Koristno: Razmislite o morebitnih občasnih testih zaposlenih in oblikujte lažno elektronsko sporočilo ter ga razpošljite zaposlenim. Tistim, ki ga ne prepoznajo in nanj reagirajo, ponudite ponovno ozaveščanje o dotični problematiki.

Na informacijsko varnost je treba gledati celostno in ne samo s tehničnega vidika.

Priporočila za ukrepanje:

  1. Vzpostavite režim varnostnih kopij. Jasno mora biti določeno, kako se izdelujejo, kakšna je vloga uporabnika (če sploh je) in kakšen je postopek pridobivanja podatkov iz varnostnih kopij v primeru izgube, kraje ali uničenja podatkov na napravi uporabnika. Predvideti morate tudi scenarij ciljanih napadov z izsiljevalskimi virusi, kjer napadalci poskušajo najti varnostne kopije in jih pobrisati. Razmislite, ali je mogoče narediti režim izdelave varnostnih kopij, ki jih ne bo mogoče izbrisati iz lokalnega omrežja? Pomislite tudi na to, kje se nahajajo delovne kopije dokumentov: na službenih računalnikih in tablicah v organizaciji ali na prenosnih računalnikih zaposlenih doma? Delovne procese prilagodite tako, da bodo izdelane varnostne kopije vseh pomembnih ali ključnih dokumentov za poslovanje.
  2. Pred množičnim začetkom dela od doma poskrbite, da so vsa gesla za dostop do službenih sistemov ponastavljena. Poskrbite, da si zaposleni izberejo nova, močna gesla, ki so drugačna za različne sisteme, aplikacije, orodja in da si jih shranjujejo na varen (šifriran) način.
  3. Ustvarite si scenarij, kako se lahko neka okužba razširi po omrežju organizacije, če se okuži določena naprava. Naredite seznam naprav, ki se tudi lahko okužijo, in vzpostavite sistem, ki bo to preprečeval.
  4. Poskrbite podporo zaposlenim, da spremenijo privzeta gesla na domačih brezžičnih usmerjevalnikih. Veliko uporabnikov se domačega modema in brezžičnega usmerjevalnika od nakupa pa do danes ni kaj dosti dotikala. Sedaj je čas, da privzeta gesla nadomestijo nova, močna gesla, ki bodo pripomogla k varnosti domačega omrežja.
  5. Preprečite uporabo USB ključkov, ki niso last organizacije. Pri delu od doma je malo verjetno, da bi uporabnik moral uporabiti USB ključek, saj so informacije na voljo po zavarovanih kanalih, ki ste jih vzpostavili. Uporabo USB ključkov še posebej izpostavite v varnostni politiki in, če je potrebno, uporabo le-teh programsko omejite ali pa fizično onemogočite uporabo tovrstnega medija v služben računalnik, kjer je to smiselno.
  6. Delo na daljavo pomeni, da boste morali najti alternative medsebojnemu komuniciranju v obliki videokonferenc, klepetalnic in drugih sistemov sporočanja. Pri tem je seveda razlika, ali uporabljate sisteme, ki tečejo na opremi in infrastrukturi same organizacije, ali uporabljate rešitve v oblaku oz. pri tujih ponudnikih. Preverite, ali so znane kakršnekoli ranljivosti na strani teh ponudnikov in ali so jih že ali pa jih bodo kmalu odpravili. Preverite, kako je s hrambo podatkov, klepetov in posnetkov. Vedno je treba gledati tudi na varovanje informacijskega premoženja organizacije in zasebnost zaposlenih. Preverite drobni tisk v pogojih uporabe in se prepričajte, da ponudniku ne dajete nerazumnih pravic za uporabo vaših podatkov.
  7. Če je potrebno, na službene naprave, ki jih bodo zaposleni odnesli v domača okolja, namestite administrativna programska orodja, ki vam bodo pomagala pri nadzoru uporabe službene naprave in zmanjšala verjetnost potencialnih incidentov. Poskrbite, da so zaposleni o tem seznanjeni in ustrezno informirani o ukrepih, saj ti posegajo v pravice posameznikov in morate za njihovo uporabo pridobiti soglasje uporabnikov.
  8. Vzpostavite rešitve v primeru bolezni ključnih zaposlenih. Poskrbite za prenos dela, da bo le-to potekalo kar se da nemoteno.
  9. Imejte pripravljen načrt v primeru varnostnega incidenta. Poskrbite za čim hitrejši odziv, omejevanje škode in v primerih, ko je to potrebno, tudi za poročanje o incidentu pristojnim organom (Policija, Informacijski pooblaščenec, CERT). Uskladite se znotraj organizacije, kako bodo potekale aktivnosti v primeru, da bo potrebna fizična prisotnost v organizaciji zaradi odstranjevanja posledic incidenta.
  10. Zaposleni bodo tarče socialnega inženiringa, saj so sedaj še bolj ranljivi, ker je komunikacija omejena na telefonske, video klice in elektronsko pošto. Izpostavite to problematiko v varnostni politiki ali pravilniku in poskrbite za varnostno obveščanje zaposlenih, ko opazite kakšen porast napadov. Za primere telefonske komunikacije zagotovite seznam telefonskih številk. V primeru, da zaposleni dobijo klic od »informatikov« ali »vodilnih oseb« v organizaciji, lahko telefonsko številko preverijo, preden izdajo kakšno zaupno informacijo ali pa nasedejo manipulacijam zlonamernih klicateljev.

Delo od doma za zaposlene

Zaposleni oziroma tisti uporabniki, ki informacijsko tehnologijo uporabljajo pri svojem delu, so prva linija obrambe pred napadi od zunaj. Tisti, ki delajo od doma, so privzeto bolj ranljivi oziroma je večja verjetnost uspešnega napada, saj je komunikacija omejena na telefonsko, video in elektronsko pošto ter katero od aplikacij za besedilno sporočanje. Če od doma delate že daljše obdobje, potem so določeni procesi in dodatna varovala pri vas že implementirana in tečejo gladko. V kriznih primerih, kjer pa morajo zaposleni po spletu okoliščin preklopiti na delo od doma, pa ti procesi predstavljajo nekaj novega, za marsikoga tudi velik izziv. Da si čim bolj olajšate delo od doma, se naj vsi zaposleni podrobno seznanijo z varnostno politiko ali pravilnikom vaše organizacije, ki ureja to področje in z zanimanjem spremljajte organizirano izobraževanje na to temo. Prihrani vam lahko veliko preglavic in prepreči marsikateri incident. Zaposlenim priporočamo:

  1. Seznanite se z tehničnim in programskim repertoarjem vaše organizacije, kjer ste zaposleni. Postopki in uporaba posameznih naprav ter aplikacij vam morajo biti poznani, preden začnete z delom od doma.
  2. Ko delate od doma, vzdržujte tesen kontakt s sodelavci, da boste pravočasno obveščeni o spremembah in pomembnih novicah. Pozanimajte se in pridobite kontakte od sodelavcev, s katerimi boste v stiku. Prosite tudi za njihove osebne mobilne številke. V primeru klica z neznane številke, ki ni na vašem seznamu, ravnajte pazljivo in ne posredujte nobenih občutljivih informacij. Možnost je, da gre za zlonameren klic.
  3. Vzpostavite novo delovno rutino. Prisilno delo od doma je stresen proces, ki bo zamajal vaš vsakdan. Nujno je, da se v vašem novem delovnem okolju počutite dobro in suvereno, saj se velika večina vseh napak zgodi ravno v stresnih trenutkih (ko se nam nekam mudi, ko nismo skoncentrirani zaradi motečih dejavnikov, ko gre nekaj narobe in ne vemo, kako reagirati itd.).
  4. Uredite si delovni kotiček, kjer naj vam bo udobno. Če le imate možnost, si uredite svojo sobo, kjer boste lahko v miru opravljali delo. Hvaležni boste sebi in tudi drugim, ker jih pri tem ne boste motili. Če to ni mogoče, si lahko pomagate s podlogami (če imate napravo v naročju) in različnimi stojali za prenosne računalnike. Uporabite lahko karkoli, kar bo pripomoglo k vašemu udobju.
  5. Nadzorujte svoj impulz za improvizacijo (npr. ko nekaj ne deluje, kot bi moralo) in se v primeru tehničnih težav posvetujete z IT službo vaše organizacije. Ne ukrepajte na lastno pest, če za to niste usposobljeni, saj lahko naredite več škode kot koristi.
  6. Bodite na tekočem o varnostnih posodobitvah programske opreme, ki jo uporabljate za delo od doma. Napadalci bodo izredno situacijo (množičnega) dela od doma izrabili za slabe namene. Še posebej bodo na udaru aplikacije, ki so zaradi situacije pridobile na priljubljenosti in si jih uporabniki množično nalagajo. IT služba včasih ne bo mogla nadgraditi vaše naprave tako hitro, kot bi jo v primeru, ko bi delo opravljali na sedežu podjetja. Včasih bo treba kaj nadgraditi na lastno pest. Preden to naredite, se posvetujte z vašo IT službo.
  7. Izogibajte se javnim Wi-Fi dostopnim točkam. Če je treba, uporabite osebno dostopno točko (angl. Hotspot) preko svoje mobilne naprave. Javne dostopne točke morate dojemati kot nevarne, saj nikoli zares ne morete vedeti, kdo stoji za njenim upravljanjem.
  8. Vedno uporabite VPN za dostopanje do službenih aplikacij in ga tudi vedno izklopite, ko ga ne potrebujete več, da po nepotrebnem ne obremenjujete povezave. Upoštevajte navodila vaše organizacije o pravilni uporabi in tudi urniku uporabe.
  9. Občutljivih dokumentov, osebnih podatkov, podatkov o plačilnih karticah itd. ne pošiljajte preko elektronske pošte, saj je to nezavarovan kanal za komuniciranje. Če jih je nujno poslati, jih shranite v šifrirano mapo in to mapo posredujte preko elektronske pošte. Geslo pošljite po drugem kanalu.
  10. Bodite pozorni na poskuse socialnega inženiringa na temo koronavirusa. V času kriz je pogosto poplava različnih poskusov napadalcev, da pridobijo vaše osebne podatke, gesla za dostop do sistemov in podatke vaših bančnih kartic itd. Napadalci bodo igrali na čustva in že tako težko situacijo obrnili sebi v prid.
  11. Če dobite zahtevo za spremembo gesla na aplikacijah, ki jih uporabljate za službene namene, zahtevo preverite pri IT službi ali nadrejenem Če tega sporočila ne pričakujete, gre lahko za zlonamerno sporočilo. Vedno preverite, kam pelje povezava v sporočilu (v primeru, da bi nanjo kliknili). Če je spletni naslov drugačen, kot bi sicer moral biti, na povezavo ne klikajte.
  12. Če je le možno in da imate doma službeno opremo, imejte službene dokumente samo na službenih napravah. Ne mešajte zasebnega in službenega okolja. Vaše osebne naprave verjetno niso varnostno na tako visokem nivoju kot službene, saj uporabniki večinoma stremimo k čim boljši uporabnosti in velikemu številu možnosti uporabe, kar navadno zmanjšuje nivo varnosti.
  13. Službene naprave imejte vedno pod nadzorom in, ko jih ne uporabljate, naj bodo shranjene na varnem mestu. Če do njih dostopajo vaši otroci ali partner/-ka, se lahko pomembni podatki izbrišejo, uničijo ali pa spremenijo, ne da bi vi to opazili. Vsak tak dogodek se šteje za incident in ga je treba poročati vaši IT službi ali nadrejenemu.
  14. Zaklepajte vrata sobe, kjer so službene naprave shranjene. Naprave naj ne bodo v prostoru, ki ga uporablja več oseb, saj lahko pride do nesreče (politje tekočine, fizična poškodba itd.).
  15. Tisti, ki živite na podeželju, po možnosti v nekoliko odročnejših krajih, obvezno zaklepajte vrata hiše. Treba se je zavedati, da je vaš dom (sedaj) tudi delovno okolje. »Saj pri nas nobeden ne krade« ne velja več. Moramo se je obnašati, kot da nevarnost obstaja, in ravnati preventivno, da se zmanjša možnost za incident.
  16. Ne uporabljajte naključnih USB ključkov, ki vam morda že od prej ležijo doma. Ker ne veste, ali so varni, jih ne vstavljajte v službene naprave. Uporabljajte le naprave, ki jih je zagotovila vaša organizacija in za katere veste, da so varne za uporabo. Prav tako USB ključkov, ki so v lasti organizacije, ne uporabljajte na drugih napravah, ki niso službene.
  17. Nikoli ne puščajte naprav na sedežu avtomobila ali na javnih, nezavarovanih mestih. »Samo tri minute rabim, da skočim v lekarno…« in že je prepozno. Incident se lahko zgodi v nekaj sekundah, zato ne tvegajte.
  18. Preverite, kako je z varnostnimi kopijami pri vaši IT službi. Kako se bodo kopije izvajale, ko boste delali od doma in ali jih morate narediti sami? V primeru slednjega pridobite navodila za pravilen postopek.
  19. Bodite posebej pozorni na elektronska sporočila neznanih pošiljateljev, ki želijo, da odprete določeno priponko:
    1. Ne klikajte na povezave v elektronski pošti, ki jo prejmete od popolnega neznanca oziroma prej preverite, kam vas bo povezava peljala. To naredite tako, da se z miško postavite na povezavo. Nato se bo pod povezavo ali pa v spodnjem levem ali desnem kotu aplikacije, ki jo uporabljate, izpisal pravi naslov, ki se skriva za besedilom, ki ga vidite v elektronskem sporočilu.
    2. Ne odpirajte priponk neznanih pošiljateljev, tudi če gre za .pdf, .doc, .xls datoteke. Napadalci namreč lahko izvršljivo datoteko (virus) tako zamaskirajo, da na prvi pogled izgleda kot nenevaren pisarniški dokument.
    3. Pogosto napadalci pošljejo potvorjeno elektronsko pošto, v kateri se predstavijo kot zaupanja vredna institucija, kot npr. banka, leasing hiša, tudi FURS, Policija, dostavna služba. Vedno preverite, kam vodijo povezave, če vam je karkoli sumljivo. Vsebino sporočila raje preverite pri instituciji, preden nakazujete denar na račune navedene v elektronskem sporočilu.

V času izrednih razmer ali pa ko je čisto navaden dan in delate od doma, bodite pozorni na novice o napadih, ki se dogajajo v slovenskem prostoru. Najboljši vir teh informacij je CERT (Computer Emergency Response Team), ki jih objavlja ažurno in v primeru porasta specifičnega napada tega tudi analizira ter javnosti posreduje primerne ukrepe. Če niste prepričani, če je do incidenta prišlo, oziroma takrat, ko je nekaj narobe, tega ne pometajte pod preprogo, ampak kontaktirajte vašo IT službo ali pa se obrnite na nadrejene. Če je vaša službena naprava včeraj delovala brezhibno, danes pa ima določene »krče«, je čas, da pokličete pristojno osebo, ki vam bo težavo pomagala odpraviti.

Pomembno: Ne pozabite: Izogibajte se samostojnim posegom v napravo, če za to niste usposobljeni oziroma prepričani, da veste, kaj počnete.

Za uporabo priljubljenih vsebin se prijavite.

Ne pozabite

Aktualna izobraževanja - 10 % popust za naročnike s kodo: ERAVNATELJ10

(P)ostati pedagoški navdih: praksa, ki prepoznava in krepi otrokov potencial
18. 08. 2026
Kdo ali kaj nam krade pozornost in kako jo dobiti nazaj
27. 08. 2026
Evidenca odpadkov – obveznosti in poročanje
28. 08. 2026
Psihoaktivne snovi v šoli
22. 09. 2026
Odgovornost vodij v praksi – pravni vidiki kadrovskih odločitev
24. 09. 2026

Prijavite se na e-novice

Prijavite se na e-novice in bodite vedno na tekočem.

Prijava na novice