Säkert distansarbete för dina medarbetare

Vad är viktigt att tänka på när du och många andra samtidigt arbetar hemifrån? Många av oss hanterar nu organisationens information på ett sätt som varken vi eller våra it-system är vana vid att göra. Det kan få negativa konsekvenser för din organisation om exempelvis information hamnar i orätta händer, den förstörs eller blir felaktig. För att minska riskerna, tänk på följande:

1. Vilka regler gäller för distansarbete i din organisation? Ta reda på vad som gäller och följ dem så att du inte blir en säkerhetsrisk. Håll dig informerad eftersom reglerna i kristider kan förändras snabbt.
2. Vilka regler gäller för uppkoppling mot arbetsplatsen/organisationen? När du kopplar upp dig mot organisationens it-miljö, följ reglerna. Ditt hemmanätverk kan av olika anledningar vara osäkert och inte ge informationen tillräckligt skydd. Finns krav på att använda en VPN-tjänst eller tvåfaktorsinloggning? Finns krav på att enbart koppla upp dig via mobiltelefonen och använda mobildata? Du behöver veta vad som gäller. Kom ihåg att alltid ha starka lösenord.
3. Om det uppstår begränsningar i antalet uppkopplade medarbetare behöver ni komma överens om hur ni kan lägga upp arbetet och prioritera det viktigaste i verksamheten. Håll dig informerad om vad som gäller och hur ni kan hjälpas åt att minska belastningen. Exempelvis kan du bli ombedd att arbeta lokalt och enbart koppla upp dig korta stunder eller vissa tider.
4. Om du inte har åtkomst till organisationens informationssystem, till exempel att nätverket har gått ned, så behöver du få råd om hur du kan spara informationen på ett säkert sätt. Spara aldrig känslig information i privata molnlösningar.
5. Din arbetsutrustning – dator, surfplatta eller mobiltelefon är personlig och ska inte användas för privat bruk eller av andra. Informationen där ska skyddas. Det innebär att du alltid ska logga ut och låsa datorn när du lämnar den, även hemma. Ingen annan i familjen ska ha tillgång till utrustningen eller kunna ta del av information. Tänk på att utrustning som skadas hemma genom olyckor eller slarv kan vara svåra att byta ut eller repareras.
6. USB-minnen ska inte användas mellan privat dator och din arbetsdator. Virus kan spridas.
7. Viktig information finns även på papper och anteckningar m.m. som behöver förvaras säkert. Organisera din arbetsplats och tänk på att låsa utrymmen där information finns.
8. Vid digitala arbetsmöten, bedöm risken att andra kan höra eller se informationen som förmedlas.
9. Just nu pågår många försök till bedrägerier. Klicka inte på länkar, bilagor eller ladda ned program som kommer via e-post, sms eller olika webbsidor särskilt när du inte känner till avsändaren.

Vad är viktigt att tänka på när många kopplar upp sig och arbetar på distans?

Att arbete på distans skapar fantastiska möjligheter men det är också viktigt att det görs säkert. Den kraftigt ökande användningen av distansarbete medför att vi nu hanterar information på ett sätt som varken vi eller våra it-system är vana att göra. Det i sin tur kan resultera i negativa konsekvenser.

Här kommer några råd till dig som samordnar organisationens informationssäkerhet.

1. Vilka regler gäller för distansarbete och användningen av it-system utanför organisationen? Är reglerna aktuella och relevanta eller behöver de snabbt förbättras? Kommunicera och påminn alla medarbetare om reglerna. Se till att de är lätta att hitta, publicera de t.ex. på intranätet. Säkerställ regler för distansarbete och användningen av it-system utanför organisa-tionen genom exempelvis antivirusprogram, uppdaterade operativsystem och program, säkerhet i hem-nätverk och policy för hemarbete.
2. Vilken kapacitet har organisationen avseende hur många som kan arbeta på distans? Om ni har begränsningar i antal möjliga distansuppkopplingar behöver viktig verksamhet prioriteras och annat arbete göras lokalt på datorn, utan uppkoppling. Det kräver struktur och samordning. Se över möjligheterna att några medarbetare kan koppla upp sig olika tider för exempelvis att hämta dokument från server till dator för att jobba lokalt tills ni fått fler uppkopplingar eller mer utrymme. Kan medarbetare använda organisationens system? Ni vill undvika att medarbetarna börja använda egna verktyg.
3. Finns säkra inloggningar för distansarbete? Säkerställ att it-funktionen har de resurser som krävs för att upprätthålla säkra inloggningar för distansarbete, installera säkerhetsuppdateringar snabbt, hantera incidenter med mera.
   
   Läs mer på cert.se
4. Finns säkra arbetssätt för behörighetstilldelning vid distansarbete? Säkerställ att interna supporten arbetar enligt reglerna för behörighetstilldelning för uppkoppling vid distansarbete. Var medveten om att det kan förekomma falska samtal om lösenordsåterställning och även falska inloggningslänkar. Eventuell avvikelse från reglerna kan ske först efter medvetna riskbeslut.
5. Följs antagna kontinuitetsplaner? Säkerställ att kontinuitetsplaner följs där så behövs och stötta verksamheter som saknar planer genom att få dem att fundera på vilka delar i verksamheten som är kritiska för organisationen.
   Läs mera på msb.se/kontinuitetshanteringDet innebär också att fundera på vilka externa beroenden som finns, t.ex. behov av internetåtkomst både för organisationen och för distansarbetande medarbetare. Se över reservlösningar såsom dataöverföring över mobiltelefoninät och planera för vilka rutiner som gäller om de vanliga kommunikationstjänsterna saknas.
6. Incidenter behöver snabbt följas upp. Säkerställ att incidenter fångas upp och följs upp så snart som möjligt så att ni snabbt kan åtgärda sårbarheter som har uppstått på grund av ändrade förutsättningar. Säkerställ att personalen vet vad en incident är och hur den ska hanteras.
7. Kommunicera till ledningen regelbundet, kort och koncist. Vad ni gör, varför, förklara ev risker och konsekvenser. Var aktiv och bidra med beslutsunderlag så att ledningen kan fatta riskmedvetna beslut.
8. Skydda din integritet med VPN genom att säkra din anslutning och kryptera data.
9. Säkerställ att det finns utbildningsmaterial för verktyg och arbetssätt samt att all personal får grundläggande kunskap i informationssäkerhet och incidenthantering.
   Exempel på utbildning