Praca zdalna przestała być rozwiązaniem tymczasowym. W wielu firmach stała się stałym elementem organizacji pracy. Pracownicy logują się do poczty z domu, korzystają z Teams, zapisują pliki w OneDrive, udostępniają dokumenty w SharePoint i pracują na urządzeniach, które nie zawsze znajdują się pod pełną kontrolą działu IT.
Microsoft 365 daje firmom wiele narzędzi do ochrony danych, ale samo posiadanie licencji nie oznacza bezpiecznego środowiska. Ochrona zależy od konfiguracji. Konto bez dodatkowego uwierzytelniania, zbyt szerokie uprawnienia do plików, brak zasad dla urządzeń mobilnych lub słaba ochrona poczty mogą wystarczyć, aby incydent bezpieczeństwa przerodził się w realny problem operacyjny.
Zacznij od kont użytkowników
Najczęstszym punktem wejścia do środowiska firmowego jest konto użytkownika. Jeśli atakujący przejmie login i hasło, może uzyskać dostęp do poczty, plików, czatów, kalendarzy i aplikacji podłączonych do Microsoft 365 dla firm.
Dlatego pierwszym krokiem powinno być wymuszenie uwierzytelniania wieloskładnikowego. Microsoft opisuje MFA jako mechanizm wymagający drugiej metody potwierdzenia podczas logowania, co zwiększa bezpieczeństwo kont użytkowników. W środowiskach z odpowiednimi licencjami można wdrażać MFA przez zasady dostępu warunkowego w Microsoft Entra ID.
Dobrze skonfigurowane MFA powinno obejmować wszystkich użytkowników, a szczególnie administratorów. Konta administracyjne wymagają osobnego podejścia: mniejszej liczby osób z uprawnieniami, oddzielnych kont do administracji i silniejszych metod logowania. Konto administratora używane na co dzień do poczty i przeglądania internetu zwiększa ryzyko przejęcia dostępu do całego środowiska.
W firmach, które nie korzystają z zaawansowanych zasad dostępu warunkowego, można rozważyć ustawienia domyślne zabezpieczeń. Microsoft wskazuje, że gdy organizacja nie może używać Conditional Access, alternatywą może być włączenie security defaults.
Ogranicz dostęp według warunków logowania
Samo MFA nie rozwiązuje wszystkich problemów. Inaczej wygląda logowanie z firmowego laptopa w Polsce, a inaczej próba dostępu z nieznanego urządzenia, z nietypowej lokalizacji lub przez aplikację starszego typu.
Do takich scenariuszy służy dostęp warunkowy w Microsoft Entra ID. Pozwala tworzyć zasady, które biorą pod uwagę użytkownika, aplikację, lokalizację, urządzenie, poziom ryzyka i sposób uwierzytelniania. Firma może wymagać MFA tylko w określonych sytuacjach, blokować logowania z wybranych krajów, wymuszać zgodność urządzenia lub ograniczać dostęp do danych przy logowaniu z urządzenia prywatnego.
Dla pracy zdalnej sensowne są szczególnie następujące zasady:
- wymuszenie MFA dla wszystkich użytkowników,
- blokada starszych protokołów uwierzytelniania,
- osobne reguły dla administratorów,
- ograniczenie dostępu z lokalizacji wysokiego ryzyka,
- wymóg korzystania z urządzeń zgodnych z polityką firmy,
- kontrola sesji przy dostępie przez przeglądarkę.
Dostęp warunkowy pozwala odejść od prostego modelu „hasło daje dostęp”. Decyzja o dostępie zależy od kontekstu logowania.
Zadbaj o urządzenia, z których korzystają pracownicy
Praca zdalna oznacza, że dane firmowe pojawiają się poza biurem. Laptop może działać w sieci domowej, telefon może być prywatny, a tablet może być współdzielony z innymi domownikami. W takim modelu firma musi wiedzieć, które urządzenia mają dostęp do danych i jakie wymagania powinny spełniać.
Microsoft Intune pozwala zarządzać urządzeniami oraz aplikacjami używanymi do pracy. Zasady zgodności urządzeń mogą określać wymagania dotyczące systemu, szyfrowania, blokady ekranu, aktualizacji i zabezpieczeń. Microsoft opisuje compliance policies jako mechanizm oceny, czy urządzenia spełniają reguły organizacji.
Nie każda firma chce lub może w pełni zarządzać prywatnymi urządzeniami pracowników. Wtedy przydatne są zasady ochrony aplikacji w Intune. Pozwalają chronić dane organizacji wewnątrz aplikacji, na przykład Outlook, Teams, Word, Excel czy OneDrive, bez pełnego przejmowania kontroli nad całym telefonem. Microsoft wskazuje, że app protection policies pomagają utrzymać dane firmowe w zarządzanej aplikacji i kontrolować sposób ich udostępniania.
Takie zasady mogą blokować kopiowanie danych firmowych do aplikacji prywatnych, wymagać kodu PIN do aplikacji, ograniczać zapisywanie plików poza zatwierdzonymi lokalizacjami lub usuwać dane służbowe z aplikacji po odejściu pracownika.
Uporządkuj udostępnianie plików
OneDrive i SharePoint ułatwiają współpracę, ale bez właściwych ustawień mogą prowadzić do nadmiernego udostępniania dokumentów. Problemem nie zawsze jest atak z zewnątrz. Często wystarczy link wysłany do niewłaściwej osoby, plik dostępny dla całej organizacji albo folder, do którego uprawnienia zostały nadane dawno temu i nigdy ich nie sprawdzono.
Warto ograniczyć anonimowe linki, ustawić domyślny typ udostępniania na bardziej restrykcyjny i regularnie przeglądać dostęp do witryn SharePoint. Osoby pracujące z dokumentami powinny rozumieć różnicę między linkiem dla konkretnej osoby, linkiem dla osób w organizacji i linkiem otwartym.
Dobre ustawienia obejmują też rozdzielenie przestrzeni roboczych. Inne uprawnienia powinien mieć dział finansów, inne zespół sprzedaży, inne zarząd, a jeszcze inne zewnętrzni współpracownicy. Współpraca z partnerem lub klientem nie musi oznaczać szerokiego dostępu do całej biblioteki dokumentów.
Chroń dane za pomocą etykiet poufności
Nie każdy dokument wymaga takiego samego poziomu ochrony. Oferta handlowa, umowa, lista płac, dokumentacja techniczna i ogólna prezentacja firmowa mają inną wagę. Microsoft Purview sensitivity labels pozwalają klasyfikować i chronić dane organizacji. Etykiety mogą służyć do oznaczania dokumentów, wiadomości e-mail i innych zasobów, a także do stosowania ochrony, takiej jak szyfrowanie lub ograniczenia dostępu.
Przykładowy zestaw etykiet może obejmować dokumenty publiczne, wewnętrzne, poufne i przeznaczone wyłącznie dla wybranych ról. Najważniejsze jest to, aby nazwy i zasady były zrozumiałe dla użytkowników. Jeśli etykiety będą zbyt skomplikowane, pracownicy zaczną wybierać je przypadkowo lub traktować jako przeszkodę.
Etykiety poufności pomagają też ograniczyć skutki pomyłek. Dokument oznaczony jako poufny może być zaszyfrowany i dostępny tylko dla wskazanych osób. Nawet jeśli zostanie przesłany poza organizację, odbiorca bez uprawnień nie otworzy zawartości.
Wykorzystaj DLP do ograniczenia wycieku danych
DLP, czyli Data Loss Prevention, pomaga wykrywać i ograniczać udostępnianie danych wrażliwych. Może dotyczyć poczty, plików w SharePoint, OneDrive, Teams i innych miejsc w ekosystemie Microsoft 365. Reguły DLP mogą reagować na dane osobowe, numery dokumentów, dane finansowe, informacje kadrowe lub inne treści zdefiniowane przez firmę.
Microsoft Purview pozwala używać etykiet poufności jako warunków w zasadach DLP, co ułatwia łączenie klasyfikacji dokumentów z kontrolą ich przepływu.
DLP nie powinno być wdrażane od razu jako system blokujący wszystko. Lepszym początkiem jest tryb testowy i obserwacja, gdzie dane faktycznie krążą. Dopiero po sprawdzeniu wyników można wprowadzać ostrzeżenia dla użytkowników, uzasadnienia biznesowe lub blokady.
Takie podejście pozwala uniknąć sytuacji, w której zabezpieczenia zatrzymują normalną pracę firmy.
Zabezpiecz pocztę przed phishingiem i złośliwymi załącznikami
Poczta nadal jest jednym z głównych kanałów ataków. Pracownik zdalny odbiera wiadomości poza biurem, często między spotkaniami, na telefonie lub w pośpiechu. Fałszywa faktura, link do rzekomego pliku, podszycie się pod przełożonego albo wiadomość udająca Microsoft mogą doprowadzić do kradzieży danych logowania.
Microsoft Defender for Office 365 oferuje między innymi Safe Links, Safe Attachments i zasady antyphishingowe. Safe Links sprawdza złośliwe linki używane w phishingu i innych atakach, również w momencie kliknięcia. Safe Attachments analizuje załączniki w odizolowanym środowisku przed dostarczeniem wiadomości do użytkownika.
Sama ochrona domyślna może nie wystarczyć. Microsoft wskazuje, że domyślna polityka antyphishingowa zapewnia ochronę przed spoofingiem i korzysta z mailbox intelligence, ale dodatkowe funkcje ochrony przed podszywaniem i progi phishingu nie są w niej skonfigurowane domyślnie.
Dla firm pracujących zdalnie istotne jest skonfigurowanie ochrony osób szczególnie narażonych, takich jak zarząd, finanse, kadry, sprzedaż i administratorzy. Ataki często są kierowane właśnie do tych grup, bo mają dostęp do danych, płatności, umów lub uprawnień systemowych.
W połowie drogi sprawdź, czy konfiguracja odpowiada firmie
Microsoft 365 można skonfigurować na wiele sposobów, ale ustawienia powinny wynikać z realnego sposobu pracy organizacji. Inaczej wygląda środowisko kancelarii prawnej, inaczej firmy produkcyjnej, inaczej spółki finansowej, a inaczej zespołu projektowego działającego w kilku krajach.
W tym miejscu przydaje się audyt i uporządkowanie konfiguracji. Lemon Pro wspiera firmy w analizie środowiska IT, bezpieczeństwie, usługach chmurowych, monitorowaniu, automatyzacji procesów i wdrożeniach opartych między innymi na technologiach Microsoft. Krótka konsultacja z zespołem może pomóc sprawdzić, czy obecna konfiguracja Microsoft 365 rzeczywiście chroni dane firmy, a nie tylko daje poczucie bezpieczeństwa.
Oddziel dostęp pracowników od dostępu gości
Praca zdalna często łączy się ze współpracą z osobami spoza organizacji. Konsultanci, podwykonawcy, partnerzy i klienci mogą być zapraszani do Teams, SharePoint lub pojedynczych dokumentów. To wygodne, ale wymaga jasnych zasad.
Dostęp gości powinien być ograniczony do konkretnych zasobów. Nie powinien być nadawany „na zapas”. Warto też ustawić okresowe przeglądy dostępu, aby konta zewnętrzne nie pozostawały aktywne długo po zakończeniu projektu.
Dobrą zasadą jest oddzielenie współpracy projektowej od danych wewnętrznych. Jeśli firma pracuje z zewnętrznym partnerem, lepiej utworzyć osobną przestrzeń roboczą z kontrolowanymi uprawnieniami niż udostępniać foldery z istniejących struktur działowych.
Zadbaj o kopie zapasowe i odporność na awarie
Microsoft 365 zapewnia wysoką dostępność usług, ale nie zwalnia firmy z myślenia o odzyskiwaniu danych. Usunięcie pliku, błąd użytkownika, nadpisanie dokumentu, działanie złośliwego oprogramowania lub problem z kontem mogą wymagać szybkiego przywrócenia danych.
Firmy powinny ustalić, jak długo chcą przechowywać dane, jakie zasoby wymagają dodatkowej kopii, kto odpowiada za odzyskiwanie i jak często procedury są testowane. Dotyczy to poczty, plików, danych w Teams, bibliotek SharePoint i kont użytkowników.
Bez takiego planu firma może mieć narzędzia do współpracy, ale nadal być słabo przygotowana na incydent.
Monitoruj zdarzenia i reaguj na sygnały ostrzegawcze
Bezpieczna konfiguracja nie jest jednorazowym zadaniem. Środowisko Microsoft 365 zmienia się razem z firmą. Dochodzą nowi pracownicy, zmieniają się role, powstają nowe zespoły, pojawiają się kolejne aplikacje i integracje.
Dlatego potrzebne jest monitorowanie logowań, alertów, zmian uprawnień, prób dostępu i działań administracyjnych. Nietypowe logowanie, masowe pobieranie plików, przekierowanie poczty na zewnętrzny adres albo nagła zmiana reguł skrzynki mogą wskazywać na incydent.
Alerty powinny trafiać do osób, które wiedzą, jak na nie zareagować. Samo generowanie powiadomień nie poprawia bezpieczeństwa, jeśli nikt ich nie analizuje albo nie ma ustalonej ścieżki reakcji.
Przeszkol użytkowników bez straszenia
Nawet dobrze skonfigurowane środowisko wymaga świadomych użytkowników. Pracownicy powinni wiedzieć, jak rozpoznawać podejrzane wiadomości, jak bezpiecznie udostępniać pliki, kiedy zgłaszać incydent i dlaczego nie należy omijać zabezpieczeń.
Szkolenia nie muszą być długie. Lepsze są krótsze, regularne materiały oparte na sytuacjach, które rzeczywiście występują w firmie. Przykłady fałszywych wiadomości, zasady korzystania z OneDrive, sposób zgłaszania utraty urządzenia czy wyjaśnienie MFA mogą przynieść więcej korzyści niż ogólna prezentacja o cyberbezpieczeństwie.
Celem nie jest przerzucenie odpowiedzialności na użytkownika. Chodzi o to, aby pracownik rozumiał, kiedy coś odbiega od normy i wiedział, gdzie to zgłosić.
Bezpieczeństwo pracy zdalnej zaczyna się od konfiguracji
Microsoft 365 może być bezpiecznym środowiskiem pracy zdalnej, jeśli firma świadomie skonfiguruje dostęp, urządzenia, pocztę, pliki i ochronę danych. Największym błędem jest pozostawienie domyślnych ustawień bez sprawdzenia, czy pasują do sposobu pracy organizacji.
Dobra konfiguracja ogranicza liczbę przypadkowych udostępnień, utrudnia przejęcie konta, chroni dokumenty poza biurem i daje działowi IT lepszą widoczność zdarzeń. Pracownicy mogą pracować zdalnie bez ciągłego kontaktu z administratorem, a firma zachowuje kontrolę nad danymi.
Materiał Partnera
