Politika rada na daljinu – SME

P09S – Politika rada na daljinu je smjernica za usklađenost s kibernetičkom sigurnošću prilagođena malim i srednjim poduzećima (SME-ovima) koja žele zaštititi informacije tvrtke kada osoblje radi izvan tradicionalnih uredskih okruženja. Kako je naznačeno SME oznakom (P09S) i fokusom na ulogu glavnog izvršnog direktora, politika je strukturirana za organizacije bez namjenskih IT timova ili formalnih sigurnosnih službenika, a pritom zadržava strogu usklađenost s međunarodnim standardima, osobito ISO/IEC 27001:2022. Svrha politike je uspostaviti jasne, provedive sigurnosne zahtjeve za svo osoblje koje udaljeno pristupa sustavima ili podacima tvrtke, bilo od kuće, iz zajedničkih radnih prostora ili tijekom putovanja. Prioriteti su usmjereni na zaštitu povjerljivosti, cjelovitosti i dostupnosti poslovnih informacija. P09S se univerzalno primjenjuje na zaposlenike, izvođače, konzultante i privremene radnike te obuhvaća uporabu uređaja u vlasništvu tvrtke i osobnih uređaja (gdje je dopušteno), sve načine udaljenog pristupa (VPN, udaljene radne površine, oblak) te posebna pravila za postupanje s podacima i praćenje. Ključni ciljevi uključuju sprječavanje neovlaštenog pristupa sustavima, osiguravanje da svi udaljeni uređaji zadovoljavaju osnovnu sigurnost (kao što su zaštita lozinkom, ažurirani antivirusni softver i šifriranje) te održavanje nadzora nad privilegijama pristupa. Politika stavlja poseban naglasak na upravljanje prilagođeno SME-ovima: glavni izvršni direktor odobrava rad na daljinu, prati usklađenost, preispituje iznimke i koordinira s IT podrškom (internom ili vanjskom) radi tehničke provedbe i odgovora na incidente. Voditelji ureda ili HR zaduženi su za vođenje evidencija i prikupljanje potvrda upoznatosti s politikom, dok su udaljeni radnici odgovorni za fizičku i digitalnu sigurnost, uključujući trenutačno prijavljivanje incidenata poput izgubljenih uređaja ili kršenja politike. Posebni zahtjevi upravljanja nalažu da sav udaljeni pristup mora imati formalni postupak odobravanja uz održavanje registra, da se sigurne veze (npr. VPN i višefaktorska autentifikacija (MFA)) moraju koristiti u svakom trenutku te da se osobni uređaji mogu koristiti samo ako su usklađeni sa sigurnosnim standardima tvrtke i registrirani su uz IT. Politika također propisuje stroge kontrole nad osjetljivim podacima, zabranjuje kućno ispisivanje osim uz zaštitne mjere, zahtijeva pohranu u oblaku umjesto lokalnog spremanja te osigurava da su dokumenti zaključani ili uništeni rezanjem. Mjere fizičke sigurnosti sprječavaju krađu i neovlašteni pristup uređajima i dokumentima tijekom rada na daljinu. Dijelovi o provedbi obuhvaćaju rokove prijavljivanja incidenata, nasumične provjere ili praćenje od strane glavnog izvršnog direktora ili IT podrške, ograničenja dopuštenog softvera i alata, trenutačno ukidanje pristupa i provjere usklađenosti pri odlasku te strogo postupanje s privremenim iznimkama. Politika uključuje jasan okvir za upravljanje rizicima rada na daljinu, navodeći mjere kontrole kao što su provedba VPN-a, zaštita krajnjih točaka i ograničenja ispisa ili pohrane. Svaka iznimka zahtijeva pisano odobrenje, dokumentiranu procjenu i privremene ublažavajuće zaštitne mjere. Ponavljana ili značajna kršenja mogu rezultirati ukidanjem pristupa, disciplinskim mjerama ili raskidom ugovora. Ciklusi pregleda i ažuriranja su godišnji ili se pokreću velikim incidentima ili promjenama regulatornih zahtjeva ili tehnologije rada na daljinu. Time se osigurava kontinuirana usklađenost s vodećim okvirima i promjenjivim poslovnim ili pravnim potrebama. P09S je izričito mapiran na ISO/IEC 27001:2022 i ISO/IEC 27002:2022, NIST SP 800-53, GDPR, NIS2, DORA i COBIT 2019, pružajući snažnu osnovu usklađenosti za SME-ove kojima je potrebno jamstvo bez složenosti sigurnosnog upravljanja na razini velikih poduzeća.