Jak zorganizować bezpieczną i efektywną pracę zdalną. Przykład z życia firmy.

Autor: Paul Zhdanovich, Managing director at Softprom

Wiele osób w naszej firmie już od 7 lat pracują w systemie home office. Doświadczenie uczy że praca zdalna wymusza dyscyplinę. Jeśli jest to odpowiednio zorganizowane, praca w takim trybie jest intensywniejszą i bardziej produktywną od pracy biurowej.

Zdalni pracownicy z reguły szybciej odpowiadają na wiadomości, organizują spotkania „na jutro” zamiast na „za tydzień” oraz szybciej wykonują swoją pracę. Wydaje nam się że tak to odbywa ponieważ te pracownicy dokładają wszelkich starań aby udowodnić innym, że są w pracy pomimo tego że są w domu.
Te godziny, które inni spędzają na dojazd do pracy i innych czynności oraz możliwość pracy, gdy inni jeszcze nie rozpoczęli ani nie skończyli czasy w pracy stanowią poważną przewagę konkurencyjną.

Mimo to, biorąc pod uwagę wszystkie oczywiste zalety tryb pracy zdalnej zwiększa ryzyki i może powodować problemy z bezpieczeństwem IT a kontrolą pracownika. W dalszej części artykułu skupimy się nie na organizacji pracy zdalnej i na przydatnych programach, które rozwiązują powyższe problemy. Nie udajemy że podany tutaj wybór jest idealny, ale nagromadziliśmy pewne doświadczenie ( doświadczenie to zwykle zbiór błędów) i chętnie podzielimy się nim w tym trudnym czasie.

Dla tych kto nie lubie czytać tutaj jest link do tabeli z przydatnymi programami.

Cloud jest dla nas wszystkim

Natychmiast po kryzysie w 2008 r. zmigrowaliśmy do chmury przenosząc nasze pocztę, systemy ERP i CRM, telefonie i system wideokonferencji. Było to korzystne ze względu na rozproszoną strukturę biznesową, wysokie koszty wsparcia i administrowania serwerów w różnych krajach.

W tamtym czasie wybór automatyzacji sprzedaży w chmurze był ograniczony przez NetSuite i Salesforce. Teraz liczba takich systemów jest mierzona w setkach. Na nasze potrzeby nawet częściowo zlokalizowaliśmy Salesforce dla siebie, ale ostatecznie wybór padł na NetSuite tylko dlatego, że zostali zawarte funkcji ERP, CRM i portalu partnerskiego. Kilka lat temu NetSuite został wykupiony przez Oracle, i chociaż system nie jest tani, wsparcie i implementacja nie są łatwe, wszyscy traktują go nie jako program (co zawsze będzie dla kogoś niewygodne), ale jak technologię.

Bez żadnych wątpliwości korporacyjny Gmail częściowo rozwiązał problemy związane z przechowywaniem dokumentów i podstawowych zabezpieczeń, w tym uwierzytelnianie dwuskładnikowe, antyspam i archiwizacja.
Do tego czasu korzystaliśmy z MS Exchange już od 10 lat i ku naszemu zdziwieniu nawet najbardziej hardcorowe fany Outlook-Exchange przełączyli się do interfejsu internetowego Gmaila. Myślimy, że szybkość wyszukiwania i wygoda z korzystania z etykiet bardzo w tym pomogły.

W obecnych czasach mądrze jest używać szwajcarskiego Protonmail ze względu na prywatność, ale jest to kwestia gustu.
Koledzy i koleżanki natychmiast docenili możliwości GoogleDrive do przechowywania dokumentów i udostępniania plików oraz Hangouts do bezpośredniej komunikacji.
Kolejną ważną kwestią związaną z usługami Google było to, że mogliśmy utworzyć wiki w Witrynach Google, które zawierają materiały informacyjne i centralne repozytorium dokumentów. Jeśli chodzi o przepływ pracy i archiwum dokumentów obecnie jest dostępne wiele różnych opcji, jednak dla nas wybór był bardzo prosty: Docflow. Ponadto skoro już mieliśmy GoogleDrive, dlaczego go nie wykorzystać razem z wtyczką AODocs.
Do cyfrowego podpisywania dokumentów używamy Docusign, chociaż na razie do wewnętrznego zatwierdzenia każdy korzysta z darmowego systemu podpisów w Adobe Acrobat.

Według różnych raportów Chinom najwyraźniej udało się przywrócić ciągłość dostaw sprzętu IT, jednak naszym zdaniem AWS, GCP i Azure będą teraz prawdziwymi bestsellerami, ponieważ nikt nie będzie chciał wpuszczać ludzi do serwerowni w najbliższej przyszłości. Na potrzeby organizacji wybraliśmy AWS jako główny standard gdzie przenieśliśmy wszystkie serwery, bazy danych księgowości  i telefonię Asterisk, zostawiając część zasobów na platformie Azure. Nie korzystamy z Google Analytics, w przeciwnym razie Google Cloud Platform również się spodoba. AWS kosztuje, ale mimo to wartuje - nie mamy problemów z równoważeniem obciążenia, terminową alokacją zasobów na żądanie, DDoS i innymi problemami związanymi z tradycyjnymi metodami. Aby zoptymalizować cenę chmury, używamy standardowych narzędzi AWS. Jeśli masz wielu dostawców chmur, polecamy CloudHealth od Vmware. Samodzielnie skofigurowaliśmy ją w sposób umożliwiający przyszłą skalowalność.

Miejsce pracy pracownika zdalnego – zdalny dostęp

W naszej firmie aktywnie stosujemy politykę BYOD (Bring Your Own Device) - pracownicy firmy korzystają z własnych komputerów i smartfonów w pracy. W przypadku dostarczania aplikacji i treści do komputerów stacjonarnych, w tym na urządzeniach mobilnych naszych pracowników (wdrożyliśmy technologię VDI), postawiliśmy na rozwiązania Citrix oraz AWS Desktop as Service. Ponadto testujemy rozwiązania innych firm, np. technologię cienki klient od IGEL czy VDI od Vmware. W celu zdalnego rozwiązywania problemów użytkowników wdrożyliśmy TeamViewer’a.

Interakcja grupowa

Obecnie prawie cała komunikacja odbywa się za pośrednictwem poczty elektronicznej, ale jasne jest, że najpierw to sposób komunikacji z zewnętrznymi kontrahentami i rejestrowanie umów. Dzieje się tak ze względu na regulacje i konieczność ewentualnego udokumentowania korespondencji np. w celach dowodowych w sądzie.

Natomiast całą wewnętrzną dyskusją przenieśliśmy z poczty do Slack’a – internetowego komunikatora, i wszystkie standardowe dokumenty, obieg dokumentów i procesy biznesowe do systemu ERP.
Nasza firma wcale nie korzysta z systemu HR do zarządzania personelem (uważamy, że Linkedina do naszych celów wystarczy), chociaż NetSuite zawiera taki moduł. Wykorzystujemy portal klienta w Oracle NetSuite jedynie w podstawowej wersji. Podobno do innych globalnych firm jako dostawcy oprogramowania wykorzystujemy zaawansowane funkcje i moduły nawet do sprzedaży licencji elektronicznych. 

Wideokonferencje

Za braku możliwości bezpośrednich spotkań czy podróży służbowe wideokonferencje są głównym narzędzie pracy z partnerami. Przez wiele lat w tym celu korzystamy z Adobe Connect oraz GoToMeeting, ale 2 lata temu zleciliśmy niezależne porównanie różnych rozwiązań do wideokonferencji.

Po przeanalizowaniu wyników, będąc partnerem wszystkich liczących się producentów, w tym najpopularniejszego w naszym regionie Cisco/Webex, doszliśmy do wniosku, że w naszym przypadku Zoom jest najbardziej optymalnym rozwiązaniem i dzisiaj został naszym standardem korporacyjnym. Nie żałujemy tej zmiany. Musimy tylko pamiętać i uważnie sprawdzać żeby zaplanowane wideo połączenia różnych pracowników nie odbywali się jednocześne. To, nawiasem mówiąc, jest kolejnym potwierdzeniem założenia, że praca zdalna przynosi wielką dyscyplinę. Co więcej - często nagrywamy filmy i przesyłamy ich do YouTube.
Nasi pracownicy w komunikacji z klientami i partnerami używają ponadto Google Hangout, Amazon Chime i Skype za potrzeby.

Poufność komunikacji

W dzisiejszych czasach nie jest już możliwa organizacja negocjacji w tradycyjny sposób w pokoju firmy. Z innej strony firmy nie ufają przeprowadzaniu poufnych rozmów za pomocą komunikacji mobilnej. Nie sądzę, by ktoś sprawdzał które z popularnych komunikatorów udało się podsłuchiwać lub nie, ale nagle rozwiązania takich firm jak Threema czy Wire cieszą się największym zaufaniem w środowisku biznesowym. Nie rozwiązuje to jednak problemu bezpiecznej komunikacji we wszystkich krajach, gdzieś na przykład takie usługi jak Skype, WhatsApp, Viber lub Telegram nie działają. Natomiast działają inne, w tym IMO czy WeChat. Pokładamy duże nadzieje w rozwiązaniach na szwajcarskiego producenta Adeya, który oferuje kryptografię na poziomie wojskowym (pozwala także na dodanie własnej biblioteki kryptografii) i pozwala wdrożyć system on-premise, na miejscu w firmie lub w chmurze producenta, która jest hostowana i chroniona przez szwajcarskie przepisy dotyczące prywatności.

Kontrola pracy naszych pracowników

Pomimo pełnej świadomości pracowników czasami trzeba sprawdzać, co pracownik robi w danym czasie. Jeśli ktoś chce obserwować pracę swoich pracowników w określonych godzinach, nie w celu nadzoru, ale na przykład rozliczania klientów, istnieje mnóstwo dostępnych produktów, takich jak Time Doctor, Hubstaff, Harvest, Toggl, TSheets itp. Monitorowanie pracowników jest prawnie zabronione w kilku krajach, ale możliwe i czasami konieczne jest badanie incydentów bezpieczeństwa.

Produkty do nagrywania sesji oferowane są m.in. przez CyberArk, ObservIt, Ekran Systems, Netwrix, Balabit (One Identity) itp. Wewnętrznie używamy rozwiązania firmy CyberArk, ponieważ ich system rozwiązuje również szereg innych problemów związanych z bezpieczeństwem IT.

VPN i dwuskładnikowe uwierzytelnianie to podstawa „cyfrowej higieny”

Gdy użytkownicy znajdują się poza bezpiecznym środowiskiem pracy w biurze i zwykle łączą się przez domowe wifi, należy pamiętać o przestrzeganiu minimalnych wymagań w zakresie bezpieczeństwa. Oprócz regularnej zmiany mocnych haseł każdy powinien korzystać z VPNu. Korzystamy tutaj z rozwiązań Barracuda Network i Forcepoint/Stonesoft, ale także z darmowych OpenVPN i ProtonVPN.
W przypadku smartfonów korzystamy również z tych rozwiązań i wymagamy od naszych pracowników aby wyłączyli na swoich urządzeniach automatyczne łączenie się ze znanymi sieciami WiFi, wszystko w celu ochrony przed tzw. wardrivingiem.

Od kiedy odnotowaliśmy próby okresowego włamywania się do naszej poczty, wszystkie nasze usługi w chmurze przełączyliśmy na uwierzytelnianie dwuskładnikowe. O na bieżąco aktualizowanych programach antywirusowych na każdym komputerze i zainstalowanej zaporze nawet nie mówimy  - są to obowiązkowe opcje pracy dla każdego zdalnego pracownika. 

Pracownicy zdalni są bardziej podatni na ewentualne oszustwa

W 2018 r. rynek cyber-bezpieczeństwa został oszacowany na 248 mld USD, a jego wzrost w najbliższych 3 latach będzie wynosił od 10% do 13% rocznie.
Część tego rynku związana z zapobieganiem oszustwom, choć szacowana obecnie na poziomie 20 miliardów dolarów, rośnie w tempie 25-30% rocznie.

Z kolei część rynku określana jako - świadomość niebezpieczeństwa i szkolenia (Security Awareness & Training) - rośnie w tempie 40-50% rocznie. Wynika to z faktu, że człowiek jest najsłabszym polączeniem w systemie bezpieczeństwa. Pracownicy muszą być ciągle szkolone i świadome o pojawianiu nowych zagrożeń i wykorzystywanych technik. W naszej firmie w celu ochrony naszych pracowników używamy rozwiązań CybeReady, aby szkolić, jak unikać phishingu. Takie rozwiązania są również oferowane przez Cofense (Phishme), Dcoya, Barracuda Network i inne firmy.

Brak kompromisów w dziedzinie bezpieczeństwa

Różnorodność komputerów i systemów operacyjnych w naszej organizacji sprawia, że musimy pilnować by każdy użytkownik aktualizował swoją przeglądarkę, system operacyjny i instalował poprawki i łatki bezpieczeństwa.
Ivanti jako platforma zarządzania poprawkami dobrze się sprawuje w naszym zróżnicowanym środowisku. Produkty Rapid7 służą nam do zarządzania podatnościami, ale są też inne godne polecenia rozwiązania firm Tenable czy Qualys. Do zarządzania dostępem dla uprzywilejowanych użytkowników używamy rozwiązania firmy CyberArk.

W niektórych krajach strony internetowe są blokowane przez rząd. Niewiele firm wie, że istnieje proste i eleganckie rozwiązanie bez przeglądarki Tor B. Natychmiastowe plany na ten tydzień obejmują prośbę do dostawców o tymczasowy bezpłatny lub preferencyjny dostęp oraz promocje wspierające naszych klientów i innych rzeczy. Jest to tzw. bezpieczna przeglądarka, która rozwiązuje problem bezpieczeństwa i monitorowania aktywności w sieci oraz problem cenzury. Podobne rozwiązania oferują Ericom, Symantec, mcAfee i Menlo.

Jeśli firma jest niewielka, prawdopodobnie nie będzie potrzebować rozbudowanego narzędzia jak SIEM. Ale w zależności od specyfiki działania być może będzie potrzebowaćła innych narzędzi jak DLP, SWG, szyfrowania, haseł jednorazowyc, itp. Przemyślana migracja usług do chmury wymaga zastosowania rozwiązań CASB. Jeśli masz własny SOC lub korzystasz z outsourcingu Security as a Service, nasze porady najprawdopodobniej niewiele wniosą.
A co, jeśli jesteśmy firmą produkcyjną i mamy sterowanie produkcją

Nasza firma w krajach UE koncentruje się bardziej na zapewnieniu ochrony w sieciach przemysłowych i infrastruktury krytycznej. Jedną z obowiązkowych opcji bezpieczeństwa dla systemów SCADA są tzw. Data Diode - urządzenia, które fizycznie nie pozwalają na przesyłanie sygnałów do sieci przemysłowej. Możliwy jest jedynie odczyt „tak, aby nie można ich zainfekować i doprowadzić do wybuchu lub zatrzymania”.

W naszej firmie nie wykorzystamy systemów produkcyjnych. Rozwiązanie firmy WaterFall, lidera na rynku Diod Danych do systemów przemysłowych, oferuje w sytuacjach kryzysowych „darmową” opcję zdalnego zarządzania produkcją za pomocą zdalnego pulpitu - Remote Screen View.

Plan kryzysowy

Plany na ten tydzień obejmują sprawdzenie ze wszystkimi naszymi dostawcami możliwości udzielenia tymczasowego bezpłatnego dostępu do rozwiązań ułatwiających zdalną pracę lub zaoferowania naszym klientom takich rozwiązań na szegółach preferencyjnych.

Wszyscy rozumiemy że sytuacja jest trudna. W planach długoterminowych rozważamy wdrożenie platformy szkoleniowej Coursera dla zdalnych użytkowników. Wprowadzony właśnie stan kwarantanny tylko przyspieszy nasze decyzje w tym obszarze. Należy pamiętać o wdrożeniu DocuSign dla współpracy z zewnętrznymi kontrahentami, ponieważ w obecnej sytuacji przez jakiś czas nie będziemy mieć możliwości osobistych spotkań.

Widząc, jak często nasi pracownicy korzystają z poufnych informacji na smartfonach dostrzegamy konieczność instalacji rozwiązania MDM/EMM. W naszym przypadku najprawdopodobniej będzie to rozwiązanie firmy MobileIron ewentualnie Vmware AirWatch lub Citrix MDM. Jak poprzedni globalny kryzys zmusił nas do migracji usług do chmury, prawdopodobnie tym razem sytuacja sugeruje do szerokiego zastosowania sztucznej inteligencji. Dlatego już dziś myślimy o automatycznych asystentach sprzedaży czy komunikacji wielokanałowej (OMNI-channel), ale wygląda to jeszcze nieco futurystycznie.

Materiał został przygotowany przy wsparciu projektu ROI4CIO