News

Jak zorganizować bezpieczną i efektywną pracę zdalną. Przykład z życia firmy.

News | 27.03.2020

Autor: Paul Zhdanovich, Managing director at Softprom

W naszej firmie wiele osób, już od 7 lat, pracuje w systemie home office. Doświadczenie uczy, że praca zdalna wymusza dyscyplinę. Jeśli jest się odpowiednio zorganizowanym, praca w takim trybie jest intensywniejsza i bardziej produktywna od pracy biurowej.

Zdalni pracownicy z reguły szybciej odpowiadają na wiadomości, organizują spotkania „na jutro” zamiast na „za tydzień” oraz szybciej wykonują swoją pracę. Wydaje nam się, że dzieje się tak, ponieważ tacy pracownicy dokładają wszelkich starań, aby udowodnić innym, że są w pracy pomimo tego że są w domu.

Te godziny, które inni spędzają na dojazdach do pracy i innych czynnościach, oraz możliwość pracy, gdy inni jeszcze nie rozpoczęli ani nie zakończyli dnia roboczego, stanowią poważną przewagę konkurencyjną.

Mimo to, biorąc pod uwagę wszystkie oczywiste zalety, tryb pracy zdalnej zwiększa ryzyko i może powodować problemy z bezpieczeństwem IT, jak i kontrolą pracownika. W dalszej części artykułu skupimy się nie na organizacji pracy zdalnej, ale na przydatnych programach, które rozwiązują powyższe problemy. Nie udajemy, że przedstawiony tutaj wybór jest idealny, ale nagromadziliśmy pewne doświadczenie (a doświadczenie to zwykle zbiór błędów) i chętnie podzielimy się nim w tym trudnym czasie.

Dla tych co nie lubią czytać, tutaj jest link do tabeli z przydatnymi programami.

Cloud jest dla nas wszystkim

Natychmiast po kryzysie w 2008 r. Zmigrowaliśmy w chmurę naszą pocztę, systemy ERP i CRM, telefonię i system wideokonferencji. Było to korzystne ze względu na rozproszoną strukturę biznesową, wysokie koszty wsparcia i administracji serwerami w różnych krajach.

W tamtym czasie wybór automatyzacji sprzedaży w chmurze był ograniczony do NetSuite i Salesforce. Teraz liczba takich systemów jest mierzona w setkach. Na nasze potrzeby nawet częściowo zlokalizowaliśmy Salesforce dla siebie, ale ostatecznie wybór padł na NetSuite tylko dlatego, że miał funkcje ERP, CRM i portalu partnerskiego. Kilka lat temu Oracle kupiło NetSuite i chociaż system nie jest tani, wsparcie i implementacja nie są łatwe, wszyscy są już przyzwyczajeni do patrzenia na nie nie jako program (co zawsze będzie dla kogoś niewygodne), ale jak na technologię.

Bez żadnych wątpliwości korporacyjny Gmail częściowo rozwiązał problemy związane z przechowywaniem dokumentów i podstawowymi zabezpieczeniami, takimi jak uwierzytelnianie dwuskładnikowe, antyspam i archiwizacja.

Do tego czasu korzystaliśmy z MS Exchange już od 10 lat i ku naszemu zdziwieniu nawet najbardziej zagorzali fani Outlook-Exchange przełączyli się na interfejs internetowy Gmaila. Myślimy, że szybkość wyszukiwania i wygoda z korzystania z etykiet bardzow tym pomogły.

W obecnych czasach mądrze jest używać szwajcarskiego Protonmail ze względu na prywatność, ale jest to kwestia gustu.

Koledzy i koleżanki natychmiast docenili możliwości GoogleDrive do przechowywania dokumentów i udostępniania plików oraz Hangouts do bezpośredniej komunikacji.

Kolejną ważną kwestią związaną z usługami Google było to, że mogliśmy utworzyć wiki w Witrynach Google, które zawiera materiały informacyjne i centralne repozytorium dokumentów. Jeśli chodzi o przepływ pracy i archiwum dokumentów, obecnie jest dostępne wiele różnych opcji, jednak dla nas wybór był bardzo prosty: Docflow. Ponadto, skoro już mieliśmy GoogleDrive, dlaczego go nie wykorzystać razem z wtyczką AODocs

Do cyfrowego podpisywania dokumentów kupiliśmy Docusign, chociaż na razie, do wewnętrznego zatwierdzenia, każdy korzysta z darmowego systemu podpisów w Adobe Acrobat.

Według różnych raportów Chinom najwyraźniej udało się przywrócić ciągłość dostaw sprzętu IT, jednak naszym zdaniem AWS, GCP i Azure będą teraz prawdziwymi bestsellerami, ponieważ nikt nie będzie chciał wpuszczać ludzi do serwerowni w najbliższej przyszłości. Na potrzeby organizacji wybraliśmy AWS jako główny standard gdzie przenieśliśmy wszystkie serwery, starszą księgowość 1C i telefonię Asterisk, zostawiając część zasobów na platformie Azure. Nie mamy Google Analytics, w przeciwnym razie Google Cloud Platform również się spodoba. AWS to jest drogim wyborem, ale mimo to jest warte swojej ceny - nie mamy problemów z równoważeniem obciążenia, terminową alokacją zasobów na żądanie, DDoS i innymi problemami związanymi z tradycyjnymi metodami. Aby zoptymalizować cenę chmury, używamy standardowych narzędzi AWS. Jeśli masz wielu dostawców chmur, zalecamy CloudHealth od Vmware. Samodzielnie skofigurowaliśmy je w sposób umożliwiający przyszłą skalowalność.

Miejsce pracy pracownika zdalnego – zdalny dostęp

W naszej firmie aktywnie stosujemy politykę BYOD (Bring Your Own Device) - pracownicy firmy korzystają z własnych komputerów i smartfonów w pracy. W przypadku dostarczania aplikacji i treści do komputerów stacjonarnych, w tym na urządzeniach mobilnych naszych pracowników (wdrożyliśmy technologię VDI), postawiliśmy na rozwiązania Citrix oraz AWS Desktop as Service. Ponadto testujemy rozwiązania innych firm, np. technologię cienki klient od IGEL czy VDI od Vmware. W celu zdalnego rozwiązywania problemów użytkowników wdrożyliśmy TeamViewer’a.

Interakcja grupowa

Obecnie prawie cała komunikacja odbywa się za pośrednictwem poczty elektronicznej, ale rozumie się, że jest to przede wszystkim sposób komunikowania się z zewnętrznymi kontrahentami i rejestrowanie umów. Dzieje się tak ze względu na regulacje i konieczność ewentualnego udokumentowania korespondencji np. w celach dowodowych w sądzie.

Natomiast całą wewnętrzną dyskusję przenieśliśmy z poczty do Slack’a – internetowego komunikatora, a wszystkie standardowe dokumenty, obieg dokumentów i procesy biznesowe do systemu ERP..

Nasza firma wciąż nie korzysta z systemu HR do zarządzania kadrami (uważamy, że Linkedin do naszych celów wystarczy), chociaż NetSuite zawiera taki moduł. Wykorzystujemy portal klienta w Oracle NetSuite jedynie w podstawowej wersji. Podobno inne, globalne firmy jak dostawcy oprogramowania wykorzystują zaawansowane funkcje i moduły nawet do sprzedaży licencji elektronicznych. .

Wideokonferencje

Przy braku możliwości odbywania bezpośrednich spotkań czy podróży służbowych wideokonferencje stały się głównym narzędziem pracy z partnerami. Przez wiele lat wykorzystywaliśmy do tego celu Adobe Connect oraz GoToMeeting, ale 2 lata temu zleciliśmy niezależne porównanie różnych rozwiązań do wideokonferencji.

Po przeanalizowaniu wyników, będąc partnerem wszystkich liczących się producentów, w tym najpopularniejszego w naszym regionie Cisco/Webex, doszliśmy do wniosku, że w naszym przypadku Zoom jest najbardziej optymalnym rozwiązaniem i dzisiaj stał się naszym standardem korporacyjnym. Nie żałujemy tej zmiany. Musimy jedynie pamiętać i uważnie sprawdzać czy zaplanowane połączenia wideo różnych pracowników się nie pokrywają. To, nawiasem mówiąc, jest kolejnym potwierdzeniem założenia, że praca zdalna przynosi wielką dyscyplinę. Co więcej - często nagrywamy filmy i przesyłamy je na YouTube.

Nasi pracownicy w komunikacji z klientami i partnerami używają ponadto Google Hangout, Amazon Chime i Skype, wtedy kiedy to konieczne.

Poufność komunikacji

TW dzisiejszych czasach nie jest już możliwe organizowanie negocjacji w tradycyjny sposób w pokoju negocjacji. Z drugiej firmy nie ufają przeprowadzaniu poufnych rozmów za pomocą komunikacji mobilnej. Nie sądzę, by ktoś sprawdzał czy i które z popularnych komunikatorów dało się podsłuchiwać lub nie, ale z jakiegoś powodu rozwiązania takich firm jak Threema, czy Wire, cieszą się największym zaufaniem w środowisku biznesowym. Nie rozwiązuje to jednak problemu bezpiecznej komunikacji we wszystkich krajach, gdzieś na przykład takie usługi jak Skype, WhatsApp, Viber, Telegram nie działają. Działają za to inne jak IMO czy WeChat. Pokładamy duże nadzieje w rozwiązaniach szwajcarskiego producenta Adeya, który oferuje kryptografię na poziomie wojskowym (pozwala także na dodanie własnej biblioteki kryptografii) i pozwala wdrożyć system on-premise, na miejscu w firmie lub w chmurze producenta, która jest hostowana i chroniona przez szwajcarskie przepisy dotyczące prywatności.

Kontrola pracy naszych pracowników

Pomimo pełnej świadomości, pracowników czasami trzeba sprawdzać, co pracownik robił w danym czasie. Jeśli ktoś chce obserwować pracę swoich pracowników w określonych godzinach, nie w celu nadzoru nadzoru, ale na przykład rozliczania klientów, istnieje mnóstwo dostępnych produktów, takich jak Time Doctor, Hubstaff, Harvest, Toggl, TSheets itp. Monitorowanie pracowników jest prawnie zabronione w kilku krajach, ale możliwe i czasami konieczne jest badanie incydentów bezpieczeństwa.

Produkty do nagrywania sesji oferowane są m.in. przez CyberArk, ObservIt, Ekran Systems, Netwrix, Balabit (One Identity) itp. Wewnętrznie używamy rozwiązania firmy CyberArk, ponieważ ich system rozwiązuje również szereg innych problemów związanych z bezpieczeństwem IT

VPN i dwuskładnikowe uwierzytelnianie to podstawa „cyfrowej higieny”

Gdy użytkownicy znajdują się poza bezpiecznym środowiskiem pracy w biurze i zwykle łączą się przez domowe Wi-Fi, należy pamiętać o przestrzeganiu minimalnych wymagań w zakresie bezpieczeństwa. Oprócz regularnej zmiany mocnych haseł każdy powinien korzystać z VPNu. Korzystamy tutaj z rozwiązań Barracuda Network i Forcepoint/Stonesoft, ale także z darmowych OpenVPN i ProtonVPN.

W przypadku smartfonów korzystamy również z tych rozwiązań i wymagamy od naszych pracowników aby wyłączyli na swoich urządzeniach automatyczne łączenie się ze znanymi sieciami WiFi, wszystko w celu ochrony przed tzw. wardriving’iem.

Od kiedy odnotowaliśmy próby okresowego włamywania się do naszej poczty, wszystkie nasze usługi w chmurze przełączyliśmy na uwierzytelnianie dwuskładnikowe. O na bieżąco aktualizowanych programach antywirusowych na każdym komputerze i zainstalowanej zaporze ogniowej nie wspominając - są to obowiązkowe opcje pracy dla każdego zdalnego pracownika. .

House employees are more vulnerable to scammers

In 2018, the cybersecurity market was estimated at $ 248 billion, and it will grow in the next 3 years by 10-13%annually. The anti-fraud part of this market, although it was at the level of $ 20 billion, is growing at 25-30% per year. And part of the market — Security Awareness and Training —is growing at a rate of 40-50% per year. This is due to the fact that man is the weakest link in security. The employees need to be constantly trained and it is better to have this happen on their own mistakes. We use CybeReady to teach colleagues how to avoid phishing. Such solutions are also offered by Cofense (Phishme), Dcoya and Barracuda Network and others.

Pracownicy zdalni są bardziej podatni na ewentualne oszustwa

W 2018 r. rynek cyber-bezpieczeństwa został oszacowany na 248 mld USD, a jego wzrost w najbliższych 3 latach będzie wynosił od 10% do 13% rocznie.

Część tego rynku związana z zapobieganiem oszustwom, choć szacowana obecnie na poziomie 20 miliardów dolarów, rośnie w tempie 25-30% rocznie.

Z kolei część rynku określana jako - świadomość niebezpieczeństwa i szkolenia (Security Awareness & Training) - rośnie w tempie 40-50% rocznie. Wynika to z faktu, że człowiek jest najsłabszym ogniwem w systemie bezpieczeństwa. Pracownicy muszą być ciągle szkoleni i uświadamiani pojawianiem się nowych zagrożeń i wykorzystywanych technik. W naszej firmie do ochrony naszych pracowników używamy rozwiązań CybeReady, aby edukować, jak unikać phishingu. Takie rozwiązania są również oferowane przez Cofense (Phishme), Dcoya, Barracuda Network i inne firmy.

Brak kompromisów w dziedzinie bezpieczeńństwa

Różnorodność komputerów i systemów operacyjnych w naszej organizacji sprawia, że musimy pilnować by każdy użytkownik aktualizował swoją przeglądarkę, system operacyjny i instalował poprawki i łatki bezpieczeństwa.

Ivanti jako platforma zarządzania poprawkami dobrze się sprawuje w naszym zróżnicowanym środowisku. Produkty Rapid7 służą nam do zarządzania podatnościami, ale są też inne godne polecenia rozwiązania firm Tenable czy Qualys. Do zarządzania dostępem dla uprzywilejowanych użytkowników używamy rozwiązania firmy CyberArk.

W niektórych krajach strony internetowe są blokowane przez rząd. Niewiele firm wie, że istnieje proste i eleganckie rozwiązanie bez przeglądarki (Tor B Natychmiastowe plany na ten tydzień obejmują proszenie wszystkich dostawców o tymczasowy bezpłatny lub preferencyjny dostęp oraz promocje wspierające naszych klientów customers Wszyscy rozumieją. rowser) i innych rzeczy. Jest to tzw. bezpieczna przeglądarka, która rozwiązuje problem bezpieczeństwa i monitorowania aktywności w sieci oraz problem cenzury. Podobne rozwiązania oferują Ericom, Symantec, mcafee i Menlo.

Jeśli firma jest niewielka, prawdopodobnie nie będzie potrzebować rozbudowanego narzędzia jak SIEM. Ale w zależności od specyfiki być może będzie potrzebować innych narzędzi jak DLP, SWG, szyfrowania, haseł jednorazowych, itp. Przemyślana migracja usług do chmury wymaga zastosowania rozwiązań CASB. Jeśli masz własne SOC lub korzystasz z outsourcingu Security as a Service, nasze porady najprawdopodobniej niewiele wniosą.

A co, jeśli jesteśmy firmą produkcyjną i mamy sterowanie produkcją

Nasza firma w krajach UE koncentruje się bardziej na zapewnieniu ochrony w sieciach przemysłowych i infrastruktury krytycznej. Jedną z obowiązkowych opcji bezpieczeństwa dla systemów SCADA są tzw. Data Diode - urządzenia, które fizycznie nie pozwalają na przesyłanie sygnałów do sieci przemysłowej. Możliwy jest jedynie odczyt „tak, aby nie można ich zainfekować i doprowadzić do wybuchu lub zatrzymania”..

W naszej firmie nie mamy systemów produkcyjnych. Rozwiązanie firmy WaterFall, lidera na rynku Diod Danych do systemów przemysłowych, oferuje w sytuacjach kryzysowych „darmową” opcję zdalnego zarządzania produkcją za pomocą zdalnego ekranu - Remote Screen View.

Plan kryzysowy

Plany na ten tydzień obejmują sprawdzenie ze wszystkimi naszymi dostawcami możliwości udzielenia tymczasowego bezpłatnego dostępu do rozwiązań ułatwiających zdalną pracę lub zaoferowanie naszym klientom takich rozwiązań na preferencyjnych warunkach.

Wszyscy rozumiemy powagę sytuacji. W planach długoterminowych rozważamy wdrożenie platformy szkoleniowej Coursera dla zdalnych użytkowników. Wprowadzony właśnie stan kwarantanny tylko przyspieszy nasze decyzje w tym obszarze. Należy pamiętać o wdrożeniu DocuSign dla współpracy z zewnętrznymi kontrahentami, ponieważ w obecnej sytuacji przez jakiś czas nie będziemy mieć możliwości osobistych spotkań.

Widząc, jak często nasi pracownicy korzystają z poufnych informacji na smartfonach dostrzegamy konieczność instalacji rozwiązania MDM/EMM. W naszym przypadku najprawdopodobniej będzie to rozwiązanie firmy MobileIron ewentualnie Vmware AirWatch lub Citrix MDM. Tak jak poprzedni, globalny kryzys zmusił nas do migracji usług do chmury, prawdopodobnie tym razem sytuacja zmusi nas do szerokiego zastosowania sztucznej inteligencji. Dlatego już dziś myślimy o automatycznych asystentach sprzedaży czy komunikacji wielokanałowej (OMNI-channel), ale jak dotąd wygląda to jeszcze nieco futurystycznie.

 

Materiał został przygotowany przy wsparciu projektu ROI4CIO

Skontaktuj się z nami Facebook Linkedin Youtube