News

Как организовать безопасную и эффективную дистанционную работу? Реальный опыт компании

News | 23.03.2020

Автор статьи: Павел Жданович, управляющий директор Softprom

В нашей компании уже 7 лет многие работают из домашних офисов. По собственному опыту я знаю, что удаленная работа очень дисциплинирует. Если она правильно организована, то более интенсивна и результативна, чем офисная.

Сотрудники на удаленном доступе отвечают, как правило, быстрее на письма, назначают конфколы на завтра, а не через неделю, быстрее готовят правки документов. Мне кажется, это потому, что такие сотрудники всячески стараются доказать окружающим, что они не бездельничают.

Пару часов, которые сотрудник не тратит на поездки на работу и прочую логистику, и возможность работать, когда у других не начался или закончился рабочий день, это серьезное конкурентное преимущество.

Однако при всех явных плюсах, удаленный режим работы увеличивает риски ИТ безопасности и проблемы контроля сотрудников. Далее речь пойдет не об организации дистанционной работы, а о полезных программах, которые решают обозначенные проблемы. Мы не претендуем на то, что представленный выбор идеален, но накопили определенный опыт (а опыт это обычно ошибки) и с удовольствием поделимся им в это непростое время.

Кто не любит лонгриды вот ссылка на таблицу с программами.

Облака - наше все

Мы перешли на облачную почту, ERP, CRM, телефонию, видеоконференцсвязь сразу после кризиса 2008 года ввиду распределённой структуры бизнеcа и высокой стоимости поддержки серверов и администрирования в разных странах.

Тогда выбор автоматизации продаж в облаках у нас был ограничен NetSuite и Salesforce. Сейчас количество облачных CRM и ERP измеряется сотнями. В то время мы даже частично локализовали для себя Salesforce, но в итоге выбор пал на NetSuite только потому, что там была и ERP, и CRM и партнерский портал. Пару лет назад Oracle купил NetSuite и хотя система совсем недешевая, а поддержка и внедрение непростое, все уже привыкли что надо на нее смотреть не как на программу (которая всегда будет кому-то неудобной), а на технологию.

С почтой у нас сомнений не было и корпоративный Gmail решил проблемы отчасти и хранения документов, и базовой безопасности типа, двухфакторной аутентификации, антиспама и архива.

До этого 10 лет у нас был MS Exchange и к моему удивлению даже самые пылкие любители Outlook-Exchange перешли на веб интерфейс Gmail. Думаю, скорость поиска и удобство ярлыков помогло.

Сейчас модно для конфиденциальности использовать швейцарский protonmail. Но это уже на любителя, что называется.

Коллеги сразу оценили возможности GoogleDrive для хранения документов, а также обмена файлами, плюс к этому Hangout для коммуникаций.

Еще один важный момент, связанный с сервисами Google — для информирования сотрудников и внутренних документов мы сделали wiki на Google Sites. Что касается документооборота и архива документов, то сейчас полно различных вариантов, но у нас он очень простой. Docflow и мы решили что раз есть уже GoogleDrive, то почему бы его не использовать и взяли AODocs плагин.

Для цифрового подписания документов был приобретен Docusign, но пока всем хватает бесплатной системы подписи в Adobe Acrobat для внутреннего визирования. Китай по различным сообщениям, вроде бы, уже практически восстановил поставки «железа» но думаю AWS, GCP и Azure сейчас будут хитами продаж, так как никто в серверные пускать людей в ближайшее время не захочет.

Мы выбрали как основной стандарт AWS, куда перенесли все сервера, включая тогда legacy 1C Бухгалтерию и телефонию Asterisk, но что-то оставили и на Azure. AWS - недешевый выбор, но все стоит своих денег - у нас не болит голова о балансировке нагрузки, своевременном выделении ресурса по требованию, DDoS и прочем. Для оптимизации цены за облака у нас используются штатные средства AWS, но если у вас много облачных провайдеров рекомендуем CloudHealth от Vmware. Мы его cебе поставили «на вырост».

Удаленному сотруднику - удаленный доступ

Мы активно применяем BYOD политику - для работы персонал компании использует свои собственные ПК и смартфоны. Для доставки рабочих столов и приложений на конечные, в том числе мобильные, устройства сотрудников (реализации технологии VDI) ставка делается на Citrix, AWS Desktop as Service. Кроме того, мы тестируем IGEL тонкие клиенты и VDI от Vmware. Для удаленного решения проблем, возникающих у пользователей внедрен TeamViewer.

Групповое взаимодействие

Сейчас почти все коммуникации происходят в электронной почте, но есть понимание что это в первую очередь средство для общения с внешними контрагентами и фиксирования договоренностей, так как переписка имеет силу в суде. Мы со скрипом переносим внутреннее обсуждение из почты в slack, а все стандартные документы и work-flow и бизнес-процессы - в ERP.

Несмотря на то, что NetSuite имеет модули ведения проектов, отдел пресейла и сервисов для ведения проектов применяет Trello. До этого в другом проекте, мы выбирали еще между Asana, Wrike, Basecamp и безусловно Jira, но почему-то выбор пал именно на нынешний вариант. У нас в компании до сих пор не используется HRM-система (считаем что Linkedin хватает ☺ ), хотя в NetSuite есть такой модуль.

Портал клиентов в Oracle NetSuite у нас в базовом варианте, говорят продвинутый модуль используют даже мировые софтовые вендора для продажи электронных лицензий.

Видеоконференцсвязь

В отсутствии очных встреч и командировок - видеоконференции это основной инструмент при работе с партнерами.

Долгое время в нашей компании ставка делалась на Adobe Connect и GoToMeeting, но 2 года назад мы заказали независимое сравнение видеоконференц-приложений. Изучив результаты и будучи партнером всех производителей включая наиболее популярный тогда Cisco/Webex, мы пришли к выводу, что наиболее оптимален в нашем случае Zoom и сделали его корпоративным стандартом. С тех пор я ни разу не пожалел, не считая того, что необходимо тщательно следить чтобы видеовстречи разных сотрудников не совпадали. Это, кстати, еще одно подтверждение предположения о том, что удаленная работа привносит большую дисциплинированность. И еще - часто мы записываем видеоролики и выкладываем на youtube.

Сотрудники даже используют Google Hangout, Amazon Chime и Skype, если это необходимо в общении с клиентами и партнерами.

Конфиденциальная связь

Сегодня уже невозможно организовать переговоры в совещательной комнате, а мобильной связи секретные переговоры бизнес не доверяет. Я не берусь оценивать кого «слушают» из мессенджеров, а кого - нет, но почему-то швейцарские продукты типа Threema, Wire вызывают наибольшее доверие в бизнес-среде. Тем не менее, это не решает проблемы при общении со всеми странами. Где-то, например, не работает Skype, WhatsApp, Viber, Telegram, а работает IMO или WeChat ☺ Мы сейчас возлагаем большие надежды на швейцарского производителя Adeya, который предлагает уровень криптографии военного образца (или можно поставить свою криптобиблиотеку) и позволяет развернуть систему у себя в компании или в их облаке, которое хостится и защищено швейцарскими законами о конфиденциальности.

Контроль работы сотрудников

Несмотря на сознательность сотрудников, иногда приходится разбираться, что делал сотрудник в тот или иной момент. Если у кого-то возникает необходимость смотреть почасовую занятость сотрудников, не для слежки, а для, например, выставления счетов вашим клиентам, есть масса продуктов типа Time Doctor, Hubstaff, Harvest, Toggl, TSheets и др.

Следить за своими сотрудниками по законам ряда стран запрещено, но расследовать инциденты безопасности можно и нужно. Продукты для целей записи сессий предлагает CyberArk, ObservIt, Ekran Systems, Netwrix, Balabit (One Identitу) и др. Мы используем CyberArk поскольку их система решает и ряд других проблем ИТ безопасности.

VPN и двухфакторная аутентификация это базис цифровой гигиены

Когда пользователи находятся вне защищенного периметра и обычно подключены через домашний WiFi, необходимо соблюдать минимальные требования безопасности. Помимо регулярно меняемых сложных паролей, все должны пользоваться VPN. У нас используются решения от Barracuda Network и Forcepoint/Stonesoft, а также бесплатные OpenVPN и ProtonVPN.

Для смартфонов мы также используем эти решения и требуем чтобы сотрудники выключили автоматического подключения к известным WiFi сетям для защиты от вардрайвинга. Мы перевели все облачные сервисы на двух-факторную аутентификацию, так как нашу почту периодически пробовали ломать.

Я не буду напоминать про антивирусы на каждом ПК и установленных firewall – это обязательные опции для удаленного сотрудника и их перечисление займет параграфы.

Сотрудники дома более уязвимы для мошенников

В 2018 году рынок кибербезопасности оценивался в 248 млрд долл., он будет расти ближайшие 3 года на 10-13% ежегодно. Часть этого рынка, связанная с борьбой с мошенничеством, хоть и была на уровне 20 млрд долл., но растет на 25-30% в год. А часть рынка - обучение грамотности в области безопасности (Security Awareness and Training) растет со скоростью 40-50% в год. Это связано с тем, что самое слабое звено в безопасности – человек. Сотрудников надо постоянно обучать и лучше на их же ошибках. Мы используем CybeReady для обучения коллег как не попадаться на фишинг. Такие решения предлагает также Cofense (Phishme), Dcoya и Barracuda Network и другие.

Безопасности мало не бывает

У нас разношерстные парк компьютеров и ОС и надо следить за тем, что все обновляют браузеры, ОС и ставят патчи. В качестве Patch Management платформы используется Ivanti. Для управления уязвимостями применяются продукты rapid7, есть достойные решения от Tenable, Qualys. Для управления доступом привилегированных пользователей мы используем CyberArk.

В части стран у нас блокируются сайты государством. Есть элегантное решение без Tor Browser и прочего, оно называется изолированный удаленный браузер и снимает головную боль с Web-безопасностью, а также решает проблему с цензурой. Подобные решения предлагают Ericom, Symantec, mcafee и Menlo.

Если ваша компания небольшая, SIEM вам скорее всего не потребуется. В зависимости от специфики вашего бизнеса, может потребоваться DLP, SWG, шифрование, OTP и тп. При переходе серьезно в облако потребуются CASB. Если же у вас есть собственный SOC или используется аутсорсинг Security as Service, то наши советы, скорее всего, вам излишние.

А если у нас производство и контроллеры, а не офис и компьютеры?

Наша компания в странах ЕС больше концентрируется именно на безопасности промышленных сетей и критической инфраструктуры. Одной из musthave-опций для безопасности SCADA является Data Diode – устройство, которое физически не позволяет передавать сигналы в промышленную сеть, а только дает возможность считывать «чтобы не могли взорвать». У нас производства в компании нет, но вот WaterFall, лидер этого рынка предлагает именно в кризис «бесплатную» опцию удаленного управление производством, когда туда не пускают людей, с помощью Remote Screen View.

Планы в кризис

В ближайшие планы этой недели входит попросить у всех вендоров временный бесплатный или льготный доступ и акции, чтобы поддержать наших клиентов ☹ Все относятся с пониманием.

Если говорить о наших долгосрочных планах, то мы давно хотели внедрить для удаленных пользователей обучение с помощью Coursera, введение карантинов это просто ускорит. Безусловно надо внедрить DocuSign и для внешних контрагентов, так как мы их долго не увидим вживую.

Мы видим, как часто сотрудники используют конфиденциальную информацию на смартфонах и есть явная необходимость поставить MDM/EMM решение, скорее всего от MobileIron, который на этом специализируется (альтернатива Vmware WorkspaceONE, Citrix MDM). Если прошлый кризис нас отправил в облака, то наверно на этот раз ситуация нас заставит использовать модный AI. Мы подумываем об ассистентах продавцов и Omni-канале, но пока это выглядит все же несколько футуристично.