Как внедрение процессов безопасности помогает в переходе на удаленную работу

Статья описывает как мы использовали инфраструктуру безопасности для перевода всей нашей команды менеджеров и разработчиков на удаленную работу в период карантинных мероприятий и самоизоляции.

Причины и предпосылки

В 2020 году с самого начала года появилось множество новостей о новой пандемии, грозящей уничтожить весь мир. Многие компании и организации отнеслись к этому серьезно, введя правила по самоизоляции и практик удаленной работы.

Мы в компании, как представители сферы интеллектуального труда, в первую очередь озаботились соблюдением требований ВОЗ, а именно:

• самоизоляция сотрудников, побывавших в командировке вне пределов родного региона;
• изоляция при первых симптомах у членов семьи;
• переход на удаленную работу.

Если с первыми двумя пунктами все более-менее очевидно, то третий требует дополнительных пояснений.

Первая стадия: изучение потребностей

Для организации рабочего места дома, помимо самого помещения для кабинета, сотруднику потребуются также доступ к корпоративным системам, VPN до офисной сети и некоторое количество оборудования. Для сбора данных об оснащенности сотрудников можно провести опрос силами руководителей подразделений, либо разослать всем опросную форму Google Forms или Survey Monkey (или что там именно вы используете). В нашем случае больше подошел способ рассылки опросных форм по всей компании, индивидуально каждому сотруднику.

Часть команды может быть оснащена первоклассным оборудованием за свой счет (если сотрудник еще и фанат компьютерных игр или ведет собственный проект дома), но мы не считаем правильным этим злоупотреблять. Компания обязана предоставить рабочее место в любом случае.

После сбора данных мы исследовали количество новых пользователей в нашей корпоративной VPN и провели ее нагрузочное тестирование, чтобы не выяснить, что производительность сети недостаточная в тот момент, когда все люди уже сидят работают из дома.

Процессы обеспечения безопасности помогли нам в этой стадии, сделав ее быстрой и простой:

• учетные записи и процесс контроля логического доступа позволил выяснить, что не у всех сотрудников были нужные учетные записи, сгенерировать необходимые заявки и связать между собой сотрудников и администраторов систем;
• собранные знания о персонале, их имеющемся оснащении и статусе в процессе контроля персонала позволили определить область воздействия изменений.

Вторая стадия: выдача оборудования на дом

Здесь стоит помнить, что под оборудованием понимается не только компьютер или периферия, но также и мебель, офисная техника, аксессуары для документов (папки и держатели) и тому подобное. Для учета выданного на руки оборудования мы используем нашу корпоративную JIRA и процесс, ранее построенный для перемещения оборудования между кабинетами и офисами.

Каждый сотрудник создает заявку с перечнем своих потребностей. Либо это делает руководитель, менеджер или даже офицер безопасности – тот, кто владеет всей информацией. В случае наличия поста охраны здания – необходимо подготовить также служебные записки о выносе оборудования для каждого сотрудника.

Следует предупредить персонал о том, что самовольный демонтаж рабочего места нежелателен и не допускается, в случаях когда информация до кого-то всё-таки не дошла и рабочее место было демонтировано самовольно – необходимо проводить расследование инцидентов, разъяснительные работы и предупреждать об ответственности.

Необходимо также организовать доставку оборудования на дом с помощью транспортных компаний, поскольку доставка собственными силами персонала хоть и дешевле и удобнее, но существует риск повреждения оборудования.

Процессы управления безопасностью компании помогли нам в этой стадии следующим образом:

• контроль физического доступа позволил установить что оборудование не было украдено или повреждено в процессе перевозки;
• офицером безопасности проводятся регулярные проверки состояния покинутого персоналом офиса, чтобы исключить появление посторонних;
• учет оборудования в процессе контроля конфигураций позволит выдать сотрудникам необходимое и достаточное “железо” и другие материальные ценности для обеспечения процесса работы из дома.

Третья стадия: работа из дома

В какой-то момент объявляется тот самый день Х, в который будет выдано указание переходить на удалённую работу. К этому моменту должны быть перемещены рабочие места. Хорошо сделать так, чтобы перед днем Х был выходной или сокращенный день, чтобы сотрудники могли принять оборудование у себя дома.

Все общение между сотрудниками с этого момента будет вестись через электронную почту и мессенджеры. Если раньше программный код мог храниться локально, то после перехода будет храниться в репозиториях (онлайн или на корпоративном сервере). Важно, чтобы тикет-система была достаточно автоматизирована и настроена под работу с большим количеством заявок. Исполнители должны быть осведомлены о своих ролях. Здесь отлично поможет процедура обеспечения непрерывности бизнеса из стека ISO27001, если вы её внедряли.

Система управления безопасностью принесла следующие преимущества:

• процесс управления логическим доступом для управления правами пользователей-сотрудников в системах коммуникации и распределенной работы;
• процесс управления инцидентами позволит выявить уязвимости и расследовать инциденты, связанные с потерей прав доступа, повреждением данных и иными нарушениями;
• офицер безопасности или соответствующее подразделение становится неким хабом, маршрутизирующим запросы от сотрудников и помогающий справиться с нестандартными проблемами.

Дополнительные риски

Главным дополнительным риском становится зависимость качества работы сотрудников от доступа к интернету. Часто бывает так, что в местах проживания доступ к интернету от операторов потребительского рынка сильно отличается от предоставляемого операторами связи для рынка b2b. Помимо проблем со скоростью, вашей команде также придется использовать VPN или статические адреса. Также вы не сможете управлять рисками, связанными с отказами систем электроэнергии, связи, инженерными системами и прочими вещами, зависящими от местоположения сотрудников. Стратегия принятия риска будет применена вне зависимости от пожелания бизнеса, потому что выбора не остается.

Второй риск заключается в снижении эффективности работы команды. Об этом написано уже очень много литературы и, в целом, квалифицированные проектные менеджеры знают как им управлять. Сюда относится как снижение эффективности коммуникаций, так и отсутствие рабочей обстановки на местах.

Know-how

В нашей компании мы уже около 10 лет практикуем распределенность наших команд, имея офисы в России, Европе и США. Для повышения эффективности бизнеса мы также два года назад внедрили систему управления безопасности бизнеса по стандарту ISO27001, поэтому для нас переход состоялся в течение 2 рабочих дней. Мы применили следующие приемы:

• Сбор заявок через JIRA ServiceDesk – учет и контроль перемещения дорогостоящего оборудования производится через заявки на выдачу оборудования, где перечисляется перечень оборудования и направление его миграции. Заявка проходит ревью менеджером команды и офицером безопасности, оказывается необходимая помощь, после чего сотрудник, выполняющий работы по учету миграции оборудования вносит соответствующие изменения в журнал учета.
• Коммуникации через Slack, Zoom и Skype – незачем зацикливаться на единственном инструменте, нужно использовать то, что подходит в данной ситуации.
• Хранение кода и взаимодействие разработчиков в GIT-системах. Мы используем BitBucket, еще один продукт компании Atlassian, дополняющий нашу JIRA, либо GitHub как полюбившееся разработчикам популярное решение.
• Контроль здоровья команд. Менеджеры команд знают, какие сложности возникли у каждого члена команды и вместе вырабатывают решения для преодоления сложностей.

Были приемы, которые следовало бы применить, но у нас это не вышло по разным причинам:

• доставка оборудования централизованно, силами транспортных компаний, что заняло бы больше времени, чем доставка силами самих сотрудников, но обеспечило бы минимизацию риска повреждения оборудования;
• массовый переход разработки на ноутбуки для организации более мобильной разработки, переоснащение займет время и довольно дорогостояще.

В дополнение к азбучным истинам, именно точное управление и средства контроля, внедренные в процессе управления безопасностью по стандарту ISO27001, позволили нам сделать переход не только возможным, но и более комфортным как для бизнеса, так и для персонала компании.

Мы увидели на своём опыте: внедрение процессов ISO27001 позволяет более качественно и точно управлять бизнесом в период кризисных, чрезвычайных и опасных ситуаций и помогает сохранить уровень предоставления услуг компанией на необходимом уровне.

Переход целой компании на удаленную работу создает огромное количество рисков, от утраты оборудования до нарушения бизнес-процессов компании. Внедренный стандарт безопасности, будь то ISO27001 или что-то другое, позволит предупредить риски, выработать стратегии работы с ними и, в конечном счете, минимизировать.

Если система управления безопасностью еще не внедрена в вашей компании, период удаленной работы может стать отличным временем для его внедрения, особенно в части физической безопасности и защиты информационных активов. Также возможно использовать лучшие практики, применяемые в этой сфере, прямо сейчас, не дожидаясь внедрения и сертификации.

Стандарты безопасности разработаны в индустрии именно для того, чтобы нетипичные и неожиданные ситуации не создавали ущерба для ведения бизнеса. Их использование создает в корпоративной среде коллективный иммунитет: чем больше участников рынка внедряют приемы или стандарты обеспечения безопасности, тем меньше становится угроз со стороны злоумышленников. А выработка стратегий противодействия каким-либо угрозам происходит намного быстрее, в связи с наличием ориентиров в виде практик других организаций.

Надеемся, что статья оказалась полезной с точки зрения поиска решений, либо подтверждения правильности уже принятых тактик и стратегий.

Автор: Data_Link

Источник ^[1]