Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №4 (154) за апрель 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.
Часть профессий по-прежнему требует личного присутствия - водители, машинисты, пилоты. Преподаватели тоже работают напрямую с людьми, но уже начинают всё больше применять методы удалённой работы, развивается телемедицина. Значительное количество офисных сотрудников могут работать и вне офисных помещений, на выезде или из дома.
Сейчас в результате обстоятельства непреодолимой силы (меры по борьбе с эпидемией) значительное число работников, так или иначе попробовали работать удалённо. Почти наверняка, даже после завершения карантинных мероприятий все предприятия ждёт трансформация. Многие поняли - работать можно и удалённо, а присутствие в офисе - необязательно. Пожалуй, ключевым вопросом, который следует задать себе всем руководителям предприятий - почему сотрудник для выполнения своих обязанностей должен приходить в офис? Кажется, что в подавляющем большинстве случаев ответ будет такой - чтобы можно было контролировать сотрудника, его исполнительскую дисциплину. Для работающих удалённо, из дома, острой проблемой является самоконтроль, дома очень много отвлекающих факторов. Однако и в офисе результативность труда может быть низкой из-за отсутствия контроля и мотивации. Один из самых очевидных методов - использовать какие-то показатели эффективности, KPI. Эти методы можно в равной степени использовать и для удалённой работы. Тому, как повысить эффективность труда сотрудников и измерять её, посвящено множество статей в нашем журнале.
Как это сделать переход на удалённую работу безболезненно и для предприятия и для сотрудников?
1. Признать, что удалённая работа и цифровизация бизнеса - свершившийся факт. Удалённая работа уже давно существует на любом предприятии. Даже там, где об этом не догадываются. Так сейчас вся налоговая и статистическая отчётность сдаётся только в электронном виде. Удобства такого подхода очевидны всем. А ведь сначала очень многие сомневались: «Как же так? Как мы докажем факт сдачи отчётов?». Теперь же трансформация привычных процессов произойдёт ещё и одновременно с «отвязыванием» от традиционных рабочих мест.
2. Выяснить, а зачем вообще необходимо присутствие сотрудника в офисе? Если критически проанализировать производственные процессы, то выяснится, что большинству сотрудников необязательно находится лично на месте. Сейчас в Узбекистане есть примеры, когда даже сотрудники колл-центра работают из дома. А уж для бухгалтеров мобильность давно привычна. Многие бухгалтера где-то работают по основному месту, и оттуда же ведут учёт ещё нескольких предприятий. Для тех сотрудников, которые могут работать удалённо, можно если и не делать сразу этот вариант работы основным, то принять в качестве резервного/альтернативного.
3. Провести анализ того, какие данные будут использоваться в удалённой работе. В привычном офисе есть понятие периметра предприятия. Для всех очевидно, что с документами все работают на своём месте, а вынос документов за пределы - нестандартная, а чаще и вовсе запрещённая процедура. Если сотрудник работает с критически важной информацией (коммерческая тайна, персональные данные), то нужно принять дополнительные меры защиты и контроля. Или временно отказаться от дистанционной работы с такими данными. В крайнем случае, такие данные может обрабатывать сотрудник, физически находящийся на рабочем месте. А всю обезличенную информацию или консолидированную отчётность можно обрабатывать дистанционно. При анализе рисков очень желательно получить консультацию юриста - для разных типов данных могут быть разные режимы обработки. Особенно много тонкостей и пока неразрешенных вопросов в обработке персональных данных.
4. Договориться о подходе к дистанционной работе, времени реакции. Для целого ряда профессий, совсем необязательно выполнять объем работ именно с девяти до шести. Кто-то хорошо работает глубокой ночью или рано утром. Именно удалённая работа позволяет максимально использовать особенности работника. Само собой, есть необходимость в общении, например, по телефону. Поэтому заранее определяется, в какое время нужно быть на связи. Работнику необходимо свободное время даже дома. Чтобы он мог выйти за продуктами, элементарно отдохнуть. Лучше оговорить часы, когда сотрудник обязуется дать ответ в разумные сроки, перезвонить, дать комментарии, а не считать, что раз сотрудник дома, то он доступен 24 часа в сутки. Во взаимоотношениях с поставщиками сервисов это называется «уровень обслуживания» (Service Level Agreement), для сотрудника это может быть просто установленный режим связи или скорости реакции на сообщения по почте или в интернет-мессенджере.
5. Обеспечить сотруднику качественное интернет-подключение и необходимое оборудование. В большинстве случаев у сотрудника дома уже есть интернет-подключение. Но оно рассчитано на бытовые нужды, он делит его с членами семьи. Если субсидировать сотруднику средства на оплату услуг связи, то он, с одной стороны, будет иметь возможность приобрести пакет с более высокой скоростью подключения, с другой - будет чувствовать моральные обязательства по целевому использованию ресурсов, не сможет ссылаться на отсутствие средств на связь. Важно помнить, что затраты могут быть не только на интернет, но и на телефонную связь, бумагу и тонер для принтера. А ещё сотрудник, работая из дома, расходует электроэнергию, амортизирует оборудование. Поэтому нужно решить, или сотруднику выдаётся во временное пользование оборудование за счёт организации или компенсируется амортизация собственной техники.
6. Удалённое рабочее место сотрудника, где бы оно не находилось, дома, в командировке, на отдыхе, это частичка предприятия - меры информационной безопасности на нём должны быть такие же как на предприятии. На компьютере сотрудника хранится и обрабатывается важная для предприятия информация. Для снижения рисков утечки или утери данных предприятие должно позаботиться о том, чтобы сам компьютер и оборудование было защищено. Простейшие первичные меры - установка обновления безопасности для операционной системы, установка и обновление надёжного антивирусного ПО. Часто бывает, что в домашних условия всего один компьютер на семью. И на нём же сейчас учатся дистанционно дети. Хорошая практика, перед началом работы сотрудник отдела ИТ или ИБ проверяет уровень защищенности компьютера и устанавливает всё необходимое ПО. Это тоже можно делать дистанционно. Самым эффективным (но и затратным) является выделение отдельного компьютера сотруднику, работающему удалённо. Это может быть и ноутбук - более мобилен, но менее ремонтопригоден, и стационарный компьютер - проще в обслуживании, но занимает больше места. Если раньше по всем проблемам с компьютерной техникой на рабочем месте сотрудники обращались к сотруднику ИТ, то теперь эти вопросы нужно адресовать ему же, но уже с дистанционных рабочих мест. Соответственно, меняется работа и обслуживающего сотрудника, ему приходится больше коммуницировать по телефону, выяснять, в чём проблема, получать доступ к удалённым рабочим столам. Т.е. результативность (вернее выработка) может пострадать - на решение проблем потребуется чуть больше времени по сравнению с традиционным вариантом.
7. Активность удалённых пользователей нужно контролировать. Это нужно и для контроля исполнительской дисциплины, особенно на первых порах. Второй аспект - обеспечение информационной безопасности. Если сотрудник работает дистанционно с ресурсами предприятия несколько часов в день, то в остальное время лучше «перекрывать» удалённый доступ к ним. Если сотрудник всегда работает, например, из дома, то можно ограничить доступ конкретным сетевым адресом - грубо говоря, чтобы доступ к производственным системам был, например, только из Ташкента, и заблокирован для всего остального мира. Это снизит вероятность сетевых атак. Подробные технические рекомендации по организации безопасного удалённого доступа даны в пункте 6.2.2 государственного стандарта Республики Узбекистан O‘z DSt ISO/IEC 27002:2016
Краткие итоги и анализ практики в Узбекистане.
• Любые серьезные мероприятия нужно всего планировать, внедрять и тестировать заранее. В момент кризиса может оказаться, что решить проблему невозможно решить ни за какие деньги. Например, у провайдера может просто не быть свободных портов для подключения, в районе проживания специалиста - отсутствовать и проводной, и мобильный интернет, и т.д. Отмечено, что в условиях массового перевода сотрудников на удалённую работу, некоторые провайдеры в Ташкенте не справляются с нагрузкой, вернее подключение новых абонентов происходит значительно дольше обычного.
• В некоторых случаях (и в Узбекистане в том числе) провайдеры могут блокировать активность приложений удалённого доступа или из-за особенностей организации сети удалённые подключения просто не будут работать. В идеале все такие сценарии нужно отрепетировать заранее, тогда всё «тонкие» места будут выявлены и устранены. Т.е. хорошей практикой будет наличие нескольких вариантов подключения. Аналогично и с организацией доступа в интернет. Кроме проводного высокоскоростного интернета, желательно предусмотреть для сотрудника и резервный вариант подключения, например, через мобильную/сотовую связь.
• Существуют положительные эффекты от удалённой работы, особенно если это распространённая на предприятии практика. Сотрудники, которые не занимают рабочие места в офисе, позволяют сэкономить на арендуемых площадях, услугах уборщицы, охране. Теперь технологии удалённого доступа и дистанционной работы могут применяться даже и без чрезвычайных обстоятельств, а когда сотрудник находится в командировке, в отпуске, да и просто решил остаться дома. В этом случае устойчивость к чрезвычайным происшествиям предприятия в целом повышается.
P.S. Уже после сдачи материала в редакцию, коллеги из Центра кибербезопасности опубликовали материал «Рекомендации информационной безопасности для предприятий и организаций, переведших своих сотрудников на удаленную работу». Рекомендуем ознакомится и с ним тоже.