Журнал "Директор по безопасности" Май 2020 | Page 16
ЕСТЬ РЕШЕНИЕ
ГИД
для топ-менеджера:
работа
в дистанционном
режиме
АНАСТАСИЯ ГОЛЕВА,
руководитель направления информационной
безопасности АО «РАСЧЕТНЫЕ РЕШЕНИЯ»
М
ногие работодатели не лю-
бят сотрудников «на удален-
ке» – им важно присутствие в
офисе. Сотрудники же, работающие
в дистанционном режиме, зачастую
работают эффективней, поскольку не
тратится время на дорогу до рабочего
места, дополнительное стихийное об-
щение в кругу коллег не всегда по ра-
бочим вопросам, чай, кофе и прочее.
Дистанционный режим работы –
прогрессивный, требующий новых
подходов, имеющий как плюсы, так и
минусы. Часто в таком режиме трудят-
ся фрилансеры, а также значительная
часть сотрудников сферы ИТ и творче-
ских профессий.
Однако в связи с пандемией
COVID-19 случилось так, что значитель-
ная часть работающего населения во
всем мире была переведена на дис-
танционный режим работы. Внеплано-
во и почти внезапно. Данная статья о
том, как сложить плюсы из множества
минусов и повысить уровень безопас-
ности в дистанционном режиме.
Многих топ-менеджеров и сотруд-
ников подразделений по управлению
персоналом, как и всех без исключе-
ния сотрудников подразделений без-
опасности, интересует вопрос эффек-
тивного управления коллективом и
обеспечения безопасности при рабо-
те в дистанционном режиме. Посколь-
ку, в этом, не самом простом режиме,
гораздо более остро встают вопросы
обеспечения информационной без-
опасности корпоративных активов.
Кто имеет к ним доступ? Порой
компьютер, ноутбук или мобильное
устройство с доступом к корпоратив-
ным информационным ресурсам ком-
пании располагается в незащищенном
месте. В таком случае к секретам ком-
пании может с легкостью получить до-
ступ кто угодно – члены семьи, в том
числе, дети, а также домашние питом-
цы. Разумеется, гуляющие по глобаль-
ной сети саркастические коллажи об
участии домашних животных в корпо-
ративных телеконференциях имеют
прототипы в реальной жизни.
Как предоставлять доступ?
Некоторые организации выдают со-
трудникам на дом компьютерную тех-
нику для работы в дистанционном
режиме, многие же предоставляют
удаленный доступ к корпоративным
ресурсам с личных устройств сотруд-
ников. В период работы подавляюще-
го числа работников в дистанционном
режиме важно предусмотреть:
Шифрование канала связи (для
обеспечения конфиденциальности и
целостности информации);
Наличие резервного канала (для
обеспечения доступности информа-
ционных ресурсов).
Существует ряд сложностей, отли-
чающих «удаленку» от привычного ра-
бочего ритма большинства работни-
ков. В частности, среди них:
Отсутствие личного контакта
(подойти и поговорить всегда проще,
чем даже сделать телефонный зво-
нок, однако обычно это не мешает
бизнес-процессам);
Слишком гибкий рабочий график
(у каждого человека своя самооргани-
зация и биологические ритмы, таким
образом нужно быть готовым к тому,
что некоторые сотрудники станут ра-
ботать «на результат», но не всегда
быть на связи в рабочее время);
Потенциальное повышение веро-
ятности утечки информации, связан-
ное с потенциальным присутствием
третьих лиц на месте работы сотруд-
ника при дистанционном режиме, с
использованием разных провайдеров,
с зависимостью от каналов связи и с
необходимостью публикации в гло-
бальной сети значительно больше-
го числа информационных ресурсов
компании для обеспечения беспере-
бойной работы всех необходимых
бизнес-процессов.
Чем контролировать?
Разумеется, даже при удаленной ра-
боте не стоит предоставлять сотруд-
никам возможности обрабатывать
корпоративную информацию локаль-
но на личных устройствах. Все разра-
ботанное в компании должно оста-
ваться внутри корпоративной сети.
Поэтому важно использовать систе-
мы обнаружения утечек. Кроме того,
важными помощниками будут анти-
вирусные средства и средства защиты
каналов связи, которые должны быть
предварительно настроены и входить
в перечень программ, предназначен-
ных для обязательной установки на
каждое автоматизированное рабочее
место сотрудника организации. Нема-
ловажным шагом к повышению уров-
ня кибербезопасности будет введение
двухфакторной аутентификации. Это
позволит обезопасить корпоративную
информацию от несанкционирован-
ного доступа к ней третьих лиц, ведь
без второго фактора – например, то-
кена или смарт-карты, получить до-
ступ к информационным ресурсам
организации станет невозможно.
В некоторых компаниях стоп-фак-
тором, препятствующим перево-
ду всех сотрудников в дистанцион-
ный режим является необходимость
подписи документации. Система
электронного документооборота с
внедренной инфраструктурой квали-
фицированной электронной подписи
решит данную проблему.
Важно обеспечивать информиро-
вание сотрудников о правилах работы
с ресурсами компании в дистанцион-
ном режиме, регулярно напоминать о
правилах обеспечения информацион-
ной безопасности. Поскольку для мно-
гих людей ситуация дистанционной
работы является своеобразным пси-
хологическим стресс-тестированием,
вопросы обеспечения кибербезопас-
ности могут отойти на второй план.
Поэтому ненавязчивые напоминания
о них в виде информационных рассы-
лок, небольших уведомлений, приве-
дения интересных фактов по заданной
тематике, просто необходимы. Как ми-
нимум, должен быть введен запрет на
размещение корпоративной инфор-
мации на общедоступных сервисах. Ее
обработка и пересылка должны осу-
ществляться сугубо с использованием
корпоративной, но ни в коем случае
не личной электронной почты.
Также сотрудники должны знать
контакты лиц, которым необходимо
сообщать о возникших неполадках,
сбоях и подозрении на инциденты.
Лучше напоминать эти контакты в ка-
ждой информационной рассылке,
причем, желательно предоставить
пользователям возможность исполь-
зования нескольких разных каналов
информирования – это может быть
номер телефона, адрес электронной
почты, корпоративный чат и т. д.
ТКС и ВКС
Вопрос организации теле- и виде-
оконференцсвязи заслуживает от-
дельного внимания. В ситуации, ког-
да в дистанционный режим перешло
значительное число пользователей,
штатные корпоративные средства те-
леконференцсвязи (ТКС) и видеокон-
ференцсвязи (ВКС) не всегда справ-
ляются. И, чтобы не подвергать риску
приостановки бизнес-процессы ком-
пании, люди прибегают к использова-
нию общедоступных сервисов.
Основная рекомендация – все же,
не размещать и не обсуждать в обще-
доступных сервисах обмена информа-
цией то, что действительно жизненно
важно для компании. При обсуждении
всей остальной информации также
стоит помнить о безопасности, орга-
низовывать ТКС и ВКС с ограничен-
ным количеством участников, возмож-
ностью аутентификации или ручным
управлением со стороны организато-
ра. Помогут и пароли для доступа к
конференции, доступные ограничен-
ному количеству лиц. Разумеется, для
регулярных ТКС и ВКС, пароли должны
каждый раз обновляться.
Основной рекомендацией для ис-
пользования корпоративных чатов в
общедоступных мессенджерах являет-
ся также использование сервисов при-
ватных чатов и оперативное управле-
ние перечнем участников со стороны
организаторов.
Ограничение удаленного доступа
Если не все, то очень многое в части
обеспечения кибербезопасности зави-
сит от уровня зрелости организации.
Недостаточно просто разработать пе-
речень документов по управлению
безопасностью, важно заставить их
работать, построить процессы. Про-
цесс управления удаленным доступом
сотрудников является одним из основ-
ных процессов обеспечения корпора-
тивной безопасности, наравне с про-
цессами управления информацией,
составляющей коммерческую тайну
или обработки персональных данных,
и многими другими.
Хорошей практикой является ве-
дение матриц доступа к информаци-
онным ресурсам компании. Матрица
доступа – документ, указывающий пе-
речень информационных ресурсов,
ролей и/или прав в них и пользовате-
лей, которым предоставлены указан-
ные права и роли на определенном
временном отрезке или постоянной
основе. Матрица должна подвергать-
ся пересмотру, как минимум один раз
в год, либо при внесении в информа-
ционные системы и штатную структуру
организации существенных изменений.
Безусловно, после окончания всеоб-
щего режима удаленной работы, часть
сотрудников так и останется «на уда-
ленке», но большая часть вернется в
офисы. Поэтому, по окончании ситуа-
ции всеобщей дистанционной работы,
крайне важно отследить и проконтро-
лировать ограничение предоставлен-
ного ранее удаленного доступа тем,
кому он более не требуется для выпол-
нения служебных обязанностей.
Многих топ-менеджеров,
кадровиков и сотрудников
подразделений
безопасности интересует
вопрос эффективного
управления коллективом
и обеспечения
безопасности при работе
в дистанционном режиме