Как организовать безопасную и эффективную дистанционную работу

С почтой у нас сомнений не было и корпоративный Gmail решил проблемы отчасти и хранения документов, и базовой безопасности типа, двухфакторной аутентификации, антиспама и архива.

До этого 10 лет у нас был MS Exchange и к моему удивлению даже самые пылкие любители Outlook-Exchange перешли на веб интерфейс Gmail. Думаю, скорость поиска и удобство ярлыков помогло.

Сейчас модно для конфиденциальности использовать швейцарский protonmail. Но это уже на любителя, что называется.

Коллеги сразу оценили возможности GoogleDrive для хранения документов, а также обмена файлами, плюс к этому Hangout для коммуникаций.

Еще один важный момент, связанный с сервисами Google — для информирования сотрудников и внутренних документов мы сделали wiki на Google Sites. Что касается документооборота и архива документов то сейчас полно различных вариантов, но у нас он очень простой. Docflow и мы решили что раз есть уже GoogleDrive, то почему бы его не использовать и взяли AODocs плагин.

Для цифрового подписания документов был приобретен Docusign, но пока всем хватает бесплатной системы подписи в Adobe Acrobat для внутреннего визирования.

Китай по различным сообщениям, вроде бы, уже практически восстановил поставки «железа» но думаю AWS, GCP и Azure сейчас будут хитами продаж, так как никто в серверные пускать людей в ближайшее время не захочет.

Мы выбрали как основной стандарт AWS, куда перенесли все сервера, включая тогда legacy 1C Бухгалтерию и телефонию Asterisk, но что-то оставили и на Azure. У нас нет Google Analytics, иначе Google Cloud Platform также появилась. AWS — недешевый выбор, но все стоит своих денег — у нас не болит голова о балансировке нагрузки, своевременном выделении ресурса по требованию, DDoS и прочем.

Для оптимизации цены за облака у нас используются штатные средства AWS, но если у вас много облачных провайдеров рекомендуем CloudHealth от Vmware. Мы его cебе поставили «на вырост».

Удаленному сотруднику — удаленный доступ

Мы активно применяем BYOD политику — для работы персонал компании использует свои собственные ПК и смартфоны. Для доставки рабочих столов и приложений на конечные, в том числе мобильные, устройства сотрудников (реализации технологии VDI) ставка делается на Citrix, AWS Desktop as Service. Кроме того, мы тестируем IGEL тонкие клиенты и VDI от Vmware. Для удаленного решения проблем, возникающих у пользователей внедрен TeamViewer.

Групповое взаимодействие

Сейчас почти все коммуникации происходят в электронной почте, но есть понимание что это в первую очередь средство для общения с внешними контрагентами и фиксирования договоренностей, так как переписка имеет силу в суде. Мы со скрипом переносим внутреннее обсуждение из почты в slack, а все стандартные документы и work-flow и бизнес-процессы — в ERP.

Несмотря на то, что NetSuite имеет модули ведения проектов, отдел присейла и сервисов для ведения проектов применяет Trello. До этого в другом проекте, мы выбирали еще между Asana, Wrike, Basecamp и безусловно Jira, но почему-то выбор пал именно на нынешний вариант.

У нас в компании до сих пор не используется HRM-система (считаем что Linkedin хватает ☺ ), хотя в NetSuite есть такой модуль.

Портал клиентов в Oracle NetSuite у нас в базовом варианте, говорят продвинутый модуль используют даже мировые софтовые вендора для продажи электронных лицензий.

Видеоконференцсвязь

В отсутствии очных встреч и командировок — видеоконференции это основной инструмент при работе с партнерами.

Долгое время в нашей компании ставка делалась на Adobe Connect и GoToMeeting, но 2 года назад мы заказали независимое сравнение видеоконференц-приложений. Изучив результаты и будучи партнером всех производителей включая наиболее популярный тогда Cisco/Webex, мы пришли к выводу, что наиболее оптимален в нашем случае Zoom и сделали его корпоративным стандартом. С тех пор я ни разу не пожалел, не считая того, что необходимо тщательно следить чтобы видеовстречи разных сотрудников не совпадали. Это, кстати, еще одно подтверждение предположения о том, что удаленная работа привносит большую дисциплинированность. И еще — часто мы записываем видеоролики и выкладываем на youtube.

Сотрудники даже используют Google Hangout, Amazon Chime и Skype, если это необходимо в общении с клиентами и партнерами.

Конфиденциальная связь

Сегодня уже невозможно организовать переговоры в совещательной комнате, а мобильной связи секретные переговоры бизнес не доверяет. Я не берусь оценивать кого «слушают» из мессенджеров, а кого — нет, но почему-то швейцарские продукты типа Threema, Wire вызывают наибольшее доверие в бизнес-среде. Тем не менее, это не решает проблемы при общении со всеми странами. Где-то, например, не работает Skype, WhatsApp, Viber, Telegram, а работает IMO или WeChat ☺ Мы сейчас возлагаем большие надежды на швейцарского производителя Adeya, который предлагает уровень криптографии военного образца (или можно поставить свою криптобиблиотеку) и позволяет развернуть систему у себя в компании или в их облаке, которое хостится и защищено швейцарскими законами о конфиденциальности

Контроль работы сотрудников

Несмотря на сознательность сотрудников, иногда приходится разбираться, что делал сотрудник в тот или иной момент. Если у кого-то возникает необходимость смотреть почасовую занятость сотрудников, не для слежки, а для, например, выставления счетов вашим клиентам, есть масса продуктов типа Time Doctor, Hubstaff, Harvest, Toggl, TSheets и др.

Следить за своими сотрудниками по законам ряда стран запрещено, но расследовать инциденты безопасности можно и нужно. Продукты для целей записи сессий предлагает CyberArk, ObservIt, Ekran Systems, Netwrix, Balabit (One Identitу) и др. Мы используем CyberArk поскольку их система решает и ряд других проблем ИТ безопасности.

VPN и двухфакторная аутентификация это базис цифровой гигиены

Когда пользователи находятся вне защищенного периметра и обычно подключены через домашний WiFi, необходимо соблюдать минимальные требования безопасности. Помимо регулярно меняемых сложных паролей, все должны пользоваться VPN. У нас используются решения от Barracuda Network и Forcepoint/Stonesoft, а также бесплатные OpenVPN и ProtonVPN.

Для смартфонов мы также используем эти решения и требуем чтобы сотрудники выключили автоматического подключения к известным WiFi сетям для защиты от вардрайвинга.

Мы перевели все облачные сервисы на двух-факторную аутентификацию, так как нашу почту периодически пробовали ломать.

Я не буду напоминать про антивирусы на каждом ПК и установленных firewall — это обязательные опции для удаленного сотрудника и их перечисление займет параграфы.

Сотрудники дома более уязвимы для мошенников

В 2018 году рынок кибербезопасности оценивался в 248 млрд долл., он будет расти ближайшие 3 года на 10-13% ежегодно. Часть этого рынка, связанная с борьбой с мошенничеством, хоть и была на уровне 20 млрд долл., но растет на 25-30% в год. А часть рынка — обучение грамотности в области безопасности (Security Awareness and Training) растет со скоростью 40-50% в год. Это связано с тем, что самое слабое звено в безопасности — человек. Сотрудников надо постоянно обучать и лучше на их же ошибках. Мы используем CybeReady для обучения коллег как не попадаться на фишинг. Такие решения предлагает также Cofense (Phishme), Dcoya и Barracuda Network и другие.

Безопасности мало не бывает

У нас разношерстные парк компьютеров и ОС и надо следить за тем, что все обновляют браузеры, ОС и ставят патчи. В качестве Patch Management платформы используется Ivanti. Для управления уязвимостями применяются продукты rapid7, есть достойные решения от Tenable, Qualys. Для управления доступом привилегированных пользователей мы используем CyberArk.

В части стран у нас блокируются сайты государством. Есть элегантное решение без Tor Browser и прочего, оно называется изолированный удаленный браузер и снимает головную боль с Web-безопасностью, а также решает проблему с цензурой. Подобные решения предлагают Ericom, Symantec, mcafee и Menlo.

Если ваша компания небольшая, SIEM вам скорее всего не потребуется. В зависимости от специфики вашего бизнеса, может потребоваться DLP, SWG, шифрование, OTP и тп. При переходе серьезно в облако потребуются CASB. Если же у вас есть собственный SOC или используется аутсорсинг Security as Service, то наши советы, скорее всего, вам излишние.

А если у нас производство и контроллеры, а не офис и компьютеры?

Наша компания в странах ЕС больше концентрируется именно на безопасности промышленных сетей и критической инфраструктуры. Одной из musthave-опций для безопасности SCADA является Data Diode — устройство, которое физически не позволяет передавать сигналы в промышленную сеть, а только дает возможность считывать «чтобы не могли взорвать». У нас производства в компании нет, но вот WaterFall, лидер этого рынка предлагает именно в кризис «бесплатную» опцию удаленного управление производством, когда туда не пускают людей, с помощью Remote Screen View.

Планы в кризис

В ближайшие планы этой недели входит попросить у всех вендоров временный бесплатный или льготный доступ и акции, чтобы поддержать наших клиентов ☹ Все относятся с пониманием.

Если говорить о наших долгосрочных планах, то мы давно хотели внедрить для удаленных пользователей обучение с помощью Coursera, введение карантинов это просто ускорит.

Безусловно надо внедрить DocuSign и для внешних контрагентов, так как мы их долго не увидим вживую.

Мы видим, как часто сотрудники используют конфиденциальную информацию на смартфонах и есть явная необходимость поставить MDM/EMM решение, скорее всего от MobileIron, который на этом специализируется (альтернатива Vmware AirWatch, Citrix MDM).

Если прошлый кризис нас отправил в облака, то наверно на этот раз ситуация нас заставит использовать модный AI. Мы подумываем об ассистентах продавцов и Omni-канале, но пока это выглядит все же несколько футуристично.

—

Автор: Павел Жданович.

Материал подготовлен при поддержке проекта ROI4CIO.