Get best of the week

Wie die Implementierung von Sicherheitsprozessen den Übergang zur Remote-Arbeit erleichtert

Der Artikel beschreibt, wie wir die Sicherheitsinfrastruktur verwendet haben, um unser gesamtes Team von Managern und Entwicklern während der Zeit der Quarantäneereignisse und der Selbstisolierung auf Remote-Arbeit zu übertragen.

Gründe und Hintergrund


Im Jahr 2020, von Anfang des Jahres an, gab es viele Neuigkeiten über eine neue Pandemie, die die ganze Welt zu zerstören drohte. Viele Unternehmen und Organisationen nahmen dies ernst und führten Selbstisolationsregeln und Fernarbeitspraktiken ein.

Wir im Unternehmen haben uns als Vertreter des Bereichs der intellektuellen Arbeit in erster Linie mit der Einhaltung der Anforderungen der WHO befasst, nämlich:

  • Selbstisolierung von Mitarbeitern, die eine Geschäftsreise außerhalb ihrer Heimatregion unternommen haben;
  • Isolation bei den ersten Symptomen bei Familienmitgliedern;
  • Übergang zur Fernarbeit.

Wenn bei den ersten beiden Punkten alles mehr oder weniger offensichtlich ist, dann erfordert der dritte zusätzliche Erklärungen.

Stufe eins: Bedarfsforschung


Um einen Arbeitsplatz zu Hause zu organisieren, benötigt ein Mitarbeiter neben dem Büroraum selbst auch Zugriff auf Unternehmenssysteme, ein VPN zum Büronetzwerk und einige Geräte. Um Daten über die Ausrüstung von Mitarbeitern zu sammeln, können Sie eine Umfrage durch die Abteilungsleiter durchführen oder jedem eine Umfrage von Google Forms oder Survey Monkey senden (oder was genau Sie dort verwenden). In unserem Fall war die Methode des Versendens von Umfrageformularen im gesamten Unternehmen individuell an jeden Mitarbeiter besser geeignet.

Ein Teil des Teams kann auf eigene Kosten mit erstklassiger Ausrüstung ausgestattet werden (wenn der Mitarbeiter auch ein Fan von Computerspielen ist oder sein eigenes Projekt zu Hause durchführt), aber wir halten es nicht für richtig, es zu missbrauchen. Das Unternehmen muss in jedem Fall einen Arbeitsplatz zur Verfügung stellen.

Nach dem Sammeln der Daten haben wir die Anzahl der neuen Benutzer in unserem Unternehmens-VPN untersucht und die Auslastungstests durchgeführt, um nicht festzustellen, dass die Netzwerkleistung in dem Moment unzureichend ist, in dem alle Personen bereits von zu Hause aus arbeiten.

Sicherheitsprozesse haben uns in dieser Phase geholfen und es schnell und einfach gemacht:

  • Konten und der logische Zugriffskontrollprozess ermöglichten es herauszufinden, dass nicht alle Mitarbeiter über die erforderlichen Konten verfügten, die erforderlichen Anwendungen zu generieren und Mitarbeiter und Systemadministratoren miteinander zu verbinden.
  • Das gesammelte Wissen über das Personal, seine vorhandene Ausrüstung und den Status im Prozess der Personalkontrolle ermöglichte es uns, den Umfang der Änderungen zu bestimmen.

Zweite Stufe: Lieferung der Heimausrüstung


Es sei daran erinnert, dass Geräte nicht nur als Computer oder Peripheriegeräte verstanden werden, sondern auch als Möbel, Bürogeräte, Dokumentenzubehör (Ordner und Halter) und dergleichen. Um die uns übergebenen Geräte zu berücksichtigen, verwenden wir unseren Unternehmens-JIRA und einen zuvor entwickelten Prozess, um Geräte zwischen Schränken und Büros zu bewegen.

Jeder Mitarbeiter erstellt eine Anwendung mit einer Liste seiner Anforderungen. Entweder der Leiter, der Manager oder sogar der Sicherheitsbeauftragte tun dies - derjenige, dem alle Informationen gehören. Wenn es einen Gebäudesicherheitsposten gibt, müssen für jeden Mitarbeiter auch Servicehinweise zum Entfernen von Geräten erstellt werden.

Das Personal sollte gewarnt werden, dass eine unbefugte Demontage des Arbeitsplatzes unerwünscht und nicht zulässig ist, wenn die Informationen noch nicht bei jemandem eingegangen sind und der Arbeitsplatz ohne Erlaubnis demontiert wurde. Es ist erforderlich, eine Untersuchung von Vorfällen, Erklärungsarbeiten und eine Warnung vor Haftung durchzuführen.

Es ist auch notwendig, die Lieferung der Ausrüstung zu Ihnen nach Hause mit Hilfe von Transportunternehmen zu organisieren, da die interne Lieferung des Personals billiger und bequemer ist, aber das Risiko einer Beschädigung der Ausrüstung besteht.

Die Sicherheitsmanagementprozesse des Unternehmens haben uns in dieser Phase wie folgt geholfen:

  • Durch die physische Zugangskontrolle konnte festgestellt werden, dass die Ausrüstung während des Transports nicht gestohlen oder beschädigt wurde.
  • , ;
  • “” .

:


Irgendwann wird genau der Tag X angekündigt, an dem eine Anweisung zum Umschalten auf Fernarbeit erteilt wird. Zu diesem Zeitpunkt sollten Jobs verschoben werden. Es ist gut sicherzustellen, dass vor Tag X ein freier Tag oder ein verkürzter Tag frei ist, damit die Mitarbeiter die Ausrüstung zu Hause mitnehmen können.

Die gesamte Kommunikation zwischen den Mitarbeitern erfolgt ab sofort über E-Mail und Instant Messenger. Wenn der Programmcode früher lokal gespeichert werden konnte, wird er nach dem Übergang in Repositorys (online oder auf einem Unternehmensserver) gespeichert. Es ist wichtig, dass das Ticketsystem ausreichend automatisiert und konfiguriert ist, um mit einer großen Anzahl von Anwendungen zu arbeiten. Künstler sollten sich ihrer Rollen bewusst sein. Der Prozess der Gewährleistung der Geschäftskontinuität aus dem ISO27001-Stack, falls Sie ihn implementiert haben, wird hier perfekt helfen.

Das Sicherheitsmanagementsystem brachte folgende Vorteile:

  • logischer Zugriffskontrollprozess zur Verwaltung der Rechte von Benutzermitarbeitern in Kommunikationssystemen und verteilter Arbeit;
  • Der Incident Management-Prozess identifiziert Schwachstellen und untersucht Vorfälle im Zusammenhang mit dem Verlust von Zugriffsrechten, Datenkorruption und anderen Verstößen.
  • Ein Sicherheitsbeauftragter oder eine geeignete Einheit wird zu einer Art Drehscheibe, die Anfragen von Mitarbeitern weiterleitet und bei der Bewältigung nicht standardmäßiger Probleme hilft.

Zusätzliche Risiken


Das zusätzliche Hauptrisiko ist die Abhängigkeit der Qualität der Mitarbeiter vom Zugang zum Internet. Es kommt häufig vor, dass sich der Internetzugang von Verbrauchermarktbetreibern an Wohnorten stark von dem unterscheidet, den Telekommunikationsbetreiber für den B2B-Markt bereitstellen. Zusätzlich zu Geschwindigkeitsproblemen muss Ihr Team auch VPNs oder statische Adressen verwenden. Außerdem sind Sie nicht in der Lage, die mit dem Ausfall von Elektrizität, Kommunikation, technischen Systemen und anderen Dingen verbundenen Risiken in Abhängigkeit vom Standort der Mitarbeiter zu bewältigen. Die Risikobereitschaftsstrategie wird unabhängig von den Wünschen des Unternehmens angewendet, da keine Wahl bleibt.

Das zweite Risiko besteht darin, die Effektivität des Teams zu verringern. Darüber wurde bereits viel Literatur geschrieben, und im Allgemeinen wissen qualifizierte Projektmanager, wie man damit umgeht. Dies beinhaltet sowohl eine Verringerung der Effektivität der Kommunikation als auch das Fehlen eines Arbeitsumfelds vor Ort.

Fachwissen


Wir praktizieren seit ungefähr 10 Jahren den Vertrieb unserer Teams in unserem Unternehmen und haben Niederlassungen in Russland, Europa und den USA. Um die Geschäftseffizienz zu verbessern, haben wir vor zwei Jahren auch das Business Security Management System ISO27001 implementiert, sodass der Übergang für uns innerhalb von zwei Werktagen erfolgte. Wir haben die folgenden Techniken angewendet:

  • JIRA ServiceDesk – , . , , , .
  • Slack, Zoom Skype – , , .
  • GIT-. BitBucket, Atlassian, JIRA, GitHub .
  • Gesundheitsüberwachungsteams. Teammanager wissen, welche Schwierigkeiten jedes Teammitglied hat, und entwickeln gemeinsam Lösungen, um Schwierigkeiten zu überwinden.

Es gab Tricks, die angewendet werden sollten, aber wir hatten aus verschiedenen Gründen keinen Erfolg:

  • Lieferung der Ausrüstung zentral durch Transportunternehmen, was mehr Zeit in Anspruch nehmen würde als die Lieferung durch die Mitarbeiter selbst, aber das Risiko von Geräteschäden minimieren würde;
  • Massentransfer der Entwicklung auf Laptops zur Organisation einer mobileren Entwicklung; die Umrüstung wird Zeit in Anspruch nehmen und recht teuer sein.

Zusätzlich zu den elementaren Wahrheiten ist es genau die genaue Verwaltung und Kontrolle, die im Sicherheitsmanagementprozess nach ISO27001 eingeführt wurde, die es uns ermöglicht haben, den Übergang nicht nur zu ermöglichen, sondern auch für Geschäfts- und Unternehmenspersonal komfortabler zu gestalten.

Wir haben aus eigener Erfahrung gesehen: Die Einführung von ISO27001-Prozessen ermöglicht es Ihnen, Ihr Unternehmen in Krisen-, Notfall- und Gefahrensituationen besser zu verwalten und das Niveau der Unternehmensdienstleistungen auf dem erforderlichen Niveau zu halten.

Der Übergang eines gesamten Unternehmens zur Fernarbeit birgt eine Vielzahl von Risiken, vom Verlust von Geräten bis zur Verletzung der Geschäftsprozesse des Unternehmens. Der implementierte Sicherheitsstandard, sei es ISO27001 oder etwas anderes, wird dazu beitragen, Risiken zu vermeiden, Strategien für die Arbeit mit ihnen zu entwickeln und sie letztendlich zu minimieren.

Wenn in Ihrem Unternehmen noch kein Sicherheitsmanagementsystem implementiert wurde, kann der Zeitraum der Remote-Arbeit ein hervorragender Zeitpunkt für dessen Implementierung sein, insbesondere im Hinblick auf die physische Sicherheit und den Schutz von Informationsressourcen. Es ist auch möglich, die derzeit in diesem Bereich verwendeten Best Practices zu verwenden, ohne auf die Implementierung und Zertifizierung zu warten.

Sicherheitsstandards werden in der Branche genau so entwickelt, dass atypische und unerwartete Situationen keinen Schaden für die Geschäftstätigkeit verursachen. Ihre Verwendung schafft eine kollektive Immunität im Unternehmensumfeld: Je mehr Marktteilnehmer Sicherheitstechniken oder -standards implementieren, desto weniger Bedrohungen durch Eindringlinge. Und die Entwicklung von Strategien zur Abwehr von Bedrohungen ist viel schneller, da Richtlinien in Form von Praktiken anderer Organisationen vorhanden sind.

Wir hoffen, dass der Artikel hilfreich war, um Lösungen zu finden oder die Richtigkeit bereits übernommener Taktiken und Strategien zu bestätigen.

More articles:


All Articles