Get best of the week

Cómo la implementación de procesos de seguridad ayuda a la transición al trabajo remoto

El artículo describe cómo usamos la infraestructura de seguridad para transferir todo nuestro equipo de gerentes y desarrolladores a trabajo remoto durante el período de eventos de cuarentena y autoaislamiento.

Razones y antecedentes


En 2020, desde el comienzo del año, hubo muchas noticias sobre una nueva pandemia que amenaza con destruir el mundo entero. Muchas empresas y organizaciones se lo tomaron en serio, introduciendo reglas de autoaislamiento y prácticas de trabajo remotas.

En la empresa, como representantes del campo del trabajo intelectual, nos preocupamos principalmente por el cumplimiento de los requisitos de la OMS, a saber:

  • autoaislamiento de empleados que han estado en un viaje de negocios fuera de su región de origen;
  • aislamiento a los primeros síntomas en miembros de la familia;
  • transición al trabajo remoto.

Si con los dos primeros puntos todo es más o menos obvio, entonces el tercero requiere explicaciones adicionales.

Etapa uno: necesita investigación


Para organizar un lugar de trabajo en el hogar, además de la sala de la oficina en sí, un empleado también necesitará acceso a sistemas corporativos, una VPN a la red de la oficina y algunos equipos. Para recopilar datos sobre el equipo de los empleados, puede realizar una encuesta realizada por los jefes de departamento, o enviar a todos un formulario de encuesta de Google Forms o Survey Monkey (o qué es exactamente lo que usa allí). En nuestro caso, el método de enviar formularios de encuesta a toda la empresa, individualmente a cada empleado, era más adecuado.

Parte del equipo puede equiparse con equipos de primera clase a su propio costo (si el empleado también es fanático de los juegos de computadora o está realizando su propio proyecto en casa), pero no consideramos correcto abusar de él. La empresa debe proporcionar un lugar de trabajo en cualquier caso.

Después de recopilar los datos, examinamos el número de nuevos usuarios en nuestra VPN corporativa y realizamos sus pruebas de carga para no descubrir que el rendimiento de la red es insuficiente en el momento en que todas las personas ya están trabajando desde casa.

Los procesos de seguridad nos han ayudado en esta fase, haciéndolo rápido y fácil:

  • las cuentas y el proceso de control de acceso lógico permitieron descubrir que no todos los empleados tenían las cuentas necesarias, generar las aplicaciones necesarias y conectar a los empleados y administradores del sistema;
  • El conocimiento recopilado sobre el personal, su equipo existente y el estado en el proceso de control de personal nos permitió determinar el alcance de los cambios.

Segunda etapa: entrega de equipos a domicilio


Vale la pena recordar que el equipo se entiende no solo como una computadora o periféricos, sino también como muebles, equipos de oficina, accesorios para documentos (carpetas y soportes) y similares. Para contabilizar los equipos que nos entregan, utilizamos nuestra JIRA corporativa y un proceso previamente construido para mover equipos entre gabinetes y oficinas.

Cada empleado crea una aplicación con una lista de sus necesidades. Lo hace el líder, el gerente o incluso el oficial de seguridad, el propietario de toda la información. Si hay un puesto de seguridad del edificio, también es necesario preparar notas de servicio sobre el retiro del equipo para cada empleado.

Se debe advertir al personal que el desmantelamiento no autorizado del lugar de trabajo no es deseable y no está permitido, en los casos en que la información aún no llegó a alguien y el lugar de trabajo se desmanteló sin permiso; es necesario realizar una investigación de incidentes, trabajo explicativo y advertir de responsabilidad.

También es necesario organizar la entrega de equipos a su hogar con la ayuda de empresas de transporte, ya que la entrega interna de personal es más barata y más conveniente, pero existe el riesgo de daños en los equipos.

Los procesos de gestión de seguridad de la compañía nos han ayudado en esta fase de la siguiente manera:

  • el control de acceso físico permitió establecer que el equipo no fue robado o dañado durante el transporte;
  • , ;
  • “” .

:


En algún momento, se anuncia el mismo día X, en el que se emitirá una instrucción para cambiar al trabajo remoto. En este punto, los trabajos deben ser trasladados. Es bueno asegurarse de que antes del día X haya un día libre o un día más corto para que los empleados puedan llevar el equipo a sus casas.

Toda comunicación entre los empleados a partir de ahora será a través de correo electrónico y mensajería instantánea. Si antes el código del programa podría almacenarse localmente, luego de la transición se almacenará en repositorios (en línea o en un servidor corporativo). Es importante que el sistema de tickets esté suficientemente automatizado y configurado para funcionar con una gran cantidad de aplicaciones. Los artistas deben ser conscientes de sus roles. El proceso para garantizar la continuidad del negocio desde la pila ISO27001, si lo implementó, será de gran ayuda aquí.

El sistema de gestión de seguridad trajo los siguientes beneficios:

  • proceso de control de acceso lógico para gestionar los derechos de los usuarios empleados en sistemas de comunicación y trabajo distribuido;
  • el proceso de gestión de incidentes identificará vulnerabilidades e investigará incidentes relacionados con la pérdida de derechos de acceso, corrupción de datos y otras violaciones;
  • un oficial de seguridad o una unidad apropiada se convierte en un tipo de centro que dirige las solicitudes de los empleados y ayuda a hacer frente a problemas no estándar.

Riesgos adicionales


El principal riesgo adicional es la dependencia de la calidad de los empleados en el acceso a Internet. A menudo sucede que en los lugares de residencia, el acceso a Internet de los operadores del mercado de consumo es muy diferente del proporcionado por los operadores de telecomunicaciones para el mercado b2b. Además de los problemas de velocidad, su equipo también tendrá que usar VPN o direcciones estáticas. Además, no podrá administrar los riesgos asociados con la falla de la electricidad, las comunicaciones, los sistemas de ingeniería y otras cosas dependiendo de la ubicación de los empleados. La estrategia de toma de riesgos se aplicará independientemente de los deseos del negocio, porque no hay otra opción.

El segundo riesgo es reducir la efectividad del equipo. Ya se ha escrito mucha literatura sobre esto y, en general, los gerentes de proyecto calificados saben cómo administrarlo. Esto incluye tanto una disminución en la efectividad de las comunicaciones como la falta de un entorno de trabajo en el terreno.

Saber como


Llevamos unos 10 años practicando la distribución de nuestros equipos en nuestra empresa, contando con oficinas en Rusia, Europa y Estados Unidos. Para mejorar la eficiencia empresarial, también implementamos el sistema de gestión de seguridad empresarial ISO27001 hace dos años, por lo que la transición se llevó a cabo dentro de 2 días hábiles. Aplicamos las siguientes técnicas:

  • JIRA ServiceDesk – , . , , , .
  • Slack, Zoom Skype – , , .
  • GIT-. BitBucket, Atlassian, JIRA, GitHub .
  • Equipos de monitoreo de salud. Los gerentes de equipo saben qué dificultades tiene cada miembro del equipo y juntos desarrollan soluciones para superar las dificultades.

Hubo trucos que deberían aplicarse, pero no tuvimos éxito por varias razones:

  • entrega de equipos centralmente por las empresas de transporte, lo que llevaría más tiempo que la entrega por parte de los propios empleados, pero minimizaría el riesgo de daños en los equipos;
  • transferencia masiva de desarrollo a computadoras portátiles para organizar más desarrollo móvil; el reequipamiento llevará tiempo y será bastante costoso.

Además de las verdades elementales, fue precisamente la gestión y los controles precisos introducidos en el proceso de gestión de seguridad ISO27001 lo que nos permitió hacer la transición no solo posible, sino también más cómoda tanto para el personal comercial como para el personal de la empresa.

Vimos por nuestra propia experiencia: la introducción de procesos ISO27001 le permite administrar mejor su negocio en tiempos de crisis, emergencias y situaciones peligrosas y ayuda a mantener el nivel de servicios de la empresa en el nivel requerido.

La transición de una empresa completa al trabajo remoto crea una gran cantidad de riesgos, desde la pérdida de equipos hasta la violación de los procesos comerciales de la empresa. El estándar de seguridad implementado, ya sea ISO27001 u otra cosa, ayudará a prevenir riesgos, desarrollar estrategias para trabajar con ellos y, en última instancia, minimizarlos.

Si aún no se ha implementado un sistema de gestión de seguridad en su empresa, el período de trabajo remoto puede ser un excelente momento para su implementación, especialmente en términos de seguridad física y protección de los activos de información. También es posible utilizar las mejores prácticas utilizadas en este campo en este momento, sin esperar la implementación y la certificación.

Los estándares de seguridad se desarrollan en la industria precisamente para que situaciones atípicas e inesperadas no generen daños en los negocios. Su uso crea una inmunidad colectiva en el entorno corporativo: mientras más participantes del mercado implementen técnicas o estándares de seguridad, menos amenazas de intrusos. Y el desarrollo de estrategias para contrarrestar cualquier amenaza es mucho más rápido, debido a la presencia de directrices en forma de prácticas de otras organizaciones.

Esperamos que el artículo haya sido útil para encontrar soluciones o confirmar la exactitud de las tácticas y estrategias ya adoptadas.

More articles:


All Articles