Get best of the week

Comment la mise en œuvre des processus de sécurité facilite la transition vers le travail à distance

L'article décrit comment nous avons utilisé l'infrastructure de sécurité pour transférer toute notre équipe de gestionnaires et de développeurs au travail à distance pendant la période des événements de quarantaine et l'auto-isolation.

Raisons et antécédents


En 2020, dès le début de l'année, il y a eu beaucoup de nouvelles sur une nouvelle pandémie menaçant de détruire le monde entier. De nombreuses entreprises et organisations ont pris cela au sérieux, en introduisant des règles d'auto-isolement et des pratiques de travail à distance.

Nous, dans l'entreprise, en tant que représentants du domaine du travail intellectuel, nous nous préoccupions principalement du respect des exigences de l'OMS, à savoir:

  • l'auto-isolement des employés en voyage d'affaires à l'extérieur de leur région d'origine;
  • isolement dès les premiers symptômes chez les membres de la famille;
  • transition vers le travail à distance.

Si avec les deux premiers points tout est plus ou moins évident, alors le troisième nécessite des explications supplémentaires.

Étape 1: Besoin de recherche


Pour organiser un lieu de travail à la maison, en plus de la salle de bureau elle-même, un employé devra également avoir accès aux systèmes d'entreprise, à un VPN au réseau du bureau et à certains équipements. Pour collecter des données sur l'équipement des employés, vous pouvez effectuer une enquête par les chefs de service, ou envoyer à chacun un formulaire d'enquête Google Forms ou Survey Monkey (ou ce que vous utilisez exactement là-bas). Dans notre cas, la méthode d'envoi des formulaires d'enquête dans toute l'entreprise, individuellement à chaque employé, était plus adaptée.

Une partie de l'équipe peut être équipée d'un équipement de première classe à ses propres frais (si l'employé est également fan de jeux informatiques ou mène son propre projet à la maison), mais nous ne jugeons pas juste d'en abuser. L'entreprise doit en tout cas fournir un lieu de travail.

Après avoir collecté les données, nous avons examiné le nombre de nouveaux utilisateurs dans notre VPN d'entreprise et effectué ses tests de charge, afin de ne pas découvrir que les performances du réseau sont insuffisantes au moment où toutes les personnes travaillent déjà à domicile.

Les processus de sécurité nous ont aidés dans cette phase, ce qui rend la tâche simple et rapide:

  • les comptes et le processus de contrôle d'accès logique ont permis de découvrir que tous les employés n'avaient pas les comptes nécessaires, de générer les applications nécessaires et de connecter les employés et les administrateurs système;
  • Les connaissances collectées sur le personnel, son équipement existant et son statut dans le processus de contrôle du personnel nous ont permis de déterminer l'étendue des changements.

Deuxième étape: livraison de l'équipement à domicile


Il convient de rappeler que l'équipement est compris non seulement comme un ordinateur ou des périphériques, mais également comme du mobilier, du matériel de bureau, des accessoires pour documents (chemises et supports) et similaires. Pour tenir compte de l'équipement qui nous est remis, nous utilisons notre JIRA d'entreprise et un processus précédemment conçu pour déplacer l'équipement entre les armoires et les bureaux.

Chaque employé crée une application avec une liste de ses besoins. Soit le chef, le gestionnaire ou même l'agent de sécurité le fait - celui qui possède toutes les informations. S'il y a un poste de sécurité du bâtiment, il est également nécessaire de préparer des notes de service sur le retrait de l'équipement pour chaque employé.

Le personnel doit être averti qu'un démantèlement non autorisé du lieu de travail est indésirable et interdit, dans les cas où les informations ne parviennent toujours pas à quelqu'un et que le lieu de travail est démantelé sans autorisation - il est nécessaire de mener une enquête sur les incidents, des travaux explicatifs et une mise en garde.

Il est également nécessaire d'organiser la livraison de l'équipement à votre domicile avec l'aide des entreprises de transport, car la livraison de personnel en interne est moins chère et plus pratique, mais il existe un risque de détérioration de l'équipement.

Les processus de gestion de la sécurité de l'entreprise nous ont aidés dans cette phase comme suit:

  • le contrôle d'accès physique a permis d'établir que l'équipement n'a pas été volé ou endommagé pendant le transport;
  • , ;
  • “” .

:


À un moment donné, le jour même où X est annoncé, une instruction sera émise pour passer au travail à distance. À ce stade, les emplois doivent être déplacés. Il est bon de s'assurer qu'avant le jour X, il y a un jour de congé ou un jour écourté pour que les employés puissent emporter leur équipement à la maison.

Toutes les communications entre les employés se feront désormais par e-mail et par messagerie instantanée. Si auparavant le code du programme pouvait être stocké localement, après la transition, il sera stocké dans des référentiels (en ligne ou sur un serveur d'entreprise). Il est important que le système de tickets soit suffisamment automatisé et configuré pour fonctionner avec un grand nombre d'applications. Les artistes doivent être conscients de leur rôle. Le processus visant à garantir la continuité des activités à partir de la pile ISO27001, si vous l'avez mise en œuvre, vous sera parfaitement utile ici.

Le système de gestion de la sécurité a apporté les avantages suivants:

  • processus de contrôle d'accès logique pour gérer les droits des employés utilisateurs dans les systèmes de communication et le travail distribué;
  • le processus de gestion des incidents identifiera les vulnérabilités et enquêtera sur les incidents liés à la perte de droits d'accès, à la corruption de données et à d'autres violations;
  • un responsable de la sécurité ou une unité appropriée devient une sorte de plaque tournante qui achemine les demandes des employés et aide à faire face aux problèmes non standard.

Risques supplémentaires


Le principal risque supplémentaire est la dépendance de la qualité des employés à l'accès à Internet. Il arrive souvent que dans les lieux de résidence, l'accès à Internet des opérateurs du marché de consommation soit très différent de celui fourni par les opérateurs de télécommunications pour le marché B2B. En plus des problèmes de vitesse, votre équipe devra également utiliser des VPN ou des adresses statiques. De plus, vous ne serez pas en mesure de gérer les risques associés à la panne d'électricité, de communications, de systèmes d'ingénierie et d'autres choses, selon l'emplacement des employés. La stratégie de prise de risque sera appliquée indépendamment des souhaits de l'entreprise, car il n'y a pas de choix.

Le deuxième risque est de réduire l'efficacité de l'équipe. Beaucoup de littérature a déjà été écrite à ce sujet et, en général, les chefs de projet qualifiés savent comment le gérer. Cela comprend à la fois une diminution de l'efficacité des communications et l'absence d'un environnement de travail sur le terrain.

Savoir-faire


Nous pratiquons la distribution de nos équipes dans notre entreprise depuis une dizaine d'années, avec des bureaux en Russie, en Europe et aux USA. Pour améliorer l'efficacité de l'entreprise, nous avons également mis en œuvre le système de gestion de la sécurité des entreprises ISO27001 il y a deux ans, de sorte que la transition a eu lieu pour nous en 2 jours ouvrables. Nous avons appliqué les techniques suivantes:

  • JIRA ServiceDesk – , . , , , .
  • Slack, Zoom Skype – , , .
  • GIT-. BitBucket, Atlassian, JIRA, GitHub .
  • Équipes de surveillance de la santé. Les chefs d'équipe connaissent les difficultés rencontrées par chaque membre de l'équipe et développent ensemble des solutions pour surmonter les difficultés.

Il y avait des astuces qui devaient être appliquées, mais nous n'avons pas réussi pour diverses raisons:

  • la livraison centralisée de l'équipement par les sociétés de transport, ce qui prendrait plus de temps que la livraison par les employés eux-mêmes, mais minimiserait le risque de dommages à l'équipement;
  • transfert en masse du développement vers les ordinateurs portables pour organiser un développement plus mobile; le rééquipement prendra du temps et sera assez coûteux.

En plus des vérités élémentaires, ce sont précisément la gestion et les contrôles précis introduits dans le processus de gestion de la sécurité ISO27001 qui nous ont permis de rendre la transition non seulement possible, mais aussi plus confortable pour le personnel des entreprises et de l'entreprise.

Nous avons vu notre propre expérience: l'introduction des processus ISO27001 vous permet de mieux gérer votre entreprise en temps de crise, d'urgence et de situations dangereuses et aide à maintenir le niveau de services de l'entreprise au niveau requis.

La transition d'une entreprise entière vers le travail à distance crée un grand nombre de risques, de la perte d'équipement à la violation des processus commerciaux de l'entreprise. La norme de sécurité mise en œuvre, que ce soit ISO27001 ou autre, aidera à prévenir les risques, à développer des stratégies pour travailler avec eux et, finalement, à les minimiser.

Si un système de gestion de la sécurité n'a pas encore été implémenté dans votre entreprise, la période de travail à distance peut être un excellent moment pour sa mise en place, notamment en termes de sécurité physique et de protection des actifs informationnels. Il est également possible d'utiliser dès maintenant les meilleures pratiques utilisées dans ce domaine, sans attendre la mise en œuvre et la certification.

Les normes de sécurité sont élaborées dans l'industrie précisément afin que les situations atypiques et inattendues ne causent pas de dommages aux affaires. Leur utilisation crée une immunité collective dans l'environnement de l'entreprise: plus les acteurs du marché mettent en œuvre des techniques ou des normes de sécurité, moins de menaces d'intrus. Et le développement de stratégies pour contrer les menaces est beaucoup plus rapide, en raison de la présence de lignes directrices sous la forme de pratiques d'autres organisations.

Nous espérons que l'article a été utile pour trouver des solutions ou confirmer l'exactitude des tactiques et stratégies déjà adoptées.

More articles:


All Articles