Get best of the week

Como a implementação de processos de segurança ajuda na transição para o trabalho remoto

O artigo descreve como usamos a infraestrutura de segurança para transferir toda a nossa equipe de gerentes e desenvolvedores para o trabalho remoto durante o período de eventos de quarentena e auto-isolamento.

Razões e antecedentes


Em 2020, desde o início do ano, havia muitas notícias sobre uma nova pandemia que ameaçava destruir o mundo inteiro. Muitas empresas e organizações levaram isso a sério, introduzindo regras de auto-isolamento e práticas de trabalho remoto.

Na empresa, como representantes do campo do trabalho intelectual, preocupamo-nos principalmente com o cumprimento dos requisitos da OMS, a saber:

  • auto-isolamento de funcionários que estiveram em viagem de negócios fora de sua região de origem;
  • isolamento nos primeiros sintomas nos familiares;
  • transição para o trabalho remoto.

Se com os dois primeiros pontos tudo é mais ou menos óbvio, o terceiro requer explicações adicionais.

Estágio Um: Precisa de Pesquisa


Para organizar um local de trabalho em casa, além da própria sala de escritório, um funcionário também precisará acessar sistemas corporativos, uma VPN para a rede do escritório e alguns equipamentos. Para coletar dados sobre o equipamento dos funcionários, você pode realizar uma pesquisa pelos chefes de departamento ou enviar o formulário de pesquisa para o Google Forms ou o Survey Monkey para todos (ou exatamente o que você usa lá). No nosso caso, o método de envio de formulários de pesquisa em toda a empresa, individualmente para cada funcionário, era mais adequado.

Parte da equipe pode ser equipada com equipamentos de primeira classe às suas próprias custas (se o funcionário também gosta de jogos de computador ou está conduzindo seu próprio projeto em casa), mas não consideramos correto abusá-lo. A empresa deve fornecer um local de trabalho em qualquer caso.

Após coletar os dados, examinamos o número de novos usuários em nossa VPN corporativa e realizamos seus testes de carga, para não descobrir que o desempenho da rede é insuficiente no momento em que todas as pessoas já estão trabalhando em casa.

Os processos de segurança nos ajudaram nessa fase, tornando-o rápido e fácil:

  • as contas e o processo lógico de controle de acesso tornaram possível descobrir que nem todos os funcionários tinham as contas necessárias, gerar os aplicativos necessários e conectar funcionários e administradores de sistema;
  • O conhecimento coletado sobre o pessoal, seus equipamentos existentes e o status no processo de controle de pessoal nos permitiu determinar o escopo das alterações.

Segunda etapa: entrega de equipamentos domésticos


Vale lembrar que o equipamento é entendido não apenas como um computador ou periféricos, mas também móveis, equipamentos de escritório, acessórios para documentos (pastas e suportes) e similares. Para contabilizar o equipamento entregue a nós, usamos o JIRA corporativo e um processo previamente construído para mover o equipamento entre armários e escritórios.

Cada funcionário cria um aplicativo com uma lista de suas necessidades. Ou o líder, gerente ou mesmo o oficial de segurança - quem possui todas as informações. Se houver um posto de segurança do prédio, também é necessário preparar notas de serviço sobre a remoção de equipamentos para cada funcionário.

O pessoal deve ser avisado de que o desmantelamento não autorizado do local de trabalho é indesejável e não permitido, nos casos em que as informações ainda não chegaram a alguém e o local de trabalho foi desmontado sem autorização - é necessário realizar uma investigação de incidentes, trabalho explicativo e aviso de responsabilidade.

Também é necessário organizar a entrega do equipamento em sua casa com a ajuda das empresas de transporte, já que a entrega interna de pessoal é mais barata e mais conveniente, mas existe o risco de danos ao equipamento.

Os processos de gerenciamento de segurança da empresa nos ajudaram nesta fase da seguinte maneira:

  • o controle de acesso físico permitiu estabelecer que o equipamento não foi roubado ou danificado durante o transporte;
  • , ;
  • “” .

:


Em algum momento, no mesmo dia em que X é anunciado, no qual uma instrução será emitida para mudar para o trabalho remoto. Nesse ponto, os trabalhos devem ser movidos. É bom garantir que, antes do dia X, haja um dia de folga ou um dia abreviado, para que os funcionários possam levar o equipamento em casa.

Toda a comunicação entre os funcionários a partir de agora será por e-mail e mensagens instantâneas. Se anteriormente o código do programa pudesse ser armazenado localmente, após a transição, ele será armazenado em repositórios (online ou em um servidor corporativo). É importante que o sistema do ticket seja suficientemente automatizado e configurado para funcionar com um grande número de aplicativos. Os artistas devem estar cientes de seus papéis. O processo de garantir a continuidade dos negócios da pilha ISO27001, se você a implementou, ajudará perfeitamente aqui.

O sistema de gerenciamento de segurança trouxe os seguintes benefícios:

  • processo lógico de controle de acesso para gerenciar os direitos dos funcionários usuários em sistemas de comunicação e trabalho distribuído;
  • o processo de gerenciamento de incidentes identificará vulnerabilidades e investigará incidentes relacionados à perda de direitos de acesso, corrupção de dados e outras violações;
  • um agente de segurança ou uma unidade apropriada se torna um tipo de hub que direciona solicitações de funcionários e ajuda a lidar com problemas fora do padrão.

Riscos adicionais


O principal risco adicional é a dependência da qualidade dos funcionários no acesso à Internet. Muitas vezes acontece que em locais de residência, o acesso à Internet por parte dos operadores do mercado consumidor é muito diferente daquele fornecido pelos operadores de telecomunicações para o mercado b2b. Além de problemas de velocidade, sua equipe também precisará usar VPNs ou endereços estáticos. Além disso, você não poderá gerenciar os riscos associados à falha de eletricidade, comunicações, sistemas de engenharia e outras coisas, dependendo da localização dos funcionários. A estratégia de assumir riscos será aplicada independentemente dos desejos do negócio, porque não há escolha.

O segundo risco é reduzir a eficácia da equipe. Muita literatura já foi escrita sobre isso e, em geral, gerentes de projetos qualificados sabem como gerenciá-lo. Isso inclui uma diminuição na eficácia das comunicações e a falta de um ambiente de trabalho no local.

Saber como


Temos praticado a distribuição de nossas equipes em nossa empresa há cerca de 10 anos, com escritórios na Rússia, Europa e EUA. Para melhorar o desempenho comercial, também introduzimos um sistema de gerenciamento de segurança comercial de acordo com o padrão ISO27001, há dois anos; portanto, para nós, a transição ocorreu em dois dias úteis. Aplicamos as seguintes técnicas:

  • JIRA ServiceDesk – , . , , , .
  • Slack, Zoom Skype – , , .
  • GIT-. BitBucket, Atlassian, JIRA, GitHub .
  • Equipes de monitoramento de saúde. Os gerentes de equipe sabem quais dificuldades cada membro da equipe possui e, juntos, desenvolvem soluções para superar as dificuldades.

Havia truques que deveriam ser aplicados, mas não tivemos êxito por vários motivos:

  • entrega centralizada de equipamentos pelas empresas de transporte, o que levaria mais tempo do que a entrega pelos próprios funcionários, mas minimizaria o risco de danos ao equipamento;
  • transferência em massa de desenvolvimento para laptops para organizar mais desenvolvimento móvel; re-equipamento levará tempo e muito caro.

Além das verdades elementares, foram precisamente o gerenciamento e os controles precisos introduzidos no processo de gerenciamento de segurança ISO27001 que nos permitiram fazer a transição não apenas possível, mas também mais confortável para o pessoal de negócios e da empresa.

Vimos por nossa própria experiência: a introdução dos processos ISO27001 permite gerenciar melhor seus negócios em tempos de crise, situações de emergência e perigosas e ajuda a manter o nível de serviços da empresa no nível exigido.

A transição de uma empresa inteira para o trabalho remoto cria um grande número de riscos, desde a perda de equipamentos até a violação dos processos de negócios da empresa. O padrão de segurança implementado, seja o ISO27001 ou qualquer outra coisa, ajudará a evitar riscos, desenvolver estratégias para trabalhar com eles e, finalmente, minimizá-los.

Se um sistema de gerenciamento de segurança ainda não foi implementado em sua empresa, o período de trabalho remoto pode ser um excelente momento para sua implementação, especialmente em termos de segurança física e proteção de ativos de informações. Também é possível usar as melhores práticas usadas neste campo agora, sem esperar pela implementação e certificação.

Os padrões de segurança são desenvolvidos na indústria precisamente para que situações atípicas e inesperadas não causem danos aos negócios. Seu uso cria uma imunidade coletiva no ambiente corporativo: quanto mais participantes do mercado implementam técnicas ou padrões de segurança, menos ameaças dos invasores. E o desenvolvimento de estratégias para combater qualquer ameaça é muito mais rápido, devido à presença de diretrizes na forma de práticas de outras organizações.

Esperamos que o artigo tenha sido útil em termos de encontrar soluções ou de confirmar a exatidão das táticas e estratégias já adotadas.

More articles:


All Articles