Get best of the week

实施安全流程如何帮助过渡到远程工作

本文介绍了在隔离事件和自我隔离期间,我们如何使用安全基础结构将整个经理和开发人员团队转移到远程工作。

原因和背景


从年初开始的2020年,就有许多新闻传出新的大流行威胁要摧毁整个世界。许多公司和组织认真对待这一点,引入了自我隔离规则和远程工作实践。

我们公司中作为智力工作领域的代表,主要关心遵守WHO的要求,即:

  • 在本国地区以外出差的员工的自我隔离;
  • 隔离家庭成员的最初症状;
  • 过渡到远程工作。

如果前两点或多或少是显而易见的,则第三点需要更多说明。

第一阶段:需求研究


为了在家中组织一个工作场所,除了办公室房间本身,员工还需要访问公司系统,办公室网络的VPN和某些设备。要收集有关员工设备的数据,您可以由部门负责人进行调查,或者向每个人发送调查表Google Forms或Survey Monkey(或您在那里使用的确切信息)。在我们的案例中,更合适的方法是在整个公司内分别向每个员工发送调查表。

团队的一部分可以自费配备一流的设备(如果员工也是计算机游戏迷或在家中进行自己的项目),但是我们认为滥用此设备是不正确的。无论如何,公司必须提供工作场所。

收集数据后,我们检查了公司VPN中的新用户数量并进行了负载测试,以免在所有人都已经在家工作时发现网络性能不足。

安全流程在这一阶段为我们提供了帮助,使其变得快速,简单:

  • 帐户和逻辑访问控制过程可以发现并非所有员工都拥有必需的帐户,生成必要的应用程序并连接员工和系统管理员;
  • 所收集的有关人员,人员的现有设备以及人员控制过程中的状态的知识使我们能够确定变更的范围。

第二阶段:家用设备交付


值得记住的是,设备不仅应理解为计算机或外围设备,还应理解为家具,办公设备,文档附件(文件夹和支架)等。为了说明交付给我们的设备,我们使用了我们的公司JIRA和以前构建的在机柜和办公室之间移动设备的过程。

每位员工创建一个带有他们需求列表的应用程序。领导,经理或什至是安全官员都可以做到这一点,即拥有所有信息的人。如果有建筑物安全站,则还需要为每位员工准备有关拆除设备的服务说明。

应警告工作人员,如果仍然无法将信息提供给某人并且未经授权而拆除了工作场所,则不希望擅自拆除工作场所是不希望的,也不允许这样做-必须对事件进行调查,进行解释性工作并警告责任。

还需要在运输公司的帮助下组织将设备运送到您家中,因为内部人员运送更便宜,更方便,但是存在设备损坏的风险。

该公司的安全管理流程在此阶段为我们提供了以下帮助:

  • 物理访问控制可以确定设备在运输过程中没有被盗或损坏;
  • , ;
  • “” .

:


在某个时候,X宣布的那一天,将发出指令以切换到远程工作。此时,应移动作业。最好确保在X天之前有一天休息或缩短一天,以便员工可以在家中携带设备。

从现在起,员工之间的所有通信将通过电子邮件和即时通讯程序进行。如果程序代码可以更早地存储在本地,则在过渡之后,它将存储在存储库中(在线或公司服务器上)。重要的是,票务系统必须具有足够的自动化程度,并配置为可与大量应用程序一起使用。艺术家应该意识到自己的角色。如果实现了ISO27001堆栈,则确保业务连续性的过程将在此起到完美的帮助。

安全管理系统带来以下好处:

  • 逻辑访问控制过程,用于管理通信系统和分布式工作中用户雇员的权限;
  • 事件管理流程将识别漏洞并调查与访问权丢失,数据损坏和其他违规有关的事件;
  • 安全员或适当的部门成为一种枢纽,可以路由员工的请求并帮助应对非标准问题。

其他风险


主要的附加风险是员工素质对互联网访问的依赖。经常发生的情况是,在居住地,消费者市场运营商的互联网访问与电信运营商为b2b市场提供的互联网访问有很大不同。除了速度问题之外,您的团队还必须使用VPN或静态地址。此外,根据员工的位置,您将无法管理与电力,通信,工程系统等故障有关的风险。由于没有选择,因此将采取冒险策略而不管企业的意愿如何。

第二个风险是降低团队的效率。关于这一点,已经有很多文献发表了,通常,合格的项目经理知道如何进行管理。这既包括通信效率的下降,也包括缺乏实地工作环境。

知识


我们已经在我们的公司中实践我们的团队的分布大约10年,在俄罗斯,欧洲和美国设有办事处。为了提高业务绩效,我们还于两年前引入了根据ISO27001标准的业务安全管理系统,因此对于我们来说,过渡是在2个工作日内完成的。我们应用了以下技术:

  • JIRA ServiceDesk – , . , , , .
  • Slack, Zoom Skype – , , .
  • GIT-. BitBucket, Atlassian, JIRA, GitHub .
  • 健康监测小组。团队经理知道团队中每个成员遇到的困难,并共同制定解决方案以克服困难。

有一些技巧可以应用,但是由于各种原因,我们没有成功:

  • 由运输公司集中交付设备,这比员工自己交付要花费更长的时间,但可以最大程度地减少设备损坏的风险;
  • 将开发工作大量转移到笔记本电脑上以组织更多的移动开发;重新装备将花费时间并且非常昂贵。

除了基本事实外,ISO27001安全管理流程中引入的精确管理和控制措施还使我们不仅可以进行过渡,而且使业务人员和公司人员都感到舒适。

我们从自己的经验中看到:引入ISO27001流程使您可以在危机,紧急情况和危险情况下更好地管理业务,并有助于将公司服务水平维持在所需水平。

整个公司向远程工作的过渡都会带来大量风险,从设备丢失到违反公司业务流程的风险。已实施的安全标准(无论是ISO27001还是其他标准)将有助于防止风险,制定与风险合作的策略,并最终将其最小化。

如果您的公司尚未实施安全管理系统,则远程工作可能是实施该系统的绝佳时机,尤其是在物理安全和信息资产保护方面。现在也可以使用该领域中使用的最佳实践,而无需等待实施和认证。

安全标准是在行业内精确制定的,因此非典型和意外情况不会对经商造成损害。他们的使用在公司环境中产生了集体豁免权:更多的市场参与者实施安全技术或标准,入侵者的威胁就更少。由于存在以其他组织的实践形式出现的准则,因此应对任何威胁的策略的开发要快得多。

我们希望本文对于找到解决方案或确认已经采用的策略和策略的正确性很有用。

More articles:


All Articles