Нюансы перевода сотрудников на удалённую работу

Нюансы перевода сотрудников на удалённую работу

При организации удалённой работы предприятия обычно актуальны три основных сценария: использование техники расположенной в офисе, подключение удалённых устройств ко внутренним сервисам через VPN, а также применение личных устройств согласно концепции BYOD (bring your own device, принеси собственное устройство). Рассмотрим риски и проблемы, возникающие при выборе каждого сценария, а также защиту коммерчески значимой информации на примере StaffCop Enterprise.

 

 

 

 

  1. Введение
  2. Сценарий № 1: использование техники в офисе
  3. Сценарий № 2: подключение по VPN
  4. Сценарий № 3: концепция BYOD
  5. Выводы

Введение

Предприятия как малого, так и среднего (а иногда — уже и крупного) бизнеса переводят на удалённую работу целые отделы и управления. В таких странах EC, как Чехия и Словакия, правительства официально порекомендовали коммерческим предприятиям максимально широко вводить технологию удалённой работы для их сотрудников, чтобы минимизировать физические контакты между ними.

Такой метод работы имеет свои плюсы и минусы как для сотрудников, перешедших на «удалёнку», так и для работодателей. Один из важнейших минусов для работодателя — трудно предотвращать утечки информации, а также контролировать соблюдение рабочего времени.

Но прежде чем разбирать технические и другие проблемы, возникающие при переводе сотрудников на «удалёнку», необходимо выяснить: а кого же можно перевести на дистанционную работу без ущерба для деятельности предприятия?

Ответ вполне прост: всех тех, для кого рабочими инструментами являются клавиатура, «мышка» и монитор, а средой работы — информация. Иными словами — как минимум 90 % офисного персонала: юристов, планово-экономические службы, дизайнеров, маркетологов, PR-специалистов, системных администраторов (тех, кто занят не технической поддержкой пользователей, а работой с серверными группировками). Даже разработчиков программного обеспечения — и тех можно перевести на удалённую работу, необходимо лишь обеспечить их вычислительными ресурсами и средой тестирования. И кроме технических, юридических и прочих проблем в этом случае в полный рост встанет проблема учёта рабочего времени: чем занимается сотрудник на «удалёнке» — решением задач, поставленных перед ним, или, допустим, просмотром кинофильма, только что скачанного из интернета, на экране корпоративного ноутбука.

А для некоторых профессий работа удалённо — вообще не исключение, а правило: например, для журналистов-аналитиков, задача которых — сдать статью нужного объёма на заданную тему в определённый срок. Здесь, по сути дела, контроль соблюдения рабочего времени и не нужен: он осуществляется по факту завершения задания, выданного руководством.

Естественно, в случае удалённой работы необходимо создать (или сохранить) единое коммуникационное пространство, возможность проводить встречи и совещания, работать с общими документами, предоставить сотрудникам доступ ко внутренним информационным системам и вычислительным ресурсам предприятия. Потребуется также управление задачами, поставленными перед сотрудниками. И, естественно, нельзя забывать о вопросах информационной безопасности: предотвращение утечек информации по-прежнему остаётся актуальным, поэтому целесообразным будет применение тех же программных комплексов контроля рабочего времени и предотвращения утечек информации (DLP-систем), что применяются и в офисных сетях — в частности, StaffCop Enterprise.

Начнём рассмотрение проблем, возникающих при организации удалённой работы, с технических затруднений: как правило, именно они являются основным «камнем преткновения».

Наиболее простым способом обеспечить работу сотрудников на «удалёнке» в полном объёме, очевидно, будет следующее: необходимо в точности сохранить ту информационную среду, которая была до перехода на дистанционную работу, т. е. предоставить сотрудникам те же информационные ресурсы, которыми они пользовались в офисе. При таком способе можно предложить три сценария организации работы на «удалёнке».

Сценарий № 1: использование техники в офисе

В этом сценарии вся офисная техника остаётся на месте, причём во включённом состоянии. Сотрудники подключаются к своим рабочим станциям с помощью либо стандартных RDP-средств (например, mstsc.exe от Microsoft), если это возможно, либо — что встречается гораздо чаще — продуктов третьих сторон (TeamViewer, AnyDesk и т. д.).

Этот сценарий имеет следующие плюсы:

  • нет перемещения техники — вся техника остаётся в офисе, сотрудники работают за своими домашними компьютерами;
  • нет необходимости вносить изменения в инфраструктуру — всё работает так же, как будто сотрудник находится в офисе.

Однако наряду с этими кажущимися такими заманчивыми достоинствами этот сценарий имеет минус, который сводит на нет все плюсы: при его использовании невозможно перевести на «удалёнку» службы информационных технологий и информационной безопасности — они должны обеспечить функционирование рабочих станций в офисе. Также на них полностью ляжет работа по обеспечению бесперебойной связи между домашними компьютерами сотрудников и офисными рабочими станциями, и даже по поддержке домашних компьютеров сотрудников (допустим, у кого-то не запускается TeamViewer, и это становится проблемой службы ИТ предприятия) — а это фактически двойная работа. Поверьте, шквал повторяющихся звонков от одного сотрудника с фразой «А я не могу подключиться к своей офисной машине!», хотя причина — всего лишь в том, что отчего-то (например, из-за броска напряжения) выключился и не может нормально запуститься домашний роутер, способен вывести из равновесия даже самых спокойных айтишников. А ведь надо и ещё основную работу выполнять!

И второй серьёзный минус этого сценария — в том, что все подключения к рабочим станциям при использовании TeamViewer, AnyDesk и похожих продуктов третьих сторон происходят через серверы этих приложений. Следовательно, эти подключения находятся вне контроля служб информационных технологий и информационной безопасности компании и могут оказаться небезопасными. Да, можно создать свой собственный сервер TeamViewer, что заманчиво; но, во-первых, быстро это не сделаешь, а во-вторых, при ближайшем рассмотрении это приводит к весьма большим расходам.

Поэтому, несмотря на всю заманчивость, сценарий № 1 не может быть рекомендован для практического использования.

Прежде чем рассматривать другие сценарии работы, необходимо привести несколько важных замечаний.

Во-первых, в данной статье не будет рассматриваться организация различных типов VPN (создаваемых как штатными средствами ОС, так и другими продуктами — например, OpenVPN — или с помощью аппаратных средств). Интересующихся автор отсылает к интернету, где с помощью поисковых систем можно найти любую информацию о VPN — от простейшего разъяснения «для чайников», что это такое, до рекомендаций опытным системным администраторам по организации VPN класса Enterprise, c многоуровневой аутентификацией, устойчивым динамическим шифрованием, доверенными сертификатами и т. д., как с аппаратной реализацией, так и с программной. Итак, для нас в дальнейшем просто существует некая стабильно работающая VPN, без подробностей относительно того, как конкретно она организована.

Во-вторых, не будут также даваться рекомендации о том, с помощью каких средств и как выполняется настройка маршрутизаторов в части организации VPN-сервера или перенаправления трафика со входного внешнего TCP/IP-порта на IP-адрес и TCP/IP-порт сервера в локальной сети. Интересующихся автор отсылает на «курс молодого бойца» сетевого администрирования, ибо это — те азы работы сетевого администратора, которые должны быть освоены едва ли не в первую очередь. Итак, для нас в дальнейшем просто существует некий стабильный маршрутизатор компании, на котором настроен VPN-сервер и выполняется перенаправление трафика со внешних портов в локальную сеть.

В-третьих, вопросы мониторинга работы пользователей и контроля / предотвращения утечек информации будут рассматриваться на примере программного комплекса StaffCop Enterprise, разработанного новосибирской компанией «Атом Безопасность». Можно утверждать, что функционирование аналогичных программных комплексов других производителей организуется если не точно так же, то очень похоже.

Сценарий № 2: подключение по VPN

При использовании этого сценария вся офисная техника «переезжает» к сотрудникам домой и подключается к сети предприятия по VPN.

Этот сценарий имеет следующие плюсы:

  • сотрудник работает так, как будто находится в офисе (за исключением печати документов), службы информационных технологий и информационной безопасности имеют удалённый доступ к рабочим станциям сотрудников точно так же, как это было в офисе (естественно, за исключением того, что для подключённых по VPN рабочих станций сетевые администраторы, как правило, выделяют другой пул адресов; но при стабильно работающих доменных службах DNS это не должно вызывать проблем — рабочая станция корректно «находится» в сети по своему имени);
  • нет необходимости использовать личный компьютер для выполнения работы;
  • отсутствует необходимость дополнительной настройки приложений.

Минусы использования этого сценария существуют, но их влияние можно вполне просто уменьшить:

  • служба ИТ должна произвести предварительную настройку VPN на всех рабочих станциях и основном маршрутизаторе компании, а также создать резервные VPN-каналы. Но для опытных специалистов это не так сложно, к тому же — может быть сделано заблаговременно;
  • дополнительные расходы на логистику. Если у компании есть своя служба логистики, то это не является значимой проблемой; к тому же можно предложить сотрудникам, у которых есть личные автомобили, самим отвезти рабочие станции домой. Поверьте, многие не просто сделают это с радостью, но ещё и помогут «безлошадным» коллегам;
  • необходимость проверки работоспособности офисной рабочей станции после установки. Кажется, что это сложно, но в 99 случаях из 100 такая проверка проходит успешно: сотрудники сами знают, «что куда воткнуть, чтобы заработало».

Итак, офисная машина «переехала», сотрудник работает, и возникают проблемы контроля рабочего времени, а также предотвращения утечек информации.

В случае использования программного комплекса StaffCop Enterprise схема работы в самом упрощённом виде может быть представлена следующим образом (рис. 1).

 

Рисунок 1. Схема организации удалённой работы сотрудников по сценарию № 2

Схема организации удалённой работы сотрудников по сценарию № 2

 

Мы видим, что офисные рабочие станции подключаются с помощью VPN-клиента к серверу VPN на маршрутизаторе компании и сотруднику предоставляются все информационные и вычислительные ресурсы точно так же, как будто он работает непосредственно в офисе. Агент StaffCop Enterprise «видит» сервер и передаёт на него информацию в полном объёме напрямую, но ровно до тех пор, пока подключение к офисной сети через средства организации VPN активно: как только соединение будет разорвано, агент «потеряет» сервер и будет вынужден «складировать» собираемую им информацию локально на рабочей станции сотрудника.

То, какой объём информации сохранит агент, как часто он будет «искать» сервер и какими пакетами он будет передавать информацию, когда установит с ним связь, может быть настроено в конфигурации агента, что весьма подробно изложено в документации по использованию программного комплекса StaffCop Enterprise.

Очевидно, что для администраторов информационной безопасности большая задержка в получении сведений о событиях может оказаться неприемлемой. В этом случае программный комплекс StaffCop Enterprise предлагает альтернативное решение. Даже тогда, когда VPN-соединение неактивно, агент StaffCop Enterprise «найдёт» сервер и передаст на него собранные данные, несмотря на то что серверы офисной сети для рабочей станции недоступны. Правда, для этого сетевым администраторам необходимо будет заблаговременно выполнить ряд настроек.

Во-первых, понадобится убедиться, что у маршрутизатора компании имеется статический «белый» адрес. Как ни странно, многие предприятия сейчас отказываются от такого способа подключения к интернету, но только наличие статического «белого» адреса в данном сценарии может гарантировать непрерывность передачи данных от агентов на сервер. Если такого адреса у компании нет, его нужно приобрести у провайдера заранее. Можно, конечно, попробовать обойтись и без статического «белого» адреса — например, используя сервис динамических DNS-имён типа No-IP или CloudNS; но, во-первых, бесплатные сервисы имеют значительные ограничения, а во-вторых, их надёжность, к сожалению, оставляет желать лучшего: иногда имя «забывается» сервисом и связь пропадает.

Во-вторых, на маршрутизаторе компании нужно настроить перенаправление трафика с заранее выбранного внешнего номера TCP/IP-порта (автор статьи рекомендует использовать легко запоминаемый номер из динамической зоны портов, например 44344) на IP-адрес сервера StaffCop Enterprise в локальной сети и на номер TCP/IP-порта 443, который используется сервером для приёма данных от агентов. При необходимости этот порт может быть изменён для бо́льшей безопасности.

В-третьих, на агентах необходимо либо с помощью утилиты удалённой установки, входящей в поставку StaffCop Enterprise, либо посредством редактора реестра Windows изменить значение ключа соответствующей ветви реестра, прописав IP-адрес и номер порта резервного сервера StaffCop для подключения агента. IP-адресом резервного сервера будет «белый» IP-адрес маршрутизатора компании, а номером TCP/IP-порта — тот, который выбрали сетевые администраторы (в нашем примере — 44344). Тогда фрагмент экрана утилиты удалённой установки агента StaffCop будет выглядеть так, как показано на рис. 2 (фрагмент окна редактора реестра Windows автор приводить по понятным причинам не будет, операцию можно выполнить сразу на всех рабочих станциях офиса, например с помощью доменной групповой политики).

 

Рисунок 2. Настройка резервного сервера для агента с помощью утилиты удалённой установки

Настройка резервного сервера для агента с помощью утилиты удалённой установки

 

Собственно, всё. В этом случае агент будет держать постоянное соединение с сервером StaffCop Enterprise, переключаясь автоматически с адреса на адрес и с порта на порт в зависимости от того, подключено VPN-соединение или нет. Можно будет «на лету» изменять конфигурацию агента, события будут поступать непрерывно. Также будет возможен просмотр рабочего стола сотрудника в режиме реального времени.

При организации работы по данному сценарию надо учитывать, что происходит физическое перемещение рабочих станций за охраняемый периметр. Поэтому служба ИБ компании должна убедиться, что на жёстких дисках рабочих станций, передаваемых сотрудникам, не содержится сведений, которые подпадают под критерии коммерческой тайны и конфиденциальной информации. С особой осторожностью следует отнестись к персональным данным — очень часто бывает, что на рабочих станциях сотрудников финансовых и юридических служб хранятся выгруженные отчёты по зарплатам или адреса проживания людей с домашними телефонами. Перемещение таких данных за охраняемый периметр абсолютно недопустимо, так как возможна неконтролируемая утечка информации. Службе ИБ следует обязательно обратить на это внимание.

Сценарий № 3: концепция BYOD

Сценарий № 3 характеризуется тем, что никакие рабочие станции из офиса никуда не перемещаются. Они выключаются, причём так, чтобы их нельзя было включить удалённо: функция Wake-On-LAN (запуск рабочей станции по сети) должна быть деактивирована.

Сотрудники работают из дома, но на своих личных домашних компьютерах, которые используются исключительно как терминалы удалённого доступа: вся работа проходит на сервере терминалов, который организуется в серверной группировке компании.

Упрощённо схема работы в этом случае может быть представлена следующим образом (рис. 3).

 

Рисунок 3. Схема организации удалённой работы сотрудников по сценарию № 3

Схема организации удалённой работы сотрудников по сценарию № 3

 

В данном сценарии не играет роли то, каким образом выполняется подключение к серверу терминалов: можно организовать VPN-соединение, подключаться к маршрутизатору компании и после этого — по протоколу Microsoft RDP к серверу терминалов в локальной сети, или же напрямую по протоколу Microsoft RDP на внешний («белый») адрес маршрутизатора с пробросом трафика на TCP/IP-порт сервера терминалов (стандартный номер TCP/IP-порта — 339, для внешнего адреса можно порекомендовать номер TCP/IP-порта 33933).

Все приложения, которые требуются пользователям, при работе по этому сценарию устанавливаются на сервере терминалов. Работа может быть организована различным образом — либо с помощью удалённого рабочего стола, либо посредством механизма публикации приложений сервера терминалов Microsoft (технология RemoteApp). Агент устанавливается на сервер терминалов и отправляет информацию о работе пользователей по локальной сети организации. В этом случае сервер StaffCop Enterprise может вообще не иметь выхода в сеть «Интернет», так как собираемая информация о событиях не покидает охраняемый периметр.

Важнейшие плюсы такого сценария — следующие:

  • вся работа сосредоточена в одном месте, есть единый центр управления и мониторинга;
  • на личном домашнем компьютере сотрудника не сохраняется никакая служебная информация (за этим проследит агент, работающий на сервере), личный домашний компьютер используется исключительно как терминал удалённого доступа;
  • вся информация, собранная агентом, не передаётся через сеть «Интернет», а остаётся внутри локальной сети компании — охраняемого периметра.

Главный минус работы по данному сценарию — в том, что сервер терминалов при большом числе сотрудников потребует значительных аппаратных ресурсов, а также дополнительного лицензирования ОС, приложений и агента StaffCop. Кроме того, на сервере должны быть установлены все приложения, необходимые пользователям. И, конечно, необходима настройка маршрутизатора — организация VPN-сервера или «проброс» трафика с внешнего TCP/IP-порта на TCP/IP-порт 339 сервера терминалов.

Мы рассмотрели наиболее вероятные сценарии работы сотрудников на «удалёнке». Возникает законный вопрос: какой из двух вариантов выбрать (как уже говорилось выше, сценарий № 1 мы не рассматриваем в силу того, что и по безопасности, и по сложности поддержки его можно признать неудачным)?

Истина, как всегда, лежит где-то посередине. Для сотрудников, работа которых не выходит за рамки большинства офисных приложений и комплекса программ 1С, наиболее разумным будет применить сценарий № 3 — с терминальным сервером: сервер терминалов Microsoft «заточен» под такое разделяемое программное обеспечение. А вот для сотрудников, работа которых предусматривает использование ресурсоёмких приложений (конструирование, проектирование — AutoCAD, ArchiCAD, nanoCAD, 3D КОМПАС и тому подобные приложения) разумным будет применение сценария № 2: сотрудники будут работать в своей привычной среде, не потребляя «общественные» ресурсы.

При организации удалённой работы следует уделить дополнительное внимание обеспечению защищённого доступа к ресурсам компании. Поэтому при использовании как VPN-сервера, так и механизма проброса портов нужно ограничивать доступные подключения; разумно ввести такую же проверку и на сервере терминалов, чтобы подключение с несанкционированной рабочей станции было невозможно в принципе. Доступ должен быть организован так, чтобы подключения и ресурсы были доступны только с определённых рабочих станций и определённых IP-адресов; с остальных машин и адресов доступ должен блокироваться — это вполне просто организовать настройкой шлюзов, маршрутизаторов и серверов, создав «белые списки» допустимых подключений.

Но этот вопрос больше относится к компетенции отдела информационных технологий предприятия, нежели к обязанностям отдела информационной безопасности — за последним сохраняется только задача контроля того, правильно ли организован доступ.

Следующий важный фактор организации удалённой работы — это обеспечение бесперебойной связи как между сотрудниками, так и между персоналом и клиентами. Кажется, будто нет ничего проще: операторы подвижной связи обеспечивают соединение в большинстве точек планеты, а там, где нет мобильной сети, возможно использование спутниковых телефонов.

Однако данный способ связи нельзя считать надёжным, так как проконтролировать этот канал весьма сложно даже в том случае, если сотрудники пользуются корпоративными номерами и телефонными аппаратами: записывать и прослушивать переговоры по мобильной связи могут исключительно правоохранительные органы и только по решению суда.

Выходом в этом случае может быть использование IP-телефонии и т. н. «софтофонов» — специальных приложений (например, Mango Talker), которые устанавливаются на рабочие станции или смартфоны. Запись переговоров осуществляет телефонная станция, контролируемая как отделом информационных технологий, так и отделом информационной безопасности. Естественно, нужен соответствующий приказ руководителя предприятия, который предписывает вести все разговоры, касающиеся работы, только с помощью IP-телефонии и предупреждает сотрудников о возможной записи этих разговоров.

Работа в удалённой среде имеет и юридические особенности.

Если персонал применяет офисные рабочие станции, то необходимо оформить передачу оборудования сотруднику на ответственное хранение и использование, причём аппаратная конфигурация офисной машины (с серийными номерами оборудования) и перечень установленного ПО должны быть указаны в акте приёма-передачи, чтобы исключить злоупотребления со стороны нечестных сотрудников. Возможность сбора информации об оборудовании и программном обеспечении, которая имеется в конфигурации агента StaffCop Enterprise (раздел «Инвентаризация»), может помочь в этом.

 

Рисунок 4. Инвентаризация ПО и «железа» в StaffCop Enterprise

Инвентаризация ПО и «железа» в StaffCop Enterprise

Инвентаризация ПО и «железа» в StaffCop Enterprise

Инвентаризация ПО и «железа» в StaffCop Enterprise

 

Если же сотрудники работают на своих личных (домашних) компьютерах, то очевидно, что в данном случае может произойти — да и происходит почти всегда — смешивание личной информации (фотографии, видео и т. д.) с рабочей. Тогда при использовании упомянутых выше программных комплексов для мониторинга работы пользователей произойдёт загрузка личной информации сотрудника в корпоративное хранилище, что, очевидно, недопустимо без письменного согласия: личные данные охраняются действующим законодательством. Поэтому перед установкой подобного программного обеспечения на личный (домашний) компьютер сотрудника необходимо получить от последнего такое согласие.

Также следует дополнением к трудовому договору зафиксировать изменение формата занятости с обязательного присутствия в офисе на присутствие по желанию. Это станет гарантией нахождения вне офиса в рабочее время, т. е. установит, что пребывание сотрудника дома — это именно удалённая работа, а не прогул, который может являться основанием для увольнения.

Немаловажное значение имеют и психологические аспекты удалённой работы.

Что греха таить, не секрет, что очень часто сотрудники воспринимают удалённую работу как оплачиваемый отпуск: раз руководства рядом нет, то можно и «пофилонить». Большое значение здесь имеют личность и авторитет руководителя — например, когда работники на «удалёнке» чувствуют, что руководитель «держит руку на пульсе» (ставятся задачи, требуются отчёты, составлен и выполняется план-график реализуемых проектов и т. д.), хотя ежедневных встреч с ним нет.

Этот вопрос можно решить и с помощью различных средств контроля, которые предоставляет вам выбранная система мониторинга. Давайте рассмотрим, каким образом мы можем контролировать сотрудников с помощью StaffCop Enterprise, чтобы их работа на «удалёнке» была эффективной и психологически комфортной.

Первая линия поддержания эффективности — это учёт рабочего времени. Поскольку об учёте рабочего времени в StaffCop Enterprise написана целая статья, вы можете ознакомиться с ней, чтобы составить представление о возможностях продукта в этом направлении. Главное — вы должны помнить, что задача системы УРВ — не только наказать тех, кто пользуется «удалёнкой» для того, чтобы вдали от руководства предаваться неге, но и разгрузить тех, кто завален работой, и наградить тех, кто отлично справляется.

 

Рисунок 5. Пример отчёта по продуктивности

Пример отчёта по продуктивности

 

В StaffCop Enterprise вы можете составить «белый» список разрешённых к использованию сайтов и приложений.

 

Рисунок 6. «Белый» список

«Белый» список

 

Это особенно удобно, когда сотрудник пользуется выделенным рабочим местом. Тогда вы можете не беспокоиться о том, что во время рабочего дня он будет занят решением только своих личных вопросов.

Следующая возможность, которая очень нравится руководителям, — это удалённый просмотр рабочих столов сотрудников.

 

Рисунок 7. Удалённый просмотр рабочих столов сотрудников

Удалённый просмотр рабочих столов сотрудников

 

В любой момент времени вы подключаетесь, чтобы увидеть, чем занят конкретный сотрудник или даже целый отдел, и можете сразу принимать решения.

Не менее важным является контроль переписки, т. к. это позволяет отслеживать настроения в компании, а также отношение сотрудников к начальству и к своей работе.

 

Рисунок 8. Выявление «опасных» разговоров с помощью имеющихся словарей

Выявление «опасных» разговоров с помощью имеющихся словарей

 

Всегда важно вовремя реагировать, если в компании возникают конфликты или недовольство. Также это позволяет контролировать то, какую информацию сотрудники сообщают во время переписки в мессенджерах: что, если кто-то из них болтает лишнее?

Также вам нужен контроль файлов — чтобы знать, что важные документы не «утекут» в сеть. Отлично с этим справится функция блокировки файлов по содержимому.

 

Рисунок 9. Блокировка файлов по содержимому

Блокировка файлов по содержимому

 

Задавая образец содержимого, вы сможете быть уверены, что важные файлы не уйдут в «свободное плавание» ни специально, ни случайно. Всякое бывает, но в нашей работе нет места случайностям. Всегда необходим комплекс мер, способный предотвратить любое неблагоприятное развитие событий.

Очевидно, что при дистанционной работе сотрудников компании число потенциальных каналов утечки информации увеличится. Поэтому можно выделить следующие особенности работы ИБ-отделов компаний при организации «удалёнки»:

  • Отдел информационной безопасности должен убедиться в том, что все подключения по протоколам удалённого доступа (VPN, Microsoft RDP и т. д.) выполняются безопасно, с использованием соответствующих непросроченных сертификатов, шифрования, сложных паролей (например, не менее 8–16 символов длиной) и т. д. По возможности следует применять системы одноразовых паролей или регулярно (обычно — раз в месяц, но можно и чаще) менять многоразовые, при этом используя технологии генерации сложных паролей.
  • Необходимо убедиться в том, что офисные рабочие станции и носители, передаваемые сотрудникам, не содержат сведений подпадающих под регламенты коммерческой тайны и конфиденциальной информации (включая персональные данные сотрудников).
  • Необходимо убедиться в том, что конфигурации агентов обеспечивают сбор необходимой информации о работе пользователей, а также блокировку нежелательных приложений и доступа к запрещённым сайтам.
  • При работе в офисе сотрудник отдела ИБ имеет возможность под любым предлогом пройти по офису и посмотреть на мониторы сотрудников. Очевидно, что при работе на «удалёнке» это невозможно, поэтому необходимо удостовериться, что дистанционный просмотр рабочих столов пользователей включён.

Кроме контроля за деятельностью сотрудников отдел информационной безопасности вместе с отделом информационных технологий должен организовать обучение персонала основам борьбы с угрозами, в том числе и в приложении к удалённой работе. Необходимо ознакомить людей с фишингом, наиболее часто встречающимися «трюками» кибермошенников, правилами задания паролей, основами антивирусной безопасности. Каждый сотрудник должен знать, с какими угрозами он может столкнуться, и чётко представлять себе, что в случае атаки мишенью может стать не только он, но и компания, поскольку офисная рабочая станция (или личный компьютер, в случае его использования в качестве терминала удалённого доступа) является прямым «мостом» в корпоративную сеть.

Выводы

Перевод сотрудников на удалённую работу является важной частью работы компании, особенно в нынешнее время. Нет необходимости этого бояться — это открывает новые возможности и перспективы.

Другое дело, что подходить к этому вопросу нужно взвешенно и грамотно — только в этом случае вы избежите серьёзных проблем. Ведь важны не только удобство, но и сохранение принципов информационной безопасности, а также комфорт и эффективность сотрудников. Для обеспечения этого нужно использовать систему контроля и мониторинга — в статье мы привели пример со StaffCop Enterprise, которая обладает большим набором функциональных возможностей, охватывающих потребности компании.

Вы всегда можете провести эксперимент — перевести часть сотрудников на «удалёнку», установить StaffCop Enterprise и увидеть, как это всё работает. Со своей стороны напоминаем, что вы можете бесплатно в течение месяца попробовать StaffCop Enterprise на нужном количестве компьютеров и с полным набором функций.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru