Удаленная работа — не просто тренд, но и вечная головная боль для безопасников и специалистов по персоналу. Многие сотрудники Бастиона работают удаленно, и мы на собственном опыте убедились, что защита информации в таких условиях — это комплексная задача, охватывающая технологии, корпоративную культуру и психологию сотрудников. 

Сегодня расскажем, как в Бастионе подходят к созданию безопасной и продуктивной рабочей среды для удаленщиков. Выясним, почему чрезмерный контроль может быть неэффективным, зачем безопасникам поддерживать командный дух, и почему важно защищать корпоративные данные без ущерба для удобства работы. В общем, посмотрим на проблему удаленки и с позиций HR, и с точки зрения ИБ.

Удаленка глазами рекрутера

Альбина Семушкина

Руководитель отдела рекрутинга Бастиона

Помните фотографии с видами бассейнов и пляжей, с помощью которых раньше рекламировали вакансии на удаленке? Обычно на таких красовался счастливый сотрудник в шезлонге, подглядывающий в ноутбук с коктейлем в руке. Конечно, есть люди, которые говорят, что у них все так и есть, но таких меньшинство. 

Для большинства же удаленка означает стол на кухне в съемной квартире, рабочее место в углу гостиной, столик в шумной кофейне, если повезет — место в коворкинге или коливинге. Тем не менее, по нашей внутренней статистике 90% кандидатов ищут полную удаленку, 7% предпочитают гибрид, и только 3% соискателей хотят посещать офис ежедневно, чтобы иметь возможность быстро подойти к коллеге и решить вопрос, не дожидаясь «мита». 

Удаленка дает много преимуществ: для работодателя — доступ к талантам из разных регионов и стран, для сотрудника — work-life balance, снижение уровня стресса, гибкость. Но в целом складывается впечатление, что с распространением remote work люди стали чаще менять место работы. Снизилась лояльность к компании и работе в целом. Как раз во время пандемии начался «бум» частой смены работы. Больше не нужно идти к руководителю, смотреть ему в глаза и просить подписать заявление об увольнении; созвонился в условном Zoom, подписал заявление через ЭДО — и через 14 дней ты уже на новом месте.

Да, удаленка позволяет сэкономить деньги и время на проезд, проводить больше времени с семьей, совмещать работу в нескольких проектах или заниматься бытом, но у всех плюсов есть своя цена как для сотрудников, так и для компании. И порой эти издержки удаленки перевешивают любые плюсы.

Цена безопасности

Николай Клендар

Директор по информационной безопасности Бастиона

На мой взгляд, обеспечение информационной безопасности — один из основных технических вызовов удаленной работы. 

Все по-разному подходят к организации удаленного доступа. В одних компаниях сотрудникам разрешают работать с личных устройств, в других удаленный доступ возможен только с корпоративных ноутбуков.

При использовании личных устройств компания не может быть уверена в их безопасности: всегда есть риск, что кто-то из сотрудников установит приложение с критической уязвимостью, или, например, откажется от важного обновления операционной системы, призванного закрыть такую уязвимость. Еще с личных устройств вряд ли получится централизованно собирать телеметрию — из-за этого информация об инцидентах может вообще не доходить до ИБ-департамента. 

В компаниях уровня enterprise удаленные сотрудники по-хорошему должны работать исключительно на корпоративной технике, оснащенной надежными средствами защиты. Для некоторых категорий сотрудников допустима работа с личных устройств при условии использования технологий типа VDI или других решений терминального доступа. В таких системах пользователь отправляет только команды клавиатуры и мыши, а получает изображение рабочего стола. 

Как итог, безопасная удаленная работа на корпоративной технике не всегда столь же комфортна, как работа на личном устройстве. При недостаточном бюджете или внимании со стороны IT-отдела сотрудники могут получить устаревшие или недостаточно производительные устройства. При плохом интернет-соединении VDI и технологии терминального доступа могут работать нестабильно и действовать на нервы. В комплексе эти неудобства могут попросту отбить у удаленщиков всю мотивацию.

Легкая мишень

Альбина Семушкина

Руководитель отдела рекрутинга Бастиона

А мне кажется, что основная проблема современной удаленной работы кроется в самоорганизации и балансе между работой и личной жизнью.

Домашняя обстановка и близость холодильника не способствуют рабочему настрою. Отсутствие необходимости выходить из дома и постоянная жизнь онлайн негативно влияют на здоровье и психологическое состояние. Стирание границ между работой и личным временем усугубляется тем, что у удаленщиков часто нет четкого окончания рабочего дня, которое в офисе совпадает с уходом домой.

В результате возникает ощущение отчужденности от команды, развивается выгорание и теряется интерес к работе и жизни. Выгоревший, дезориентированный сотрудник особенно уязвимым, например, к методам социальной инженерии. Люди поддаются на уловки мошенников не потому, что глупы, а из-за усталости и стресса, мешающих здраво оценить ситуацию. В таком состоянии сотрудники не только не могут нормально работать, но и быстро забивают на «занудные» правила информационной безопасности. Оторванность от коллектива, нерешенные конфликты и недостатки в работе HR-отдела в условиях удаленной работы могут усугубить ситуацию. Все это создает благоприятную почву для возникновения инсайдерских угроз.

Как помочь удаленщику адаптироваться на новом месте

Опыт организации удаленной работы показывает, что далеко не всем комфортно работать в таком формате. Поэтому еще на этапе знакомства с будущим сотрудником нужно выяснить, точно ли ему подходит удаленка. Был ли у него опыт удаленной работы в прошлом? Располагает ли домашняя обстановка? Как кандидат распределяет свое время в течение дня? Насколько он эффективен при письменной коммуникации, как работает с обратной связью и как ее предоставляет коллегам?

Чтобы помочь новым сотрудникам на удаленке с адаптацией и сплотить команду, можно внедрить систему активностей, которые помогут поднять боевой дух. В этом смысле корпоративы имеют ограниченную ценность: гораздо более эффективными оказываются более простые, но регулярные активности.

Хорошо работают чаты для неформального общения. Зная интересы сотрудников, в таких каналах можно организовывать небольшие онлайн-события. Например, наши матерые пентестеры с удовольствием делятся фотографиями домашних животных. Вроде бы мелочь, но она помогает увидеть за должностями и аватарками живых людей. Можно организовать совместные просмотры фильмов, клубы по интересам и другие мероприятия — это быстро и бесплатно.

Существует множество онлайн-активностей посложнее, от бизнес-игр до квизов и онлайн-квестов. Эти мероприятия не отнимают много времени, не нарушают рабочий процесс, но помогают наладить личные связи между сотрудниками и просто поднимают настроение. Наконец, удаленных сотрудников важно привозить на корпоративы и организовывать для них тимбилдинги.

А вот излишне контролировать сотрудников вовсе не обязательно. Стоит сосредоточиться на наставничестве, привлечении квалифицированных руководителей, грамотном распределении задач и внедрении удобных сервисов для управления проектами. Сотрудники, испытывающие трудности с удаленной работой, сами обнаружат себя — через срывы сроков или снижение качества работы.

Руководителям, работающим с удаленными сотрудниками, следует учитывать несколько важных аспектов:

• Поддерживайте постоянную обратную связь. Обсуждение результатов работы и простая человеческая благодарность важны для мотивации.

• Обращайте внимание на переработки, возникающие не по вине сотрудников. Компенсируйте их, отмечайте вклад и хвалите за дополнительные усилия — это стимулирует продуктивность.

• Проявляйте гибкость в отношении личных дел сотрудников. Если они могут отпроситься без негативной реакции, это поддержит их позитивное отношение к работе.

Хотя на первый взгляд это может показаться далеким от информационной безопасности, такой подход к управлению мотивирует сотрудников соблюдать правила и активно участвовать в ИБ-тренингах. Лояльность работодателя способствует лояльности сотрудников.

Как строить безопасность без ущерба для продуктивности

Николай Клендар

Директор по информационной безопасности Бастиона

Переходя к технической части, хочется проговорить базовый принцип: к устройству сотрудника, работающего на удаленке, нужно всегда относиться как к потенциальной точке входа злоумышленников в сеть компании. Поэтому очень важно оценить риски и обеспечить защиту таких устройств с учетом имеющихся ресурсов: 

• Настройте возможность удаленного доступа к корпоративной сети только с корпоративных устройств, оснащенных необходимыми средствами защиты. Убедитесь, что при VPN-подключении используется именно корпоративное устройство — у производителей VPN-концентраторов есть специальные решения для этих целей, но можно задействовать и отдельное.

• Чтобы собирать информацию об инцидентах и управлять политиками безопасности, желательно внедрить технологию постоянного VPN, устанавливаемого сразу при подключении устройства к сети.

• Защитите само VPN-подключение с помощью двухфакторной аутентификации.

• Создайте ролевую модель для сетевых доступов.

• Организуйте сбор телеметрии с рабочих станций. Подключите внутреннюю или внешнюю команду SOC для ее анализа, чтобы оперативно выявлять следы компрометации.

• Обеспечьте бесперебойную работу антивируса, задействуйте его дополнительные механизмы: локальный межсетевой экран, ограничение возможности запуска программ, особенно из профиля пользователя и временных директорий (сформируйте список исключений на базе категорий и свойств файлов);

• Если вы работаете с чувствительной информацией, внедрите DLP-систему с агентами, работающими на ноутбуках. Это позволит контролировать данные, которые передаются через интернет. Также потребуется организовать контроль доступа к мобильным накопителям: флешкам, записывающим устройствам, в том числе мобильным телефонам;

• Обеспечьте шифрование жестких дисков;

• Постарайтесь учесть, что при DDoS-атаке на сетевую инфраструктуру организации сотрудники могут лишиться удаленного доступа, и проработайте план действий на этот случай;

• Проработайте вопрос с белым списком интернет-ресурсов, доступных в обход VPN — к примеру, серверами системы ВКС. Не должно быть одновременной работы с внутренними корпоративными системами и прямым доступом в интернет в обход корпоративного NGFW/SWG с настроенными политиками доступа. 

Однако все меры безопасности будут малоэффективны, если они значительно усложняют работу сотрудников. Важно обеспечить персонал современными и правильно настроенными устройствами, использовать удобный формат  двухфакторной аутентификации, предоставить квалифицированную и оперативную техническую поддержку.

Иначе будет как на некоторых режимных объектах. Представьте: официально в офис даже флешку нельзя пронести. Там стоят опломбированные компьютеры с залитыми эпоксидной смолой портами на материнке, но на самом деле каждый второй системник спокойно открывается, а внутри к материнке подключена плата расширения.

Поэтому критически важно, чтобы меры безопасности минимально влияли на удобство работы сотрудников. В противном случае персонал будет систематически искать обходные пути, нарушая установленные правила ради банального удобства.

P.S. Благодарим Анастасию 3аднепрянскую за первоначальную идею и импульс для написания этого текста.