Библиотека управления

Office, go home!

Светлана Ханинаева Журнал «Секрет Фирмы», № 1–2 за 2009 год

По данным исследования, проведенного в 2007 году PricewaterhouseCoopers, среднестатистическая компания в России ежемесячно тратит на одного сотрудника $112 тыс. Существенную часть этой суммы составляет плата за аренду помещения. Вдвое урезав площадь офиса и переведя его, скажем, из центра столицы поближе к МКАД, можно сократить арендные расходы вчетверо. Одновременно организация начинает меньше тратить на поддержку организационной структуры. Однако для этого нужно часть сотрудников перевести на удаленный режим работы, так называемый телекомьютинг (от англ. to commute — «ездить на работу»). Наиболее эффективным подобное решение оказывается в организациях с отлаженными бизнес-процессами, когда каждый сотрудник четко знает, что и к какому сроку он должен сделать.

В первую очередь руководству компании необходимо решить, кого из сотрудников можно безболезненно отправить по домам, а без кого офис не обойдется. Задача ИТ-директора в этой ситуации — обеспечить бесперебойную связь «домоседов» с организацией, не забыв об информационной безопасности.

Право на вход

В первую очередь нужно определить, как человек попадет в сеть компании. Доступ можно ограничить строго определенным устройством — например, позволить работу исключительно с корпоративного ноутбука, где установлены последние обновления операционной системы и антивирусных программ. ИТ-специалисты компании должны иметь доступ к «домашним» компьютерам в режиме дистанционного управления рабочим столом, чтобы осуществлять администрирование на расстоянии. Еще один вариант контроля за сторонним доступом в корпоративную сеть — устройство персональной идентификации, скажем, eToken. Цена такого решения невысока: «аппаратная» часть — приборы, вставляемые в USB-порт, стоят от $30 за штуку, а на серверной стороне аутентификацию совершает приложение под управлением Microsoft Windows Server.

Другое распространенное решение — сервер сертификатов в аппаратном варианте, когда доступ обеспечивает устройство с ЖК-дисплеем и динамически изменяющимся ключом из цифр. Этот метод обеспечивает высокий уровень безопасности, однако он существенно дороже: сервер и лицензии (обычно на несколько лет) в среднем стоят $10 тыс., а расходы на каждого сотрудника составят еще около $100.

Сотрудник ИТ-службы, кроме того, должен четко понимать, какие ресурсы использует работающий в удаленном режиме. К таким ресурсам могут относиться как внутрикорпоративные (папки и файлы, базы данных), так и внешние источники (FTP-серверы, сайт компании). Каждый подобный ресурс требует соответствующей политики безопасности — например, очевидно, что соединение с любым корпоративным сервером должно происходить по зашифрованному каналу.

На страже

Существуют две распространенные технологии, основанные на принципе VPN (Virtual Private Network — виртуальная частная сеть). Они позволяют организовать удаленный доступ в корпоративную сеть, одновременно сделав его безопасным. Использовать их компания может по сути бесплатно: если в штате есть опытный системный администратор, настроить соединение по протоколам не составит большого труда. Однако для аутентификации потребуется ПО стоимостью несколько сотен долларов.

Первый претендент на должность хранителя корпоративных секретов — технология IPSec VPN, предполагающая шифровку всех пакетов данных и их аутентификацию. Кроме того, в начале и конце сессии клиент и сервер обмениваются криптографическими ключами. Поскольку речь идет о низкоуровневой технологии, обеспечивающей при этом большой трафик, реализация виртуальной сети через IPSec используется особенно часто.

Существует технология SSL — еще один метод шифрования, с помощью которого легко реализовать защищенное удаленное соединение. Ее поддерживают все современные приложения, предназначенные для передачи данных, — браузеры, почтовые клиенты, программы для доступа к FTP и т.д. «Необходимо помнить, что безопасность — это слоеный пирог из технологий, оборудования и персонала, объединенный корпоративной политикой и инструментами управления. Только с помощью гибкого применения различных технологий можно обеспечить адекватный уровень защищенности данных», — подчеркивает Дмитрий Скомаровский, управляющий партнер консалтингового бюро «Практика безопасности». По его словам, если сотрудник использует ноутбук или смартфон, SSL позволяет и сохранять мобильность, и устанавливать безопасное соединение вне зависимости от местонахождения человека. «При доступе в корпоративную сеть в других случаях целесообразнее использовать IPSec», — уточняет эксперт.

Сигнал опасности

Организация защищенного канала — важный, но не единственный шаг к обеспечению безопасности. Следующий этап — организация систем предупреждения и обнаружения несанкционированных вторжений.

Часто можно встретить мнение, что в компании необходима либо IDS (Intrusion Detection System — система обнаружения вторжения), либо IPS (Intrusion Prevention System — система предупреждения вторжения). На деле же такие защитные меры не являются взаимозаменяемыми, поскольку служат разным целям. Система обнаружения вторжения пассивна: фактически IDS действует как охранная сигнализация и срабатывает лишь в случае подозрительных действий со стороны находящегося в сети работника или опасности несанкционированного доступа. IPS, напротив, является аналогом «полицейского»: если система решит, что действия на каком-либо участке корпоративного периметра безопасности противоречат правилам, нарушитель может быть отключен или заблокирован. И IDS, и IPS-системы чаще всего поставляются в аппаратном варианте, хотя возможна и реализация подхода с помощью программных решений. «В условиях удаленной работы сотрудников, когда все документы компании могут быть доступны извне, необходимо позаботиться о должной защите таких ресурсов, — говорит Тарас Пономарев, управляющий партнер консалтингового бюро «Практика безопасности». — Кражи данных чаще всего происходят именно при отсутствии в компании IDS/IPS-систем».

Без драки за ресурсы

Когда сотрудники физически находятся в пределах одного кабинета, им достаточно легко разделить доступ к документам. При удаленной работе задача осложняется: одновременное изменение документа несколькими пользователями с последующей загрузкой на сервер может привести к порче данных. К счастью, существуют программные решения, позволяющие организовать совместную работу без конфликта доступа: так, все популярные программы бухучета, системы управления базами данных или процессами (ERP) имеют возможности для совместной работы. Такой подход исключает конфликты данных и потерю важной информации. Поэтому, безусловно, при выборе очередного ИТ-решения для бухгалтерии или финансового департамента имеет смысл рассматривать именно те из них, которые отвечают критериям организации удаленного доступа.

Существует и альтернативный вариант — недавно открытый корпорацией Google сервис Google Docs. Он позволяет загрузить документ и открыть доступ к нему лишь ограниченному списку пользователей. Однако этот сервис защищен только логином и паролем и не гарантирует конфиденциальности данных.

Впрочем, как отмечает вице-президент АКБ «Таврический» Иван Кузнецов, при разработке стратегии конфиденциальности важно не упускать из виду самих сотрудников, которые по тем или иным причинам могут оказаться в компании слабым звеном: «В корпоративной безопасности ключевым является человеческий фактор, а использование и контроль технических устройств вторично и по сути не стратегический, а тактический вопрос».

Глаз да глаз

Удаленная работа позволяет мотивировать сотрудника нефинансовыми методами, ведь у него высвобождается время, уходившее на ежедневные поездки в офис. Как отмечают специалисты по HR, работник в этом случае может согласиться даже на незначительное снижение оплаты своего труда.

Однако как контролировать «домоседа», ведь отсутствие дамоклова меча в виде начальника расслабляет. Существуют программы, позволяющие засекать время, затраченное на задачу, однако лучший вариант — регулярные отчеты работника непосредственному руководителю. Кроме того, в офисе все равно должна быть переговорная, где сотрудники подразделений станут (желательно раз в неделю) встречаться со своими руководителями. Потому что телекомьютинг телекомьютингом, но благодарность или выволочку в режиме «глаза в глаза» никто не отменял.