Veliko podjetij je ob izbruhu epidemije COVID-19 delo od doma uvedlo na silo – čeprav jim tega nikakor ne zamerim, jim vseeno svetujem, da sedaj stvari uredijo tako, kot je treba.
Ko je sredi marca Slovenijo zaustavila epidemija COVID-19, se je veliko podjetij odločilo, da bo zaposlenim omogočilo delo od doma. Nekatera so pri tem imela več, druga manj težav in izzivov. IT-podjetja in druga tehnološko naprednejša podjetja, ki so delo od doma prakticirala že pred epidemijo, večjih težav niso imela. Zaposleni imajo službene prenosnike in telefone, s katerimi se lahko varno povežejo na infrastrukturo v podjetju in dostopajo do informacij in drugih virov.
Podjetja, ki dela na daljavo prej niso prakticirala, so imela znatno več izzivov. Najprej so ugotavljala, kaj vse sploh potrebujejo. Razmišljati so morala o opremi, s katero delajo zaposleni. Jasno, najbolje je, da imajo službeni prenosnik, saj imajo v tem primeru vso (ali pa vsaj večino) ustrezno programsko opremo že naloženo, računalnik pa upravlja podjetje.
Naslednji je bil na vrsti način dostopa do virov v podjetju. Stroka priporoča varne povezave VPN za neposreden dostop do omrežja podjetja. In ker je delo od doma za ljudi, vajenih pisarniških stikov oziroma stikov s strankami, lahko precej osamljeno, je bilo treba poskrbeti še za rešitve za sestanke in sodelovanje na daljavo.
Do tu vse lepo in prav. A ker je večina podjetij hitela, je delala tudi nenamerne napake, ki jih je treba – po možnosti še preden delo na daljavo in od doma postane nova normalnost – čim prej odpraviti. Poglejmo kako.
Zastonj ni nujno najceneje
Zastonj kosila ni. O kakšnem zastonjkarstvu v času epidemije korona virusa je sploh govora? Poglejmo na področje videokonferenc. Cisco, Microsoft, Zoom in drugi ponudniki so se »izkazali« in podjetjem hitro priskočili na pomoč. Na voljo so dali brezplačne pakete, omogočili so konference z več udeleženci in odpravili ali omilili časovne omejitve, ki so bile prej prisotne v njihovih brezplačnih različicah storitev. Seveda so nekatere omejitve ostale rezervirane za plačljive storitve, kot so deljenje zaslona in datotek z udeleženci, soustvarjanje na dokumentih in druge.
Jasno je, da te rešitve ne bodo večno zastonj, zato morajo podjetja začeti iskati permanentne rešitve – da, tiste z naročnino. Storitve, ki bodo ostale brezplačne, bodo pač služile z našimi podatki. Preberite si enkrat določila in pogoje uporabe (EULA), s katerimi se strinjate ob namestitvi teh rešitev ali uporabi oblačnih storitev. Kdor ne želi, da se njegov video posnetek ali klic pojavita drugje, posebej če sta zaupne narave, bo resno razmislil o plačljivi rešitvi.
In te stroške je treba vračunati v delo na daljavo ter jih optimizirati. Pri oblačnih storitvah se lahko kaj hitro primeri, da podjetje plačuje mesečno naročnino tudi za storitve, ki jih zaposleni sploh ne uporabljajo. Večina ponudnikov namreč svoje storitve zaračuna po številu uporabnikov vsak mesec.
Kako zagotoviti varno delo od doma?
Pogosta slaba praksa, ki so jo mnogi uporabili pri hitenju z vzpostavljanjem dela na daljavo, je bila uporaba enakih poverilnic, ki jih zaposleni uporabljajo za prijavo v sisteme, tudi za VPN. Te je pogosto preprosto uganiti, kar s pridom izkoriščajo spletni napadalci. Uporabniška imena, sestavljena iz imena in priimka ter gesla, ki so kombinacija osebnih podatkov uporabnika, nikakor niso primerna.
Podjetjem vseh velikosti zato svetujem rabo rešitev za več faktorsko overjanje (MFA), saj ta znatno poveča varnost. Dostop do virov podjetja v tem primeru ni več zgolj z geslom, temveč se overimo preko (vsaj) dveh kanalov – nečesa, kar uporabnik ima (pametni telefon), in nečesa, kar ve (geslo). Sodobne rešitve za več faktorsko overjanje so uporabnikom že bolj prijazne, vsaj kar zadeva različne načine overjanja. Spremljajo še lokacijo in čas prijave, ter analizirajo vedenje uporabnika – ob prijavi iz istega računalnika morebiti ne bodo zahtevale gesla, ob prijavi iz druge države pa bodo takoj zahtevale dodatne informacije.
In ker je, vsaj v prehodnem obdobju, iluzorno pričakovati, da zaposleni ne bi uporabljali domačih računalnikov za dostop do virov podjetja, vam toplo priporočam rabo več varnostnih mehanizmov. Zaščita dokumentov, več faktorsko overjanje uporabnikov in povezave VPN so nuja. Podjetjem priporočam, da čim prej uredijo tudi klasifikacijo dokumentov (na primer na oznake interno, javno, zaupno), kar bo olajšalo njihovo zaščito in omejevanje dostopa do njih točno določenim uporabnikom.
Kibernetska varnost ni dogodek, je proces. Varnostni mehanizmi in metode so postavljeni zato, da upočasnijo napadalca ali da obupa nad nami in poišče lažjo tarčo. Ker je večina slovenskih podjetij majhnih, sploh gledano v svetovnem merilu, ne zaposlujejo varnostnih strokovnjakov. A vsako »resno« podjetje rabi vire/ljudi, ki skrbijo za kibernetsko varnost. V tem primeru jim lahko na pomoč priskoči varnostno-operativni center (poznamo ga pod angleško kratico SOC) s svojim storitvami.
Nujnost nadzora in upravljanja
Velik izziv za informatike je raba domačih računalnikov in tablic. Službeni prenosnik je v večini primerov upravljan in zanj skrbi oddelek IT. Uporaba informatikom neznanih naprav pa mimogrede povzroči vrsto dodatnih varnostnih razpok in tveganj. Podjetja so se praktično čez noč soočila z na stotine oddaljenimi lokacijami, priklopljenimi na internet. Takšnih, ki jih dopoldne uporabljata oče in mati, popoldne in zvečer pa otroci. To je treba čim prej urediti. Pa ne le vidik strojne opreme, temveč tudi programske opreme. Pristop »namestite si to in to ter delajte« ne pije vode, saj lahko podjetje mimogrede krši licenčno politiko ponudnika poslovne programske opreme in ni več skladno.
Alternativa, raba odprtokodne programske opreme, ki je brezplačna, pa lahko povzroča težave uporabnikom, ki tega niso vešči. Te težave se nato podaljšajo do oddelka IT, ki se mora ukvarjati še z izobraževanjem uporabnikov, kako naj takšno opremo uporabljajo. Kdorkoli pozna delo večjih oddelkov IT, ve, kako zahtevno je uvajanje in upravljanje sprememb.
Prav zato je pri snovanju delovnega okolja za delo na daljavo smiselno razmisliti o lahkih odjemalcih in terminalskih strežnikih oziroma infrastrukturi virtualnih namizij (VDI). Računalniki, na katerih od doma delajo zaposleni, so v tem primeru v podatkovnem centru podjetja, zaposleni pa imajo na voljo imajo enake vire, kot če bi sedeli v službi. Delajo v upravljanjem okolju, podatki pa ostanejo v podatkovnem centru oziroma na strežnikih podjetja.
Prednost okolja VDI je tudi, da zaposleni vedno dobi na zaslon svoje virtualno namizje (na vsaki napravi) in lahko nadaljuje z delom, kjer je končal. Prednosti za oddelek IT pa so še večje – okolje je upravljano, varno, lažje je zagotavljati podporo uporabnikom. Na dolgi rok je tudi cenejše, saj se podjetje izogne strošku nadgradnje ali zamenjave računalnikov, ki bi ga doletel vsakih tri do pet let.
Delo od doma v prihodnje
Koronakriza je pokazala, da veliko podjetij preprosto ni imelo virov, s katerimi bi lahko hitro uvedli delo od doma in na daljavo. Če bi poslovanje delno ali v celoti že delovalo iz računalniškega oblaka, bi bile stvari enostavnejše.
Svet doživlja velike spremembe, poslovni darvinizem je neizprosen in bo še najmanj prizadel bolj prilagodljiva podjetja. Prilagodljivost pa je na strani oblaka – v primerjavi z lastnim oddelkom IT.
Ob morebitni selitvi poslovanja v oblak naj podjetja razmislijo tudi o tem, kako bi v oblaku postavila celotno delovno mesto zaposlenih. Tako bo povsem vseeno, kje bodo zaposleni sedeli – v pisarni ali doma –, povsod bodo imeli na voljo isto delovno namizje in uporabniško izkušnjo.
Avtor: Robert Turnšek, Direktor tehnične strategije, NIL
Članek je bil izvorno objavljen v Časniku Finance. Obljavljamo z dovoljenjem.
Dobre prakse, ki jih velja obdržati tudi po Covid-19
V spletnem seminarju so NIL-ovi strokovnjaki predstavili dobre prakse za motivacijo zaposlenih, komunikacijo in sodelovanje ter podali nekaj nasvetov za izboljšanje IT-prakse in dviga nivoja kibernetske varnosti pri delu na daljavo.