Bezpieczeństwo pracy zdalnej

fot. Hush Naidoo / unsplash.com

Nowa normalność rzuca wyzwanie nam wszystkim, czy to w formie pracy zdalnej czy zasad dystansu społecznego, niekiedy radykalnie wpływając na naszą rutynę, wprowadzając niepokój i chaos. Czy istnieją praktyczne zasady adaptacji do życia w nowej normalności, takie z zarządzanymi kosztami i „ludzką twarzą”? Zapraszam do krótkiego podsumowania kluczowych zasad bezpieczeństwa nowej rzeczywistości.

 

Grypa sezonowa od zawsze jest problemem każdego pracodawcy, często zarządzanym mniej lub bardziej formalnymi planami ciągłości działania. Plany zastępstw, a szczególnie praca zdalna (tam gdzie to możliwe), to powszechne strategie postępowania w czasie sezonowej grypy. Szczególnie praca z domu, kiedy pracownik – jeśli tylko czuje się „na siłach” – może pracować, nie zarażając współpracowników, jest atrakcyjną taktyką przetrwania i minimalizacji strat w przypadku tego zagrożenia. Atrakcyjna zarówno dla pracownika, jak i pracodawcy, nawet jeśli jest obwarowana szeregiem prawnych wymogów, przy dobrej woli z obu stron – sprawdza się tak dobrze jak dojrzała jest kultura pracy w danej organizacji.

 

Z punktu widzenia bezpieczeństwa ogólnego (psychicznego, fizycznego i informacji) praca zdalna jest bezpośrednim (jakościowym i ilościowym) miernikiem kultury organizacji stosującej tę strategię.

 

Wiosna 2020 zawołała: „Sprawdzam!” w rynkowej grze o zachowanie ciągłości działania. W Polsce zastosowano (przynajmniej na początku) strategię młota i tańca rekomendowaną przez analityków i badaczy danych dotyczących pandemii COVID-19. Zamknięcie kraju, w tym miejsc pracy, było nie tylko szokiem finansowym, ale i kulturowym, szczególnie dla tych organizacji, w których kultura pracy ma formy dalekie od zalecanych standardów. Niektóre organizacje szybko migrowały do chmury, inne już tam były i albo fakt ten uzmysłowiły wszystkim pracownikom, albo jedynie zaktualizowały swoje procedury operacyjne.

Transformacja cyfrowa nie jest nowym trendem, jednak w jej przypadku sytuacja pandemii przyniosła efekt „selekcji naturalnej”. W tym kontekście, niepokojące może być spostrzeżenie, że pierwsze półrocze powinno być lekcją, z której należy wyciągnąć wnioski na przyszłość, co również jest cechą dojrzałości kultury danej organizacji. Czy zachowanie firm wokoło nas pokazuje, że wnioski te wyciągnięto? Jesień i kolejne sezony pokażą.

Bezpieczeństwo a kultura organizacji

Mając zarysowany kontekst, warto poświęcić kilka słów na „rozwiązanie”, które uważny czytelnik prawdopodobnie już dostrzegł. Jest nim dojrzała kultura organizacji. Czy ta „kultura” ma roboczo dodawane przymiotniki typu: „pracy”, „bezpieczeństwa”, „ludzkiej twarzy” czy dowolne inne, pozostawiamy do samodzielnego zgłębienia, tutaj istotny jest inny element – musi być „dojrzała” albo przynajmniej do takiej dążyć.

Jakie cechy ma „dojrzała” kultura organizacji?

  1. Po pierwsze, prezentuje „gospodarskie” podejście, jest świadoma zasobów i nimi dysponowania, wspiera decyzje kontekstem celu, środowiska i ocenia siebie.
  2. Po drugie, dotyczy „tu i teraz”, balansując pomiędzy swobodą i umocowaniem do konkretnych reguł, również ekonomicznie.
  3. Po trzecie, wspomaga „planowanie”, czyli umożliwia rozpatrywanie decyzji w konsekwencjach horyzontów czasowych, krótko- i długoterminowych.

 

Gospodarskie podejście, świadomość sytuacyjna i planowanie to kluczowe komponenty efektywnej pracy w modelu rozproszonym – zdalnym.

 

Współczesna kultura cyfrowej organizacji wyraża te trzy elementy przez zasady ekonomii danych, w ramach cyberbezpieczeństwa poprzez model zerowego zaufania (zero-trust), a dla strategii rozwoju pracownika w ramach podejścia „growth-mindset”.

Pracownik w obliczu zagrożeń

Praktyczna realizacja zasad gospodarskiego podejścia jest zgodna z naturalnym wyobrażeniem tego zachowania – organizacja musi być gotowa na podział odpowiedzialności pomiędzy dostawcę technologii (np. dostawcę chmury – AWS, MS Azure, Google etc.), własne polityki i standardy obowiązujące „za murami” organizacji oraz pracownika pracującego zdalnie, najczęściej ze swojego domu. Przyjęło się stosować dla tego zagadnienia sformułowanie „ufaj i kontroluj”, które niestety nie wnosi nic do pożądanej kultury organizacji i jest przykładem braku zrozumienia natury problemu. Jakkolwiek kontrola wydaje się naturalna i oczywista w zakresie zasobów „za murem” oraz częściowo w chmurze danych, tak przy pracy pracownika zdalnego jest jedynie życzeniem.

Pracownik oddelegowany do pracy poza miejscem pracy, praktycznie nie ma szans w pełni zachować zasad, standardów i polityk stworzonych do realizacji w miejscu pracy. Do tego wyzwania dołączają „życiowe problemy” jak: awarie technologii, utrata uwagi w wyniku zdarzeń w domu, brak nawyków pracy poza miejscem pracy (np. inny schemat zarządzania czasem), obecność osób nieupoważnionych do danych firmowych, ergonomia miejsca pracy, zmęczenie, problem „ciągłego podłączenia” do spraw firmowych i wiele, wiele innych.

I tak z jednej strony pracownik jest zobowiązany do przestrzegania zasad „pracy w biurze”, a z drugiej do produktywności, co prowadzi do znanego pozornego konfliktu, bezpieczeństwo albo wyniki. Alarmujący wzrost skutecznej aktywności przestępców w czasie COVID-19, nie pomaga rozstrzygnąć tego problemu, prowadząc często do poważnych ograniczeń lub nawet zaniechania modelu pracy zdalnej, jeśli tylko jest to możliwe w ramach strategii utrzymania działania. W organizacjach doświadczających takich problemów pomóc może wsparcie kierownictwa w ustaleniu zasad pracy z domu z uwzględnieniem wartości i celów organizacji i skupieniem uwagi zabezpieczeń na ochronie właśnie tych elementów.

 

Monitorowanie sytuacji, komunikacja potrzeb i oczekiwań, szkolenia z nowych zasad oraz cyberhigiena to podstawowe narzędzia budowania dojrzałej kultury organizacji dla potrzeb pracy zdalnej.

 

Gospodarcze podejście pracownika, w którym mentalne nastawienie do realizacji celów pracodawcy pozwala zoptymalizować zasady bezpieczeństwa, stosowne do warunków i możliwości pracownika zdalnego jest zalecaną strategią postępowania. Naturalną w tym modelu jest zmiana realizowanych obowiązków przez pracownika zdalnego. Utrzymanie status quo w sytuacji, gdy pracownik nie jest w stanie czy zapewnić bezpieczeństwa danych, czy swojej uwagi, prowadzi do incydentu i strat. Takie adaptacyjne podejście do potrzeb vs. możliwości zapewnia balans pomiędzy zabezpieczeniami i wydajnością wykonywanej pracy.

10 zasad bezpieczeństwa

Zapewniając wsparcie kierownictwa firmy do organizacji pracy zdalnej oraz dbając o dojrzałość kultury organizacji w zakresie gospodarskiego podejścia jej pracowników, można wprowadzać zasady bezpieczeństwa technologicznego mającego również istotny wpływ na określone zachowania pracowników.

Europejska Agencja Cyberbezpieczeństwa zaleca wdrożenie następujących 10 zasad:

  1. Uzyskaj wsparcie kierownictwa dla wymaganych zmian.
  2. Przeprowadź analizę ryzyk.
  3. Zapewnij wdrożenie polityk cyberbezpieczeństwa.
  4. Buduj świadomość sytuacyjną swoich pracowników zgodnie z potrzebami.
  5. Aktualizuj wszystkie urządzenia stosowane do przetwarzania danych, w tym pomóż pracownikowi w aktualizacjach jego domowej sieci.
  6. Upewnij się, że Twoje backupy są aktualne i przydatne.
  7. Zabezpiecz dostęp do przetwarzanych informacji bez względu na to, gdzie są (chmura, komputer pracownika zdalnego, budynki firmy).
  8. Chroń urządzenia końcowe przetwarzające dane, np. przez bezpieczną konfigurację oraz oprogramowanie ochronne.
  9. Ogranicz zdalny dostęp do przetwarzanych danych do faktycznie wymaganego potrzebami biznesu.
  10. Przetestuj i stosuj swój plan reakcji na incydenty.

Każdego pracownika zachęcam do zapoznania się z zasadami „nowej normy” w ramach zalecanych krajowych zasad bezpieczeństwa na stronie Instytutu NASK. I tutaj, zasady gospodarskiego podejścia do powierzonych zasobów mają swoje zastosowanie:

  • kontrolujemy swoje emocje, zachowujemy się kulturalnie,
  • nie ufamy obcym, nie reagujemy na nietypowe polecenia bez weryfikacji czy drugiej opinii,
  • zachowujemy spokój i rozwagę przy podejmowaniu decyzji,
  • nie dzielimy się cennymi informacjami z nieznanymi lub w miejscach publicznych itp.

Szczegółowe wytyczne można znaleźć tutaj:

  • dla wideokonferencji od UODO,
  • dla cyberhigieny od NASK.

Równie ważne w dobie cyfrowych źródeł i ograniczeń pandemii jest nieuleganie „infodemii”, która już zbiera swoje żniwo. Stosowanie zdrowego rozsądku to tylko jeden z elementów skutecznej ochrony, potrzebna jest również wiedza ze sprawdzonych źródeł.

Podsumowując, praca zdalna i adaptacja do nowych modeli biznesowych, szczególnie tych wymuszanych zmianami technologicznymi, wymagają środków i uwagi poświęconej na dojrzewanie kultury organizacji. Każda technologia i proces ostatecznie wchodzą w interakcję z człowiekiem, który z natury jako pracownik chce postępować dobrze oraz optymalnie. Zmiana miejsca pracy to przede wszystkim zmiana nawyków pracowników i ekspozycja na problemy, do których rozwiązania pracownik musi mieć możliwość demonstracji gospodarczego podejścia. Jeśli będzie jedynie zmagał się ze sztywnym zbiorem reguł i zasad, będzie źródłem zagrożenia dla pracodawcy i siebie. Wsparcie decyzji pracownika w jego własnym domu, ale dotyczących pracodawcy jest takim samym problemem zrozumienia dzielonej odpowiedzialności, jakiego doświadczamy przy migracji danych do chmury. Bez zaangażowania kierownictwa te zmiany nie są możliwe, ostatecznie prowadząc do załamania modelu pracy z domu jako zbyt ryzykownego.

O autorze:

Artur Marek Maciąg

Artur Marek Maciąg -poszukuje lepszego sposobu na dzielenie się dobrymi praktykami bezpieczeństwa informacji, uważności oraz świadomości wpływu informacji na decyzje. Od ponad 12 lat zajmuje się zabezpieczeniami informacji oraz zarządzaniem ryzykiem, wspierając sektor finansowy w Polsce i na świecie Współtworzy Inicjatywę Kultury Bezpieczeństwa, której celem jest łączenie kropek, jakimi są nieżyciowe praktyki bezpieczeństwa informacji, w schematy, z powodzeniem używane na co dzień, naturalnie akceptując ich koszt jako element normy.

Komentuj za pomocą Facebook'a

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Administratorem danych osobowych jest NNV sp. z o.o.. Cele przetwarzania i Twoje prawa.