TFL Vsebine / TFLGlasnik

1. Uvod

Delo od doma ima nekatere prednosti, prinaša pa tudi nove izzive. Delo od doma je lahko fleksibilnejše, omogoča pa tudi večjo samoorganizacijo in večjo samostojnost zaposlenih. Za podjetje je lahko tudi stroškovno učinkoviteje, saj naj bi imelo po nekaterih raziskavah višjo produktivnost (Bloom, Liang, Roberts in Ying, 2015, str. 208), čeprav po drugi strani drži, da so se številne organizacije delu od doma izogibale zaradi pomislekov glede nadzora nad opravljenim delom ter strahu, da bo kakovost opravljenega dela slabša.

Po drugi strani pa delo od doma prinaša določene izzive, na primer vprašanje pripadnosti zaposlenih, ki izvira iz občutka zaposlenih, da niso povezani s sodelavci in organizacijo, občutek zaposlenih, da so nenehno povezani z delom, ter težavnejše usklajevanje dela in zasebnega življenja pri zaposlenih.

Posebej velik problem pa so tehnološki izzivi, in sicer tako na strani podjetij kot zaposlenih. Pri tem ne gre samo za vprašanje ustrezne infrastrukture, pač pa tudi za nabor veščin, ki so potrebne za uporabo tehnologije, s katero delamo od doma oz. na daljavo.

2. Infrastruktura v podjetju

Pomemben del informacijske varnosti je tudi razpoložljivost informacij in sistemov. Razpoložljivost se nanaša na dejstvo, da je informacijski sistem pri pooblaščeni zahtevi dostopen in uporaben.[1] Zanesljiv in razpoložljiv informacijski sistem v organizaciji predstavlja temelj za nemoteno izvajanje delovnih in poslovnih procesov in ima zato ključno vlogo pri učinkovitosti poslovanja.

Če želi organizacija delo na domu organizirati tudi v primeru večjih kriz oziroma izrednih razmer, mora svoj informacijski sistem zasnovati tako, da bo razpoložljiv ne samo znotraj organizacije, pač pa tudi oddaljeno.

2.1. Oddaljeni dostopi

Temeljni gradnik dostopnosti informacijskega sistema od zunaj je tehnologija navideznega zasebnega omrežja (Virtual Private Networking, v nadaljevanju VPN), saj nam ne omogoča samo oddaljenega povezovanja s posamezno napravo, pač pa predvsem varno povezovanje različnih omrežij ali računalnikov z uporabo (praviloma šifriranih) tunelov. Prek takšnega tunela lahko dostopamo do oddaljenega omrežja ali oddaljenih strežnikov na podoben način, kot bi bili fizično prisotni v omrežju, ali celo speljemo ves internetni promet iz našega računalnika preko tunela do oddaljenega računalnika ter tako dostopamo do interneta preko oddaljenega omrežja. VPN pa se uporablja tudi za izogibanje regijskim omejitvam dostopa (npr., do video vsebin, ki za našo regijo niso dostopne, lahko dostopamo preko VPN-povezave), izogibanje cenzuri ter za varno povezovanje z internetom preko nezavarovanih omrežnih povezav (npr. brezžičnih omrežij) – preusmeritev prometa prek tunela do varne izhodne točke.

Ločimo več vrst VPN-omrežij. Nekatera služijo zgolj povezavi oddaljenih računalnikov v interno omrežje, nekatera pa povezujejo celotna omrežja med seboj. Nekatere VPN-povezave omogočajo povezovanje omrežij s t. i. povezovalno plastjo podatkovne povezave (gre za t. i. 2. plast OSI-modela,[2] ethernet), nekateri pa na omrežni plasti podatkovne povezave (gre za t. i. 3. plast OSI-modela).

Preko VPN-ja lahko organizacija svojim zaposlenim zagotovi dostop do notranjega informacijskega sistema oz. notranjih storitev organizacije – npr. aplikacijskih strežnikov, strežnikov NAS (network attached storage), tiskalnikov itd.; skratka do vseh tistih storitev, ki zunaj organizacije niso dostopne.

Danes je na voljo več različnih VPN-rešitev.[3] Pri implementaciji je treba biti pozoren na varnost, pa tudi prepustnost in enostavnost uporabe tako pri uporabnikih kot vzdrževalcih. Določene VPN-rešitve zahtevajo zapleteno vzdrževanje, ali pa je njihova nastavitev tako kompleksna, da vzdrževalci hitro naredijo napako.

Poleg tega je v nekaterih omrežjih uporaba VPN-ja blokirana. To sicer ne velja za javna komunikacijska omrežja, ki jih uporabljajo zaposleni doma, a na omejitve hitro lahko trčimo v hotelih, spletnih kavarnah – kiberkavarnah (cybercafe) in v tujini (zlasti v nedemokratičnih državah). Zato je smiselno razmisliti o uporabi takšnih rešitev za oddaljeni dostop, ki jih je težje blokirati na nivoju omrežja, ali pa uporabiti rešitev, ki omogoča t. i. obfuskacijo (skrivanje) VPN-ja.

Pri oddaljenih dostopih je seveda pomembna zaščita dostopov do centralnega omrežja, pa tudi ustrezna segmentacija omrežja znotraj organizacije. Pri tem nam pomaga požarni zid, s katerim nastavimo pravila dostopa do omrežja ter pravila dostopa do posameznih delov omrežja. Pri tem je smiselno uporabiti kakšno naprednejšo rešitev, ki omogoča časovno omejevanje večkratnih neuspešnih poskusov povezovanja, ali pa rešitev, ki pravila dinamično prilagaja glede na analizo omrežnega prometa.

2.2. Videokonferenčni sistemi

V času epidemije (v Sloveniji med 12. marcem in 31. majem 2020) so za marsikatero organizacijo postale ključnega pomena videokonference. S pomočjo videokonferenc so potekali sestanki med zaposlenimi in poslovnimi partnerji, učenje na daljavo itd. Za izvedbo videokonferenc je potrebna določena strojna (o tem nekoliko kasneje) in programska oprema. V času epidemije so videokonferenčni sistemi doživeli izjemen razmah. Enako velja tudi za sisteme za vodenje različnih spletnih seminarjev (t. i. webinar). Danes je za te namene na voljo več programskih rešitev, nekatere so tudi brezplačne oz. odprtokodne, ključno pa je, da znajo zaposleni sisteme uporabljati. Nekatere rešitve omogočajo tudi šifriranje od začetne do končne točke (t. i. E2E – end-to-end šifriranje), kar pri uporabi v poslovnih okoljih gotovo ni zanemarljiv dejavnik. Ozko grlo večinoma predstavlja pasovna širina uporabnikov, je pa res, da znajo nekatere rešitve pasovno širino, ki je na voljo, uporabiti bolje, druge pa slabše. Kot rečeno, pa je ključno znanje zaposlenih. Zato morda ni odveč ustrezno strojno in programsko opremo pripraviti že vnaprej ter z zaposlenimi občasno izvesti kakšen test.

3. Infrastruktura pri uporabnikih

Pomembno se je zavedati, da je treba varnost celotnega sistema zasnovati bistveno drugače, če organizacija svoj informacijski sistem preko VPN-ja odpre zunanjim uporabnikom. Pri oddaljenih dostopih ni vprašanje samo varovanje komunikacij (kar rešujemo z uporabo šifriranih tunelov), pač pa tudi varnost terminalske opreme, s katero uporabniki iz oddaljenih lokacij dostopajo do sistema organizacije. V številnih organizacijah varnost sistema temelji na dejstvu, da je IT-oprema, s katero delajo zaposleni, v lasti organizacije. Posledično je na njej nameščena samo vnaprej odobrena oz. preverjena programska oprema, zaposleni uporabljajo omrežje organizacije, IP-oprema pa se sme uporabljati samo za službene namene. Z oddaljenimi dostopi se ta koncept spreminja. Še bolj se spreminja, če organizacija zaposlenim za delo od doma ne razdeli službene IT-opreme, pač pa uporabi koncept BYOD (Bring Your Own Device). Gre za prakso, ko zaposleni v službeno okolje prinašajo svoje zasebne naprave (prenosnike, tablice, pametne telefone), prek katerih potem dostopajo do poslovnih, osebnih in drugih podatkov v informacijskem sistemu organizacije, oziroma pri delu od doma uporabljajo svojo zasebno opremo, s katero se oddaljeno povezujejo v informacijski sistem organizacije. Koncept BYOD uporabnikom omogoča večjo mobilnost in enostavnost uporabe, organizaciji pa načeloma zmanjšuje stroške strojne opreme, a prinaša tudi številna tveganja tako glede varnosti poslovnih informacij kot glede varstva osebnih podatkov ter informacijske varnosti na splošno. Tveganja obsegajo tako možnost izgube naprav (zlasti mobilnih telefonov in prenosnikov) kot tudi vprašanje ustrezne zavarovanosti teh naprav skladno z zakonodajnimi zahtevami varstva osebnih podatkov, tajnih podatkov, delovnega in konkurenčnega prava.

Pri uporabi koncepta BYOD ter omogočanju dela na daljavo je zato pomembno, da organizacija opravi ustrezno presojo, ali so zasebne naprave zaposlenih dovolj varne. Tveganja je treba opredeliti, analizirati ter zagotoviti postopke in ukrepe, s katerimi se bodo ta tveganja zmanjšala ali celo izničila. Hkrati pa se je treba zavedati, da na napravah v lasti zaposlenih organizacija ne more vsiljevati preveč strogih varnostnih politik, saj bi to lahko pomenilo prevelik poseg v zasebnost uporabnikov oziroma zaposlene celo motiviralo k iskanju bližnjic. Zlasti zaradi tega je zelo pomembno tudi izobraževanje uporabnikov. Ne nazadnje pa je treba predvideti tudi, da bodo zaposleni pri delu od doma potrebovali pomoč, prav tako bo morda treba na njihovih računalnikih (ob njihovem soglasju) opraviti kakšna vzdrževalna dela. Zato je na računalnike smiselno namestiti tudi ustrezno opremo, ki omogoča oddaljeni dostop, kadar je takšna pomoč potrebna.

3.1. Šifriranje nosilcev podatkov

Če želimo podatke na svojem računalniku dobro zaščititi pred nepooblaščeno zlorabo ali dostopom, morajo biti šifrirani,[4] kar je pomembno zlasti pri izgubi ali kraji mobilnih naprav ali zunanjih nosilcev podatkov. Z današnjo tehnologijo je mogoče nosilce podatkov zelo enostavno šifrirati, prav tako je mogoče zelo enostavno šifrirati tudi celoten operacijski sistem oz. celoten računalnik. Seveda je ob tem treba poskrbeti za uporabo dovolj varnih gesel oz. še bolje, pametnih kartic, s katerimi šifrirane nosilce podatkov odklenemo. In pa seveda za uvedbo ustreznih mehanizmov, s katerimi lahko obnovimo izgubljena gesla oz. omogočimo dostop do podatkov tudi kadar zaposleni izgubi pametno kartico. Ne nazadnje pa je treba poskrbeti tudi za ustrezne varnostne kopije. Te izdelujemo zaradi obnove podatkov pri okvari ali poškodbi nosilca podatkov diska oz. računalnika.

3.2. Varnostne kopije

Osnovna naloga varnostnega kopiranja je izdelava kopij podatkov, ki jih je mogoče obnoviti pri napaki na strojni opremi, hekerskem napadu (npr. s pomočjo kriptovirusov, tak primer je bil izsiljevalski virus WannaCry, ki je bil aktualen sredi maja 2017), napakah uporabnika (npr. izbris ali prepis podatkov) in drugih podobnih dogodkih. Izguba kritičnih podatkov lahko organizaciji povzroči resne finančne težave. Prekinitve, ki trajajo več kot deset dni, imajo lahko trajne posledice na delovanje organizacije (Davic, 2012). Težava pa ni samo trajna izguba podatkov, pač pa tudi škoda, ki nastane zaradi prekinitve dela ali poslovnega procesa. Zato je skupaj z uvedbo varnostnega kopiranja smiselno pripraviti tudi načrt čim hitrejšega okrevanja po katastrofi.

Varnostno kopiranje lahko izvajamo ročno (na zahtevo) ali pa periodično na neko časovno enoto. Ker se v praksi izkaže, da ljudje pri ročnem varnostnem kopiranju nismo preveč dosledni, je najbolj smiselno postopke varnostnega kopiranja avtomatizirati. Poznamo več strategij varnostnega kopiranja. Prva je polno oz. zrcalno varnostno kopiranje, kjer vsaka varnostna kopija zajema vse izbrane podatke. Prednost tega pristopa je, da je obnavljanje podatkov hitrejše, a po drugi strani ustvarjanje posamezne kopije časovno in prostorsko zahtevnejše. Tako arhivirane podatke lahko kompresiramo (s čimer prihranimo prostor) ali tudi šifriramo (s tem podatke zaščitimo pred neavtoriziranim dostopom).

Druga strategija je inkrementalno varnostno kopiranje, kjer v vsako varnostno kopijo vključimo le podatke, ki so se spremenili od zadnje varnostne kopije. Ta strategija je časovno in prostorsko manj zahtevna, je pa zato obnavljanje podatkov dolgotrajnejše. Prav tako je pri napaki na enem izmed inkrementov onemogočena pravilna obnova podatkov, saj je treba imeti za obnovitev slike prvo (polno) kopijo podatkov kot tudi vse razlike (inkremente). Daljše ko je obdobje med polno kopijo in kopijo, ki bi jo radi obnovili, več inkrementalnih kopij je potrebnih, veča pa se tudi tveganje pri napaki posamezne inkrementalne kopije.

Tretja strategija pa je diferencialno varnostno kopiranje. Deluje po principu zajemanja spremenjenih podatkov med polno kopijo in trenutnim stanjem. Pri obnovitvi tako potrebujemo le zadnjo polno kopijo in najnovejšo kopijo (oz. kopijo, ki jo želimo obnoviti). Takšen arhiv je varnejši in tudi hitrejši od inkrementalnega, a nekoliko prostorsko zahtevnejši.

Kot rečeno, je podatke v varnostnem arhivu smiselno kompresirati in šifrirati, pri zmanjševanju porabljenega prostora pa nam pomaga tudi deduplikacija – gre za proces odpravljanja podvojenih podatkov, kar nam pomaga pri zmanjševanju zasedenih pomnilniških zmogljivosti.

Mimogrede, pri uvajanju varnostnega arhiviranja je smiselno poskrbeti za varnostne kopije ne samo pomembnih podatkov, pač pa celotnega sistema (vključno z nameščenimi aplikacijami), kar nam pri večji okvari omogoča hitrejšo vzpostavitev sistema v prvotno stanje.

Pomembno vprašanje je tudi, kam bomo shranjevali podatke. Najočitnejša možnost je seveda shranjevanje na zunanji nosilec podatkov (npr. prenosni disk ali namensko NAS-napravo), za zagotovitev večje varnosti pa je smiselno razmisliti tudi o ustvarjanju varnostnih kopij na zunanjo lokacijo ali še bolje na več lokacij. Možnost je tudi shranjevanje v oblak, pri čemer je zelo pomembno, da so podatki v oblaku šifrirani. Dejstvo pa je tudi, da z uporabo oblačnega računalništva vstopamo v določeno odvisnost od ponudnika oblačne storitve (kar lahko vodi celo v t. i. priklepanje uporabnikov), dostopnost podatkov je v tem primeru odvisna od dostopnosti oblaka (izpad internetne povezave ter izpad oblačne storitve), zato naj bo uporaba oblačnih servisov podvržena tehtnemu razmisleku.

V zadnjem času se uveljavljajo rešitve, ki omogočajo vzpostavitev sistema arhiviranja, kjer se podatki iz računalnikov zaposlenih arhivirajo na NAS, ki se nahaja znotraj organizacije, od tam pa še na zunanjo lokacijo ali v oblak. Naprave, ki jih zaposleni prenašajo s seboj ali uporabljajo pri delu od doma, pa lahko varnostno arhiviramo preko VPN-ja.

3.3. Pripomočki za delo od doma

Seveda pa pri vsem skupaj ne smemo pozabiti na najosnovnejše tehnične pripomočke za delo od doma. Čeprav so le-ti pogosto precej samoumevni in o njih ne razmišljamo, nam izkušnje iz zadnje karantene kažejo, da ob kriznih dogodkih v nadaljevanju navedenih pripomočkov pogosto ni mogoče dobiti niti kupiti, zato jih je smiselno imeti na zalogi.

Izkušnje so pokazale, da je bilo delo od doma pogosto zelo oteženo zaradi pomanjkanja povsem banalnih pripomočkov, kot so na primer električni razdelilci (smiselno je imeti take, ki omogočajo tudi zaščito pred strelo), omrežni kabli, s katerimi računalnike lahko priključimo neposredno na domači usmerjevalnik (s čimer razbremenimo WiFi omrežje in načeloma dosežemo tudi višje hitrosti prenosa podatkov od usmerjevalnika do nanj priključenih računalnikov), različni kabli in pretvorniki za priklop monitorja (ali pametnega televizorja), rezervni polnilci (za mobilne telefone in prenosnike), kabli za priklop različnih USB-naprav (npr. tiskalnik, spletna kamera, mikrofon in slušalke, čitalec pametnih kartic ...) .

Med delom od doma so za marsikatero organizacijo pomembne telekonference. Tudi če zaposleni uporabljajo prenosnike, se splača nabaviti slušalke z mikrofonom, saj ponuja komunikacija s pomočjo kvalitetnejših slušalk bistveno boljšo uporabniško izkušnjo kot uporaba vgrajenega mikrofona in zvočnikov. Smiselno je imeti tudi kakšne slušalke v rezervi. Če imajo zaposleni samo stacionarne računalnike (ali prenosne računalnike brez kamer), se jih splača opremiti tudi z USB-spletnimi kamerami.

Nekateri računalniki nimajo vseh omrežnih priključkov. Nekateri prenosniki nimajo priključka za omrežni kabel (t. i. ethernet) ali spletne kamere, stacionarni računalniki pogosto nimajo brezžičnega WiFi-vmesnika ali Bluetooth-vmesnika. Zato je v organizaciji smiselno nabaviti nekaj ustreznih USB-vmesnikov, ki jih potem v nujnih primerih organizacija razdeli med zaposlene. V rezervi je smiselno imeti tudi kakšno dodatno miško, tipkovnico, kamero, slušalke in monitor (morda pa tudi kakšen rezervni računalnik), saj se v primeru kriznih dogodkov lahko dobavni čas za to opremo precej podaljša. Med opremo je smiselno imeti tudi nekaj zmogljivejših USB-ključkov ter kakšen večji zunanji USB-disk, ki ga lahko uporabimo za izdelavo rezervnih kopij.

Ozko grlo pri zaposlenem pa navadno predstavlja zmogljivost internetne povezave, ki je odvisna tudi od operaterja in njegovih tehničnih zmožnosti. Na ta del infrastrukture sicer nimamo vpliva, lahko pa poskrbimo, da bo organizacija imela na zalogi kakšen manjši usmerjevalnik z WiFi-jem, če je na lokaciji zaposlenega treba zagotoviti npr. boljše delovanje WiFi-ja, uporabnike pa seznanimo tudi z možnostjo, da za dostop do interneta uporabijo mobilno povezavo, ki jo vzpostavijo s pomočjo mobilnega telefona.

4. Zaključek

Procesi digitalizacije poslovanja ter dela na daljavo potekajo že dlje časa. Epidemija in karantena zaradi koronavirusa sta te trende še dodatno pospešili. Dejstvo je, da digitalizacija poslovanja in delo na daljavo nista možna v vseh gospodarskih panogah v enaki meri. Nekatere organizacije znotraj iste panoge so bile na nov način poslovanja pripravljene bolj, druge manj. Pričakovati je, da se bodo v prihodnosti ti procesi še pospešili. Delo na daljavo v stalni obliki najverjetneje ne bo obstalo, bo pa gotovo več občasnega dela od doma. Po drugi strani pa je v nekaterih panogah (npr. trgovini) pričakovati porast brezpapirnega, brezgotovinskega in brezkontaktnega poslovanja. Spremembe je treba uvajati premišljeno in sistematično. Organizacije se bodo morale bolj posvetiti izgradnji in vzdrževanju primerne infrastrukture ter poskrbeti, da bodo imeli zaposleni ustrezna znanja in veščine za drugačen način dela in poslovanja. Raziskava analitske družbe Gartner iz julija 2020 je pokazala, da je 82 % vodilnih v ameriških podjetjih naklonjenih občasnemu delu zaposlenih od doma, 47 % pa jih je naklonjenih stalnemu delu zaposlenih od doma (Fartner, 2020).

Kot rečeno, je priprava ustrezne infrastrukture organizacije samo prvi korak k uspešni podpori dela na daljavo. Naslednji pomemben korak je zagotovitev podpore delu na daljavo pri zaposlenih. Na koncu pa je najpomembneje, da zaposleni za delo na daljavo pridobijo ustrezna znanja. Poleg začetnega izobraževanja in občasnih osvežitvenih izobraževanj je zato smiselno razmisliti tudi o tem, da vsak zaposleni vsaj občasno izvaja delo doma oz. delo na daljavo. S tem pristopom bo organizacija bolje pripravljena na potencialno krizo, kar pa je bistvenega pomena za preživetje v primeru izrednih dogodkov.

5. Literatura in viri

1. Bloom, N., Liang, J., Roberts, J., Ying, Z. J. (2015). Does Working From Home Work? Evidence From A Chinese Experiment. The Quarterly Journal of Economics, 2015, 165–218. doi:10.1093/qje/qju032.

2. Gartner. (2020). Gartner Survey Reveals 82 % of Company Leaders Plan to Allow Employees to Work Remotely Some of the Time. 15. julij 2020. Najdeno 2. avgusta 2020 na naslovu https://www.gartner.com/en/newsroom/press-releases/2020-07-14-gartner-survey-reveals-82-percent-of-company-leaders-plan-to-allow-employees-to-work-remotely-some-of-the-time.

3. ISO/IEC 27000:2018(en) standard. (2018). Najdeno 2. avgusta 2020 na naslovu https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en.

4. Smith, M. D. (2012). The Cost Of Lost Data. Graziadino Business Review, 2003,6, Issue 3. Najdeno na naslovu http://gbr.pepperdine.edu/2010/08/the-cost-of-lost-data.

[1] Opredelitev razpoložljivosti (angl. availability) po standardu ISO/IEC 27000:2018(en).

[2] Referenčni model ISO/OSI (Osnovni referenčni model za odprte sistemske povezave, angl. The Basic Reference Model for Open Systems Interconnection) predstavlja omrežne procese, ki jih deli na sedem različnih slojev. Referenčni model OSI vsebuje opis, kako strojna in programska oprema skupno delujeta v omrežni komunikaciji, ki je razdeljena na sloje. Referenčni model OSI je najbolj znan in najbolj uporabljan model omrežnih okolij. Izdala ga je mednarodna organizacija za standardizacijo ISO.

[3] Na primer PPTP (Point-to-Point Tunneling Protocol), ki se zaradi številnih varnostnih ranljivosti ne uporablja več, L2TP/IPSec, OpenVPN, SSTP (Secure Socket Tunneling Protocol), IKEv2 (Internet Key Exchange version 2) itd.

[4] Šifriranje podatkov med drugim zahteva varnostno priporočilo organizacijam, ki posredno ali neposredno upravljajo podatke o plačilnih karticah PCI-DSS (PCI Requirement 3.4.1 ) ter ameriški HIPAA (zakon o prenosu in obveščanju o zdravstvenih informacijah).