ברירת המחדל 

אחד מכאבי הראש הגדולים ביותר עבור מנהלי IT ומנהלי אבטחת מידע בארגונים הוא המשתמשים המתחברים מרחוק. בין אם זה חיבור לצורך עבודה מחו"ל או סתם התחברות מהבית בערב כדי לקרוא קצת דואר אלקטרוני, הצורך בניהול ההרשאות והסיכונים לחדירה מהווים אתגר לא פשוט. רוב העוסקים בתחום מקדישים את מירב תשומת הלב שלהם לעובדי החברה הנמצאים פיזית במקום, ונוהגים להתייחס אל העובדים מרחוק כאל "יוצא מהכלל", אך בשנים האחרונות, המציאות מתחילה להשתנות.

עם התפתחות טכנולוגיות שונות לעבודה מרחוק, יותר ויותר עובדים מבקשים את האפשרות, והדבר מאפשר להם להגיע לאיזון טוב בין החיים לעבודה. במקום להישאר במשרד עד מאוחר רק בשביל לענות לדואר אלקטרוני, אפשר להגיע הביתה, לבלות כמה שעות עם הילדים, ואחרי שעת-השינה שלהם להתחבר למשרד ולהספיק עוד קצת מהבית. אנשי מכירות שנמצאים בקצוות נידחים של העולם יכולים, בעזרת חיבור בסיסי לאינטרנט המקומי, להתחבר ישירות לרשת הארגונית ולעבוד באותה מידה של יעילות כאילו שהם יושבים במשרדם. ימי-מחלה של ילדים או בני משפחה כבר אינם צריכים להיות מקור-הפסד לחברה, מכיוון שהעובד הנמצא בבית עם הילדים יכול, בין אקמול לחיתול, להתחבר למשרד ולהמשיך במשימותיו.

בארגונים רבים יש עדיין אדישות, ואפילו עוינות, כלפי הרעיון. על פי מחקר של חברת Data Dimension, 28 אחוז מהארגונים אינם מאפשרים עבודה מרחוק כלל, כאשר לפעמים הגורם המנחיל והמנציח את הגישה הוא ההנהלה הבכירה של הארגון, שמאמינה בערכים מסורתיים של "עובדים צריכים להיות בעבודה", ולכן מאפשרים עבודה מרחוק רק למספר מצומצם של עובדים שמסוגלים להוכיח בצורה חותכת כי עבודה מרחוק חיונית לעבודתם. במקרים אחרים, דווקא המנמ"ר או מנהל אבטחת המידע מסתייג משימוש נפוץ בטכנולוגיות אלו כי הוא חושש שזה יחשוף את רשת הארגון לחדירה של גורמים עוינים או דליפה של מידע. למען האמת, אפשר להבין את שיקולי האבטחה הללו, ויש בהם צדק מסוים, אך היתרונות של עבודה מרחוק הם כל כך גדולים, שהם דוחקים את כל השיקולים האחרים לפינה.

כאמור, גם בארגונים שבהם נעשית עבודה מרחוק, קיימת נטייה לראות בעובדים המתחברים מרחוק "חריגים", ולהתייחס לצרכיהם ומגבלותיהם בצורה אחרת מאשר אל העובדים האחרים. בארגון כזה אנו עשויים למצוא מדיניות המגבילה את יכולת העבודה של עובדים אלה בצורה מחמירה-מדי, או מדיניות שבה ניהול ההגדרות שלהם נעשה בצורה ידנית ולא בצורה מסודרת. זוהי שגיאה, שהופכת, עם גדילת אחוז העובדים-מרחוק, לקשה יותר ויותר לתיקון. ארגון כזה עלול למצוא את עצמו משקיע כמויות גדולות של זמן בניהול ההרשאות של המשתמשים הללו ובתמיכה טכנית הדרושה כדי לאפשר להם לבצע את רצונם "למרות" המגבלות הטכניות הנכפות עליהם. הדרך הנכונה במאה ה-21 היא להבין שעבודה מרחוק היא דבר שאותו יש לעודד, גם מבחינה אדמיניסטרטיבית, וגם מבחינה טכנית. מחקרים מראים בבירור שעובדים שהחברה מאפשרת להם לעבוד בתנאים הנוחים להם, מגיעים להישגים טובים יותר ותרומתם לחברה היא גדולה יותר מהממוצע. על רקע זה, אין ספק שקבוצת ה - IT בארגון צריכה לנכס לשירותה כמה שיותר טכנולוגיות לעבודה מרחוק, החל ממערכות לחיבור הפיזי ועד פרוטוקולי תקשורת שונים להתחברות לרשת. ארגון גמיש ייתן לכל עובד חיבור ביתי לאינטרנט המהיר על חשבון החברה (עדיף עם מהירות-חזור גבוהה ככל האפשר) ומודם סלולארי למחשב הנייד, ויפעיל חיבור VPN, שרת Remote-Desktop, שירות Mail Publishing ועוד, הכל במטרה לאפשר לעובד להתחבר בנוחות, ובשיטה המתאימה ביותר לצרכיו. מעבר לזה, על קבוצת אבטחת המידע בארגון להקדיש מחשבה רבה ולבנות מדיניות מפורטת המגדירה מה יכולים העובדים מרחוק לעשות, ומה לא, ולהשתדל לחשוב על הנושא בצורה חיובית (Can-Do Attitude). במידה ויש חשש שאפיק-שימוש מסוים יחשוף את הארגון לסיכונים, במקום לסגור את אותו אפיק, יש לחשוב על דרכים להתמודד עם הסיכונים, וזאת על ידי מיפוי סיכונים תקופתי ושימוש באנשי מקצוע מתחום אבטחת המידע. לפעמים, הצורך באבטחה גורם לארגונים להחיל מדיניות מגבילה מדי, שהופכת את החיבור לבלתי-שמיש. חברת הי-טק בינלאומית גדולה ומפורסמת, למשל, החליטה שכדי להתחבר לארגון באמצעות VPN, מחשבו של העובד יחויב בבדיקת-אבטחה קשיחה מאוד. המצב שנוצר הוא שזמן-ההתחברות הפך לארוך מאוד, עם אחוז גבוה של ניתוקים בלתי מוסברים, והמשתמשים פשוט הפסיקו להתחבר, מלבד במקרי חירום. בתוך זמן קצר, שרתי ה-VPN של הארגון הפכו, למעשה, לאבן שאין לה הופכין, והפרודוקטיביות של העובדים צנחה בהתאמה.

מעבר לזה, אני ממליץ אפילו לעודד אנשים לעבוד מרחוק, ולעודד את מנהלי הארגון לראות את זה כדבר חיובי ולא בחשדנות. זה יחייב, אמנם, להשקיע זמן, כסף ואנרגיה בהטמעת מערכות וטיפול בהן, אך השיפור באיכות העבודה יהיה מהיר ומורגש.