A távmunka fogalmára többféle meghatározás is adható. A KFKI Zrt. arra a távmunkára gondol előszeretettel, amelyben a szellemi foglalkozású kolléga a részére biztosított számítógépen (laptopon) időnként a munkavégzés szokásos helyétől (többnyire iroda) fizikailag távol dolgozik, de mégsem „offline”, a vállalat napi életétől elszeparált módon, hanem annak szerves részeként, a munkahelyi körülmények között megszokott vállalati infrastruktúrán.
Milyen esetekben jöhet szóba a távmunka?
A távmunka felhasználási területe négy csoportra bontható. Az első a munkavégzési aktivitást fokozza, könnyebbségét jelenti, azaz mondhatjuk, hogy munkára sarkallhat azáltal, hogy lehetővé teszi számunkra, munkavégzők számára, hogy munkaidőn túl is, amikor csak eszünkbe jut, a megszokott környezetben elvégezhessük, amire épp ihletünk volt. Azaz:
- váratlan vagy határidős munkák este/hétvégén;
- új ötletek azonnali kidolgozása;
- kutatási, innovációs feladatok végzése bármikor.
A távmunka alkalmazásának második csoportját azon élethelyzetek képezik, amelyekben valamilyen okból kifolyólag nem tudunk bemenni a munkahelyünkre, vagy nem célszerű elhagynunk a lakásunkat. Ilyenek lehetnek:
- mérőórák leolvasása, szerelő látogatása;
- enyhe betegség, illetve beteg gyermek;
- szmog riadó, BKV sztrájk;
- esetlegesen hosszú utazási idő megtakarítása.
A harmadik csoportot egy szűkebb, ám nem kevésbé jelentékeny felhasználói kör képezi, mégpedig akik a munkakörükből eredően nem találhatóak meg feltétlenül állandóan a vállalat telephelyén. Ilyen lehet például a „shared desk” rendszerben dolgozó kolléga (a shared desk kifejezés azt jelenti, hogy egy adott munkaállomást több dolgozó is használ, időben felosztva). Amikor tehát a dolgozó nem az irodában van, otthonról végezheti a munkáját. Ilyen példák tehát:
- „utazó ügynök” munkakör
- atipikus foglalkoztatási formák, pl. „shared desk” vagy „hot desking”.
(Az utazó ügynök alatt nem Pandora Necklace porszívóárust kell elképzelni, hanem olyan munkavállalót, aki a feladataiból kifolyólag sokat van úton, például ügyfelekkel tárgyal azok telephelyein.)
Negyedik potenciális alkalmazási csoport: az üzemeltetésért/felügyeletért felelős csoport. A többnyire IT területen tevékenykedő kollégák felé elvárás lehet, hogy bármikor – akár távolról is – rá tudjanak pillantani a vállalat egyes erőforrásaira, monitorozzanak folyamatokat. Ez a távmunka alapját képező technológiával is kivitelezhető. Idevágó feladat és szerepkörök:
- távfelügyelet, monitorozás, ügyeleti igények, contact centerek operátorai.
Igények
Milyen igények merülnek fel akkor, amikor arról beszélünk, hogy a dolgozó éppen csak hogy fizikailag nem, de – ha fogalmazhatunk így – logikailag mégiscsak benn legyen az irodában? Nos, hozzá kell férnie a belső erőforrásokhoz (fájlszerver, dokumentumkezelő rendszer, tevékenyég specifikus alkalmazások); el kell tudnia olvasni a leveleit és megválaszolni azokat; legyen elérhető az egységes kommunikációs kliensen (IM, jelenléti információ, videotelefonálás) – egy szóval mindenhez hozzáférjen, amit egyébként bentről is használ.
A jól kidolgozott távmunka megoldás jellemzői:
- bárhonnan, bármikor lehet csatlakozni hozzá;
- a felhasználó azonosítása egyszerű ám mégis biztonságos;
- maga az adatkommunikáció is biztonságos (titkosított);
- biztonsági szabályokat alkalmazhatunk a távolról csatlakozó archangelartifacts eszközre;
- a rendszer üzemeltetése hatékony.
Ami tehát a távmunka technológiáját illeti, beszélhetünk a csatlakozás megvalósulásának mikéntjéről, illetve a biztonsági megoldásokról az azonosítás folyamán.
Csatlakozás
A távmunka alapja egy biztonságos csatorna kiépítése a belépni szándékozó felhasználó és a vállalati erőforrások között. Ezt a csatornát a VPN (Virtual Private Network) megoldás szolgáltatja. Így a felhasználó gépén szükség van egy VPN csatlakozást kezdeményező kliensre, a vállalat hálózatában pedig szükség van olyan berendezésre, amely terminálja a beérkező VPN kapcsolatokat.
A piacon többféle kiváló VPN megoldás is van, amellyel a KFKI Zrt. foglalkozik (ilyen pl. a Checkpoint). A következőkben én a Cisco megoldását szeretném bemutatni. Amennyiben hálózati megoldások szintjén gondolkodunk a távmunkában, úgy a várható felhasználói számtól és egyéb paraméterektől függően a Cisco ASA 5500-as tűzfalcsalád elemei célszerűek a megvalósításhoz. A VPN kapcsolatok kezelésére a Cisco AnyConnect Secure Mobility VPN technológiát használjuk fel, mivel megbízható, biztonságos és az üzemeltetése a kezdeti beállítások után egyszerű. A feladata, hogy szabályozza ki, mikor és milyen eszközön hozhat létre biztonságos, titkosított kapcsolatot.
Cisco AnyConnect
A Cisco AnyConnect Secure Mobility Client a távoli hozzáférés folyamatosan fejlődő technológiájában tesz egy újabb lépést a biztonságosabb és szélesebb körű használat irányába. A kliens biztonságos hozzáférést tesz lehetővé az asztali és hordozható számítógépek, okostelefon-alapú mobilkészülékek részére.
A titkosított kapcsolat kiépülése előtt a kliens képes komplex vizsgálat alá vetni a csatlakozandó eszközt. Vizsgálni tudja például az operációs rendszert, víruskereső paramétereit, regiszter értékeket. A vizsgálat eredménye határozza meg, hogy az adott kliensről kiépülhet-e a titkosított kapcsolat vagy nem. A vizsgálaton megbukott klienseket karanténba helyezhetjük, ahonnan hozzáférhetnek olyan erőforrásokhoz, amivel a problémájukat orvosolni lehet, akár automatikusan is.
A Cisco AnyConnect kiemelkedő tulajdonságai közé tartozik, hogy a szoftver moduláris felépítésű, így a vállalat igényeinek megfelelően telepíthetők a moduljai; választható, hogy a titkosított kapcsolat felépítéséhez mely VPN protokollt használjuk: SSL-t vagy a következő generációs IPSec-et (IKEv2); illetve támogatja a mobilitást is: a VPN kapcsolat fennmarad IP-cím váltás vagy hibernálás után is.
A támogatott hitelesítési módszerek a következőek:
- RADIUS
- Active Directory / Kerberos
- Ceriticate Authority
- digitális tanúsítvány / smartcard
- LDAP
- kombinált tanúsítvány és jelszó alapú két- illetve többtényezős hitelesítés
- RSA SecureID.
A DAP (Dynamic Access Policy) funkció segítségével valósítható meg a csatlakozni kívánt gép biztonsági szempontból történő vizsgálata. Az ellenőrzés eredményének tükrében szabhatjuk meg, hogy a felhasználó becsatlakozhat-e a hálózatba, ha igen, akkor milyen alkalmazásokat érhet el. A DAP segítségével megvalósítható egy olyan szituáció is, hogy a felhasználó alapértelmezetten hozzáfér minden belső erőforráshoz, ha a céges laptopján csatlakozik be. Ha bármi más eszközről próbálkozik (például az otthoni PC-jéről), akkor csak a levelezőszerver webes felületét érheti el.
Azonosítás
Biztonsági szempontból a kéttényezős hitelesítés bizonyul optimális megoldásnak, hiszen elfogadható a biztonsági szintje és nem jelent többlet kényelmetlenséget a felhasználónak. Ilyen azonosítás folyamán két dolog szükséges: valaminek az ismerete és valaminek a birtoklása. Az ismeret célszerűen jelszóra vonatkozik, míg a birtoklás tárgya többnyire egy fizikai entitás, amely többféleképpen is működhet.
Ez az a pont, ahol tisztáznunk kell birtokolt fizikai entitásunk két, alapvetően különböző működési technológiáját, mielőtt nevesítenénk azt. Az egyik megoldás az egyszer használatos jelszavon alapuló hitelesítés (OTP – one time password); míg a második egy chipkártyán alapuló rendszer, amely tanúsítványokat használ a hitelesítéshez. Mindkét technológia természetesen csak akkor tekinthető biztonságosnak, semmilyen körülmény között nem klónozható az entitás!
És most nevesítek: fizikai entitásunkra fedőnévként a token szó használatos, legyen szó akár az OTP rendszerről, akár a tanúsítványos megoldásról. És jön még egy csel: a szó sok esetben nem is feltétlenül egy külön kis kütyüt jelöl, hanem lehet egy szoftveres alkalmazás is, amely a mobiltelefonunkon fut: a lényeg mindenképpen az, hogy a számítógépünktől független legyen.
A tokenek között tehát elhatárolunk hardver tokent és szoftver tokent. A token alapvető ismérve, hogy azonosítani tud bennünket. A hardver token lehet:
- Smartcard – tanúsítvány alapú;
- USB token – tanúsítvány alapú;
- OTP generátor – ennek jellemzője, hogy időben változóan vagy kérésre jelenít meg egy kódot, amit meg kell adni az azonosításkor.
A szoftveres token például egy mobiltelefonon futó alkalmazás, amely jelszó ellenében megjeleníti ugyanazt a fent említett számsorozatot, amit megadunk a bejelentkezéshez. De ide soroljuk az mobiltelefonunkra SMS-ben kapott kódot is.
Tokenek tekintetében együttműködő gyártóink az Aladdin/SafeNet, RSA és a Gemalto.
Miért éri meg a távmunka a vállalatnak?
A távmunka által a cég számára „termelt” haszon lehet úgy erkölcsi, mint pénzben mérhető. Az erkölcsi (azaz nehezen „forintosítható”) haszonhoz tartozhatnak a következőek:
- A munkavállalónak nincs kötöttségérzete a munkavégzés fizikai helyére vonatkozóan, ez nagyobb produktivitást eredményezhet; serkenti a kreatív energiák kihasználását.
- A munkavállaló jobban beoszthatja az idejét, ha tudja, hogy bizonyos feladatokat például este, otthon is el tud végezni.
- Nagyobb flexibilitás, rugalmasság van a munkavállaló kezében, ezáltal a váratlan, sürgős üzleti igényekre hatékonyabban reagálhat a vállalat.
Ezen tulajdonságok hozzáárulhatnak ahhoz, hogy a munkavállaló komfortosabban érezze magát, illetve igényeihez jobban testre szabhassa, hatékonyabbá tegye munkamenetét. (Mindehhez természetesen egy fair munkáltatói magatartás is tartozik, a törvényi szabályozással összhangban.)
A távmunka költségmegtakarításként megnyilvánuló aspektusai a következőek:
- Az említett rugalmas munkavégzésből fakadó hatékony reagálási készség a felgyorsult piacon üzleti előnnyé válhat, amely hozzájárul a bevételek növekedéséhez; illetve megkülönbözteti a vállalatot azon versenytársainál, akik nem élnek a technológia adta lehetőségekkel.
- Desksharing munkakörben dolgozók heti 2-3 napot otthonról dolgoznak, a hátra maradt napokat pedig a vállalat telephelyén – ezt váltásban megvalósítva két főre elegendő egy munkaállomás – ebben van a megtakarítás.
- Ha a kolléga tudja, hogy olyan a napi beosztása, hogy nem elengedhetetlen a fizikai jelenléte a munkahelyen, a távmunkával megspórolhatja az beutazással töltendő időt (azaz hatékonyabb lesz), és az ebből fakadó benzinköltséget (azaz megtakarít a vállalat javára). Az, hogy mindez akár még zöldnek is tekinthető, az már csak a kandírozott cseresznye a hab tetején.