Z Arkadiuszem Olchawą, dyrektorem IT w Biurze Podroży Itaka rozmawiamy o tym, jak na stan epidemii w Polsce reaguje branża turystyczna, czy można było się przygotować na taką sytuację, czym różni się od innych sytuacji kryzysowych, z jakimi, największymi problemami musiała sobie poradzić Itaka i w jaki sposób tego dokonano.
We wcześniejszych scenariuszach nie zakładaliśmy potrzeby pracy zdalnej dla naszych salonów sprzedaży i call center. Korzystaliśmy już wcześniej – w szczycie sezonu – z możliwości przekierowywania ruchu nadmiarowego do innych punktów sprzedaży. Także w razie niedostępności jednego z nich – z dowolnego powodu – przekierowujemy ruch z poszczególnych salonów do call center lub innych punktów. Każdy z nich jest połączony z pozostałymi w modelu Full Mesh oraz z każdym z naszych centrów danych. Obecnie jednak nasze punkty w galeriach handlowych zostały zamknięte. Wobec tego ciągłość działania call center mogłaby być zagrożona. Sytuacja ta wymagało więc od nas zorganizowania w krótkim czasie możliwości pracy zdalnej również dla tej grupy pracowników.
Czy da się przygotować na sytuację taką, z jaką mamy dziś do czynienia?
Do takiego zdarzenia nie można się przygotować w 100%. Można jednak opracowywać scenariusze bazujące na historycznych zdarzeniach, związanych z nimi doświadczeniach i adaptować do aktualnej sytuacji. Łatwiej jest też dostosować się organizacjom, które wykorzystuję zwinne metody zarządzania. Dużo o zwinności mówiliśmy przez ostatnie lata, teraz następuje weryfikacja tego, czy faktycznie organizacje potrafią działać w ten sposób.
Czy standardowe plany Business Continuity wystarczają? Zwykle dotyczą one problemów z funkcjonowaniem infrastruktury IT, a nie niedostatecznym, permanentnym brakiem pracowników…
Nie doświadczamy braku pracowników, za wyjątkiem osób pełniących opiekę na dziećmi. Co prawda w większości nie przebywają oni w biurach, ale są dostępni i codziennie pracują. Poza standardowymi obowiązkami, obsługują wszystkie wyjątkowe zdarzenia związane z obecną sytuacją, a w branży turystycznej jest ich niemało. Warto podkreślić, że wartością planów zapewniających ciągłość działania jest to, że są potwierdzeniem wykonanego planowania.
Jeżeli jest zespół profesjonalistów, który pracował nad analizą różnych możliwych scenariuszy, to ten zespół może teraz na bieżąco opracowywać adekwatny plan działania i jednocześnie go wdrażać. Osobiście jestem zwolennikiem planów i dokumentacji, które stanowią minimalną ramę i są użytecznym narzędziem. Z założenia Plany Ciągłości Działania, powinny być proste w formie i możliwie zwięzłe. Łatwo je wtedy dostosować do sytuacji. Zespól powinien móc działać bez takich planów, ale powinny one pozwalać mu działać automatycznie, oszczędzać czas i zasoby w przypadku zdarzeń wcześniej zdefiniowanych.
Czy w jakikolwiek sposób musieli Państwo dostosowywać swój plan działania do obecnej sytuacji? Z jakimi największymi problemami się Państwo spotkali i jakie działania musieli Państwo podjąć?
We wcześniejszych scenariuszach nie zakładaliśmy potrzeby pracy zdalnej dla naszych salonów sprzedaży i call center. Korzystaliśmy już wcześniej – w szczycie sezonu – z możliwości przekierowywania ruchu nadmiarowego do innych punktów sprzedaży. Także w razie niedostępności jednego z nich – z dowolnego powodu – przekierowujemy ruch z poszczególnych salonów do call center lub innych punktów. Każdy z nich jest połączony z pozostałymi w modelu Full Mesh oraz z każdym z naszych centrów danych. Obecnie jednak nasze punkty w galeriach handlowych zostały zamknięte. Wobec tego ciągłość działania call center mogłaby być zagrożona. Sytuacja ta wymagało więc od nas zorganizowania w krótkim czasie możliwości pracy zdalnej również dla tej grupy pracowników.
Planujemy pójść w kierunku architektury Zero Trust. Docelowo planujemy jednak pójść w kierunku pełnej architektury Zero Trust. Zakłada ona, że organizacja nie ufa żadnym podmiotom niezależnie, czy znajdują się wewnątrz, czy na zewnątrz i zapewnia ścisłą weryfikację i kontrolę nad każdym użytkownikiem, urządzeniem, aplikacją i siecią wykorzystywaną do uzyskiwania dostępu do danych. Jednocześnie – jako że 95% wykorzystywanych przez nas aplikacji, to aplikacje webowe, a pakiet Office 365 działa w chmurze – możemy przetwarzanie danych na komputerach użytkowników znacznie ograniczyć.
Jakie działania podjęto w pierwszej kolejności? Czy jest to zabezpieczenie narzędzi dla pracowników, którzy masowo zaczęli pracować zdalnie?
W naszym przypadku 2 marca zespól odpowiedzialny za bezpieczeństwo opracował scenariusz pracy na wypadek całkowitego braku dostępu do siedziby głównej i wszystkich oddziałów firmy. W tamtym czasie, wyglądało to na ćwiczenie teoretyczne. Firma ma strukturę rozproszoną i znaczna część pracowników wykorzystuje dostępy zdalne okresowo lub na co dzień, zadanie było wiec ułatwione. Poprosiliśmy osoby, które mają dostępy zdalne, o potwierdzenie poprawności ich działania i bieżące korzystanie z nich, żeby wychwycić ewentualne problemy przed kumulacja zapytań w momencie kryzysu. Następnie określiliśmy, które działy i osoby w tych działach powinny taki dostęp uzyskać, w razie sytuacji kryzysowej i zabezpieczyliśmy dla tych osób odpowiedni sprzęt i oprogramowanie. Kiedy ogłoszono stan zagrożenia epidemicznego, 75% pracowników przeniosło się na pracę zdalną. Pozostałe osoby pełnią dyżury stałe bądź rotacyjne, a w razie potrzeby również zaczną pracować zdalnie. Istotne było także określenie kluczowych specjalistów, partnerów, ich dostępów do systemów oraz działań koniecznych, w razie braku ich dostępności z powodu izolacji bądź kwarantanny.
Jak poradzić sobie z zarządzaniem zespołami, gdy ludziom doradza się zostanie w domach? Czy wdrożono jakieś narzędzia usprawniające tę pracę, czy też korzystali już z nich Państwo?
Korzystamy z rozwiązań chmurowych. Przykładowo wszyscy nasi pracownicy od kilku lat pracują na Office 365. Zaledwie kilka dni zajęło nam więc wdrożenie dla wszystkich pracowników aplikacji Microsoft Teams. W działach IT i eCommerce praca zdalna jest czymś normalnym. W przeszłości korzystaliśmy z wielu różnych narzędzi do komunikacji, więc możemy dziś skorzystać z tych doświadczeń.
W jaki sposób zabezpieczyć w obecnej sytuacji funkcjonowania centrów danych i działających w nich systemów IT? W jaki sposób zabezpieczyć bezpieczny dostęp do nich?
Korzystamy z rozwiązania Access VPN pozwalającego na identyfikację zarówno dowolnego urządzenia, jak i użytkownika. Umożliwia ono również wymuszanie szczegółowej kontroli dostępu w oparciu o stan zgodności każdego urządzenia i użytkownika. Docelowo planujemy jednak pójść w kierunku pełnej architektury Zero Trust. Zakłada ona, że organizacja nie ufa żadnym podmiotom niezależnie, czy znajdują się wewnątrz, czy na zewnątrz i zapewnia ścisłą weryfikację i kontrolę nad każdym użytkownikiem, urządzeniem, aplikacją i siecią wykorzystywaną do uzyskiwania dostępu do danych.
Jednocześnie – jako że 95% wykorzystywanych przez nas aplikacji, to aplikacje webowe, a pakiet Office 365 działa w chmurze – możemy przetwarzanie danych na komputerach użytkowników znacznie ograniczyć. Technologie zabezpieczeń aplikacji webowych są na tyle zaawansowane, że wszyscy korzystamy z aplikacji bankowych, a bezpieczeństwo naszych danych i pieniędzy jest zagwarantowane. Jest to więc możliwe również dla aplikacji korporacyjnych.
Jeżeli jest zespól profesjonalistów, który pracował nad analizą różnych możliwych scenariuszy, to ten zespół może teraz na bieżąco opracowywać adekwatny plan działania i jednocześnie go wdrażać. Osobiście jestem zwolennikiem planów i dokumentacji, które stanowią minimalną ramę i są użytecznym narzędziem. Z założenia Plany Ciągłości Działania, powinny być proste w formie i możliwie zwięzłe. Łatwo je wtedy dostosować do sytuacji. Zespół powinien móc działać bez takich planów, ale powinny one pozwalać mu działać automatycznie, oszczędzać czas i zasoby w przypadku zdarzeń wcześniej zdefiniowanych.
Czy rozważane jest np. przeniesieniem części zasobów do zewnętrznych centrów danych?
Od kilku lat nie posiadamy własnego data center. Korzystamy z kolokacji własnej infrastruktury w profesjonalnym centrum danych, zasobów IT udostępnianych w postaci usługi przez lokalnych dostawców DC, a także chmury publicznej. Taka architektura pozwala nam działać nieprzerwanie niezależnie od lokalizacji pracowników i dostępności biur. Ma też taką zaletę, że możemy ją dopasować do aktualnego obciążenia, a jego rozkład jest dzisiaj diametralnie inny niż jeszcze trzy tygodnie temu. Przy okazji chciałbym podziękować wszystkim partnerom IT naszej firmy – nie tylko dostawcom usług data center – za idealną, i jest to jedyne właściwe słowo, współpracę, w tym turbulentnym czasie.
Czy w związku z tym, że rośnie zapotrzebowanie na zdalny dostęp do zasobów zwiększają Państwo w jakiś sposób przepustowość łączy?
Tak, była taka potrzeba i nasi partnerzy zaalokowali dla nas dodatkową przepustowość, którą będziemy mogli wykorzystać w przypadku incydentalnego wzrostu obciążenia.
Czy masowe przejście pracowników na pracę zdalną zwiększa ryzyko tzw. cyberataków? Hakerzy już wykorzystują strach przed COVID-19…
To jest ryzyko, które należy brać pod uwagę. Na bieżąco monitorujemy wiarygodne źródła informacji o takich atakach, aby – w razie potrzeby – informować o nich pracowników. Są to najczęściej ataki socjotechniczne, ale rozważamy też inne zagrożenia.
Czy w związku z tym wzrosło zapotrzebowanie w Państwa firmach na rozwiązania z zakresu bezpieczeństwa, np. konieczne jest zakupienie dodatkowych licencji na VPN?
W naszym przypadku z racji modelu licencjonowania, nie było takiej potrzeby.
Czy – w związku z obecną sytuacją – wymagana jest zmiana w konfiguracji systemów bezpieczeństwa, np. zwiększenia stopnia segmentacji dostępu do poszczególnych zasobów?
Jak wcześniej mówiłem, w mniejszej skali korzystamy ze zdalnych dostępów do systemów w normalnej sytuacji, w związku z czym, obecnie nie są konieczne do wprowadzenia znaczne zmiany, wyłącznie bieżące dostosowania.
Rozmawiał Adam Jadczak
Działania, które Biuro Podróży Itaka podjęło w pierwszej kolejności w związku z epidemią koronawirusa
- Już 2 marca zespól odpowiedzialny za bezpieczeństwo opracował scenariusz pracy na wypadek całkowitego braku dostępu do siedziby głównej i wszystkich oddziałów firmy. W tamtym czasie, wyglądało to na ćwiczenie teoretyczne.
- Biuro Podróży Itaka ma strukturę rozproszoną i znaczna część pracowników wykorzystuje dostępy zdalne okresowo lub na co dzień, zadanie było wiec ułatwione. Poproszono osoby, które mają dostępy zdalne, o potwierdzenie poprawności ich działania i bieżące korzystanie z nich, aby wychwycić ewentualne problemy przed kumulacją zapytań w momencie kryzysu.
- Określono, które działy i osoby w tych działach powinny taki dostęp uzyskać, w razie sytuacji kryzysowej. Zabezpieczono dla tych osób odpowiedni sprzęt i oprogramowanie.
- Kiedy ogłoszono stan zagrożenia epidemicznego, 75% pracowników przeniosło się na pracę zdalną. Pozostałe osoby pełnią dyżury stałe bądź rotacyjne, a w razie potrzeby również zaczną pracować zdalnie.
- Istotne było także określenie kluczowych specjalistów, partnerów, ich dostępów do systemów oraz działań koniecznych, w razie braku ich dostępności z powodu izolacji bądź kwarantanny.
