Компания программистов должна быть крайне внимательна к информационной безопасности, ведь большинство проектов мы даже не имеем права демонстрировать в портфолио. Поэтому трудовые будни, помимо программирования, включают борьбу с потенциальной опасностью утечек информации, выбор и назначение надежных проектных команд и игру в дартс.
Три аспекта информационной безопасности
Юридический аспект | Поскольку флешки и интернет необходимы для работы, существует опасность утечки информации через скайп, почту и внешние носители. Жёсткий технический контроль требует много времени и неприятен сотрудникам. Поэтому при заказной разработке или продажах ПО предпочтительны юридические инструменты защиты данных. В договоре прописываются требования по хранению и уничтожению информации и санкции за невыполнение этих требований. Каждый сотрудник несёт ответственность перед компанией и подписывает NDA (соглашение о неразглашении), что является нормальной практикой для РФ. Кроме того, мы имеем опыт организации секретной разработки, которая стоит в два раза дороже. Сотрудник вправе отказаться от участия в таком проекте. Не возражая против повышенной ответственности, разработчик подписывает дополнительное соглашение и взамен получает премию, которая иногда достигает размера основной оплаты. | ||
Технический аспект | В EDISON разграничен доступ к блокам информации. Например, если проект состоит из серверной части и мобильного приложения, то разработчику последнего предоставляется доступ к исходному коду только мобильного приложения. То же в отношении проектной документации: задачи, не касающиеся приложения, неизвестны мобильному разработчику. Доступ ко всем ресурсам (система управления проектами, система исходных кодов) осуществляется только по шифрованным протоколам с обязательной аутентификацией по сложному паролю. Ведутся протоколы внесения изменений в системы управления проектами и исходным кодом, журналы доступа VPN и доступа к серверу. | ||
Организационный аспект | Каждый сотрудник может использовать только свою рабочую станцию с помощью смарт-карты и входа в сеть. Если проектной команде требуется доступ на сервер заказчика, то его имеет только ведущий разработчик. Когда сотруднику выдаются учётные данные для входа на серверы заказчика или внутренние серверы, ведётся реестр выданных логинов и паролей. В случае увольнения сотрудника реестр проверяется, и учётные данные меняются. |
Доступ
Доступ к ресурсам заказчика. Новый сотрудник никогда не назначается ответственным или единственным разработчиком проекта. Во время испытательного срока он работает либо самостоятельно на незначительных проектах, либо под руководством проверенного тимлида.
Доступ к внутренним ресурсам. Доступ к серверной, делегирование административных функций происходят по той же схеме. Новый человек, даже будучи отличным специалистом, не может выполнять эти функции — он должен отработать в компании минимум три года. Это не только технический момент, но и психологическая работа (HR-менеджера, технического директора), когда решение о надёжности сотрудника принимается коллегиально. И даже после этого делегирование функций и повышение уровня доступа происходят постепенно. Доступ в офис ограничен системой контроля, основанной на проксимити-картах.
В главных узлах офиса установлено видеонаблюдение. В большинстве случаев оно помогает предотвратить нарушение, а не способствует расследованию инцидентов. Ведь лучше предупредить проблему, чем её потом решать.
Хотя, конечно, бывает всякое…
Сохраняется видео в облачном видео-сервисе, и уничтожить собранный материал невозможно.
Почему мы не любим опенспейсы
Существует мнение, что работа в опенспейсах повышает продуктивность. Вот и Марк Цукерберг записывает видео в новом офисе, представляющем собой огромный опенспейс. Это удобная точка зрения, ведь таким образом можно вместить большее количество людей на площадь меньшую, чем нужна для создания индивидуального рабочего пространства. На наш взгляд, большой зал с обилием людей, решающих разные задачи, и эти почти картонные перегородки создают лишь иллюзию личного пространства, но нисколько не способствуют концентрации и вызывают нервозность. Сотрудники в опенспейсах даже вешают таблички: «Пожалуйста, не подходите ко мне сзади» или «Пожалуйста, стучитесь». Это показатель. Мы не хотим, чтобы разработчики постоянно переживали, что в любой момент кто угодно может их потревожить, нарушив необходимую концентрацию.
Разработчики, которые создают интеллектуальную собственность, являющуюся нашим продуктом, — это ключевой ресурс и основная движущая сила производства. Поэтому рабочее пространство для программистов организовано так, чтобы им не мешали другие сотрудники, которые также необходимы компании, но выполняют другие задачи и могут отвлекать.
Программирование — творческий процесс, требующий погружения и концентрации. Невозможно, к примеру, находиться в одной комнате с сотрудниками колл-центра и программировать. Поэтому в EDISON чёткое физическое разделение тех, кто общается с заказчиками (служба поддержки, менеджеры по продажам, бухгалтерия), и тех, кто создает ПО. В кабинетах разработчиков нет рабочих телефонов, а личные сотовые включены на беззвучном режиме — это важное правило!
Мы считаем, что в одном помещении должны находиться максимум четыре человека. Программисты — в основном, интроверты. Среди них немногим нужно постоянное общение, обмен эмоциями с другими людьми.
Поэтому группы по 3-4 человека — это оптимум, который позволяет получать естественным образом общение в ходе работы без отвлечения от своих задач. Если в комнате больше четырёх человек, сконцентрироваться сложно: обилие движения порождает обилие различных отвлекающих шумов.
А для общения есть отдельная комната, где сотрудники могут собраться и поболтать за чашкой чая.
Небольшие перерывы в течение дня способствуют быстрому восстановлению работоспособности и собранности. В комнате отдыха есть всё необходимое: холодильник с едой, кресла и диван. Кроме того, мы установили в офисе небольшой турник — повисеть полезно при сидячей работе. И очень полюбился коллегам дартс.