Bezpečnostní politika

V organizacích státní správy je zřetelný trend rostoucích investic do bezpečnostních technologií. To je bezesporu v


V organizacích státní správy je zřetelný trend rostoucích investic do
bezpečnostních technologií. To je bezesporu vítaný krok, bohužel současně s
bezpečnostními technologiemi se zapomíná na implementaci bezpečnostní politiky.
Přitom samotné technologie bez bezpečnostní politiky nebudou nikdy bezpečné.
Pokud například neexistuje bezpečnostní politika, spočívá veškerá konfigurace
na vědomí a svědomí administrátora, na jeho zkušenostech, znalostech a
přístupu. Ani sebeinteligentnější technologie nemůže zabránit jeho pochybení.
Pokud bezpečnostní politika neexistuje, mohou uživatelé stahovat gigabajtová
videa, zadávat své e-mailové adresy do veřejných konferencí s následným
přílivem nevyžádané pošty (spam), tisknout si pětisetstránkový překlad Harryho
Pottera, a to vše zcela beztrestně, neboť neexistuje závazný dokument, který by
podobné činnosti omezil. Bez bezpečnostní politiky se mnohdy zapomíná na to, že
informace, které je třeba chránit, existují nejenom ve formě dat, ale i v
papírových a jiných dokumentech, jsou telefonicky i osobně sdělovány, zasílány
faxem, svěřovány různým záznamníkům a vůbec nejrůzněji prezentovány.
Pro větší názornost si uveďme dva příklady konkrétních dopadů absence
bezpečnostní politiky. Prvním příkladem je rozesílání vtipů z pracovních
e-mailových účtů. Jedná se o velmi častý případ, málokdo si ale uvědomuje možné
dopady. Tyto vtipy jsou obvykle přeposílány z jednoho e-mailového účtu na další
a v těle e-mailu se postupně kupí hlavičky jednotlivých odesílatelů. Přitom
stačí, aby mezi příjemci byla jedna osoba, kterou daný vtip pobouří (například
protože je rasově či sexuálně orientovaný), a všechny osoby uvedené v těle
e-mailu mají, lidově řečeno, zaděláno na problém. A jejich zaměstnavatel s
nimi. Zvlášť v prostředí státní správy, která by měla být příkladem
antidiskriminační politiky. Pokud ale neexistuje bezpečnostní politika, se
kterou by byl zaměstnanec seznámen a v níž by bylo uvedeno, k jakým účelům lze
a k jakým nelze používat pracovní e-mailové účty, není možno zaměstnance
prakticky nijak potrestat.
Dalším příkladem je ukládání informací na lokální počítače. Většina pracovníků
si příležitostně ukládá různé dokumenty a tabulky na lokální počítač. Tyto
počítače se ale často, na rozdíl od serverů, nenacházejí v dobře zabezpečených
prostorách a může dojít k jejich zcizení. Řešení je možné najít v bezpečnostní
politice, která buď výslovně zakáže ukládání citlivých dat na lokální stanice,
nebo v lepším případě stanoví postup, jak tato data na lokálních stanicích
chránit (šifrování atd.).
Bezpečnostní politika by samozřejmě neměla být zaklínadlem, vzhledem k různým
adresátům (technici, uživatelé) ani nejde o jeden dokument, který se navíc jako
"politika" nemusí jmenovat. Vždy však jde o závazně stanovená a vhodnou formou
prezentovaná pravidla, jak zacházet s informacemi a jak administrovat a
používat jednotlivé informační systémy v konkrétní organizaci.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.