Jaká je vlastně opravdu ideální práce?

I když jsem si slíbila, že se usadím a budu spokojená se svou současnou prací, šla jsem na pohovor ohledně pozice man...


I když jsem si slíbila, že se usadím a budu spokojená se svou současnou prací,
šla jsem na pohovor ohledně pozice manažera bezpečnosti ve velkém lékařském
středisku. Měla bych to blíž domů, nabízeli lepší plat a náborový pracovník
plný elánu to podal tak, že bych tam mohla pracovat na zajímavých projektech.
Setkala jsem se s CIO, řediteli pro IT a vývoj softwaru a s ředitelem pro
interní audit. Všichni se mne ptali, jak by měla vypadat moje ideální práce.
Tato věčná otázka na pohovoru mě vždycky donutí se v duchu smát, protože můj
ideál je vůbec nepracovat. Jsem v zásadě upřímná, ale jsou věci, které na
pohovoru opravdu říci nemůžete, takže jsem se naučila, jak mám vyjádřit pravdu,
aniž bych vypadala jako naprostý idiot. Řekla jsem jim proto, že poté, co jsem
pár let strávila nezávislou poradenskou prací v zajišťování technické
bezpečnosti, ráda bych se vrátila zpět do této oblasti práce na plný úvazek,
pokud ale bude prostředí podniku dobré. Mezitím hledám profesní příležitost,
která mi umožní pokračovat v práci smysluplným způsobem. Bla, bla, bla... Žádný
happy-end
Holá pravda je ale taková, že chci psát knížku, která by se stala základem pro
skvělé filmové seriály a potom cestovat po světě a psát příběhy z exotických
míst. Jediná technologie, na které bych trvala, by byl bezdrátový laptop a
mobilní telefon. Nechci se doslova ani podívat na nějakou další konfiguraci
firewallu až do konce svého života. Ale jestli mně nebylo úplně jasné, čím
vlastně chci být, až vyrostu, jim zas nebylo příliš jasné, jakou že to pozici
vlastně chtějí obsadit.
Všichni odpovídali různě, když jsem se jich ptala, co si myslí, že bude člověk
na inzerovaném novém pracovním místě vlastně dělat. Není to tak neobvyklé, ale
to byl teprve začátek matení. Popis práce na internetových stránkách lékařského
střediska naznačoval, že manažer bezpečnosti bude podřízeným CIO, ale já jsem
zjistila, že byl přesunut pod interní audit. Ve skutečnosti se tato pozice
během posledního asi tak týdne dramaticky změnila a CIO začínal působit spíše
jako vedoucí oblasti bezpečnosti (CSO).
No, mám bohaté zkušenosti s technickou bezpečností, ale je to svět zcela
odlišný od interního auditu. Interní auditoři mluví o řízení rizika, zatímco
technici bezpečnosti mluví o konfiguraci specifických zařízení. Hovoří sice o
stejných věcech, ale v různých jazycích a z různých úhlů pohledu. Já vím, jak
přemostit propast mezi těmito dvěma prostředími a rozumím tomu, jak se
například otevřené porty na firewallu mohou stát velikým rizikem pro společnost
a jak podstatný dopad mohou mít. To ale neznamená, že mluvím jazykem auditorů.
Zmatená organizace Už končil den, když jsem se konečně setkala s ředitelem pro
vnitřní audit. Do té doby jsem měla víc otázek než odpovědí. Ale jestliže jedna
z těch zatím nezodpovězených otázek byla, zda by mi ta práce vyhovovala, rázem
jsem po setkání s ním vystřízlivěla. Řekl: "Setkal jsem se s několika lidmi,
kteří měli stejně tolik zkratek za jménem jako máte vy, ale kteří museli dělat
jenom to, co jim řeknu já, aby dělali." Musela jsem se smát a řekla, "To jsem
ale nikdy nemohla být já. Já jsem totiž tvrdohlavá." Musel si uvědomit, že mám
obavy z podřízení internímu auditu a náš rozhovor mě přivedl k tomu, abych na
kus papíru nakreslila organizační strukturu. V mé struktuře bylo IT odděleno od
interního auditu a od toho, co jsem nazývala jako "podniková kontrola". Pod
touto hlavičkou byla zahrnuta bezpečnost informací, obnovení po výpadku a
kontinuita provozu. Každá z těchto tří disciplín byla podřízena výkonnému
pracovníkovi na úrovni konkrétního šéfa s tím, že IT spadalo pod CIO, interní
audit pak pod finančního ředitele nebo CEO a konečně podniková kontrola pod
provozního ředitele nebo CSO. To předchází problému lišky honící se za mnoha
zajíci. Ale moje pojetí ideální organizace má šanci být přijato, až začnu
pobírat honoráře za filmové licence ve stylu Harryho Pottera. Podstatné totiž
je, že většina organizací (a tato určitě), nerozumí rozsahu úkolů, které chtějí
od výše uvedených disciplín, a nejsou ani ochotní je všechny řádně obsadit.
Šance na zlepšení
Tak, jak nám docházel čas, ředitel pro vnitřní audit se zeptal, jestli se s ním
setkám ještě jednou, aby mne mohl přesvědčit, že tato pozice by mohla pod jeho
oddělením vzkvétat, zvláště, když dostane příležitost správný vedoucí. Dostala
jsem čas na rozmyšlenou přes víkend. Jak jsem se tak vším probírala, dynamika
organizačních změn byla pro mě tím hlavním podezřelým faktorem. Skutečnost, že
CIO pospíchal, aby byl jmenován do působnosti CSO, ačkoliv by to znamenalo
převedení přímého podřízeného pracovníka pro bezpečnost pod auditora, mě vedlo
k přesvědčení, že není příliš nadšen tím, že přestává mít pod sebou divizi
bezpečnosti. Ředitel pro vývoj softwaru hledal řídícího člověka pro bezpečnost
aplikací, ve které jsem ale poněkud slabá. A pak tu byl ještě ředitel pro
audit, který byl v organizaci nový, plný nápadů a chtěl se vším pořádně
pohnout, a to i s informační bezpečností. Přinejmenším IT ředitel věděl, že
jeho "hoši ze sekce sítí WAN" mají bezpečnost pod palcem, takže jeho týmu by
mohl být důležitý spojenec. Ale situace je krajně nepřehledná člověk by řekl,
jak je vše v jednom pytli pomíchané. A v tomto pytli chtěla ona organizace
přepracovat architekturu technické bezpečnosti, hodnocení bezpečnosti, školení
o povědomí bezpečnosti, interní audit, dokumentaci a spoustu dalšího. To, co
podle mne potřebují, je alespoň jeden expert technické bezpečnosti pro IT, pro
školení bezpečnosti IT pracovníků a také člověka, jehož úkolem bude u
zaměstnanců zvýšit povědomí o bezpečnosti a o potřebě školení, dále osobu
určenou pro správu interního auditu (muselo by jít o samostatnou funkci),
zaměstnance zajišťující obnovu po výpadku či plánování kontinuity provozu. Tak
mi přišlo na mysl, že bych měla vytrvat a napsat konečně tu knížku...
Řešíte podobné problémy jako C. J. Kellyová? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu:
bezpecnost@idg.cz.(pal) 6 0966









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.