Manažer bezpečnosti na cestě do záhuby

Dobrý rozhled v technické stránce věci nemůže přebít špatné manažerské dovednosti. Když se k nim přidá ještě ...


Dobrý rozhled v technické stránce věci nemůže přebít špatné manažerské
dovednosti. Když se k nim přidá ještě arogance a neznalost procesů ve vlastní
firmě, jste na cestě do pekel.
Čas od času se účastním setkání kolegů z branže, s nimiž si vyměňujeme
nejrůznější zkušenosti ohledně otázek bezpečnosti v našich firmách. Většinou je
řeč především o nejrůznějších technických záležitostech obzvláště oblíbené jsou
tipy a triky jak vyzrát na něco, co nefunguje. Naposledy jsme se ale věnovali
jinému tématu totiž otázkám managementu a efektivní komunikace s podřízenými.
Diskuse se vyvinula až k bodu, kdy jsme se pokoušeli definovat, co dělá dobrého
manažera pro bezpečnost. Všichni jsme se shodli na tom, že by mělo jít o
zvídavého člověka schopného samostatného uvažování a disponujícího kombinací
technických dovedností spolu se schopností vést tým. Tento seznam kvalit je ale
jen velmi obecný. Navíc jsou tyto vlastnosti jen těžko rozpoznatelné v lidech
kolem nás. Opravdu je možné jen těžko sestavit nějaký seznam toho, co by měl
člověk dělat pro to, aby byl dobrým manažerem pro bezpečnost. Pravdou ale je,
že se mi spolu s výše uvedenými kolegy podařilo vymyslet několik věcí, které by
rozhodně dělat neměl.

Past arogance
Jedním z nejčastějších problémů bezpečnostních manažerů je arogance. Jsem si
jistý, že ani já jsem se občas tomuto problému nevyhnul, ale snad se u mě
neprojevoval tak moc jako u lidí, které popisovali jiní. Člověka to občas
svádí, aby zlehčoval argumenty těch, kteří nejsou zasvěceni do problému. Je
ovšem třeba odhadnout, kdy může jejich stanovisko posunout věci kupředu.
Dobrý manažer bezpečnosti skutečně musí věřit ve své schopnosti a v okamžicích
zvýšeného tlaku umět vydat rozhodnutí a stát si za ním. Problémem těchto
vlastností je ovšem skutečnost, že pokud jsou přehnané, mohou se stát naopak
slabinou.

Sdílení informací
Měl jsem kdysi šéfa, který se vždycky na potkání každému chlubil tím, na čem
právě pracuje. S oblibou k tomu využíval i naše pracoviště, kde jsme
shromažďovali používané nástroje a informace o všech probíhajících
vyšetřováních. Za normálních okolností se musel každý, kdo sem vstoupil,
podepsat při příchodu i při odchodu do knihy návštěv. Náš šéf sem však s
oblibou vodil nejrůznější návštěvy například zástupce dodavatelů. Zřejmě se
domníval, že mu dodá na vážnosti, když bude viděn v obklopení vším tím
hardwarem, softwarem a bílými tabulemi s informacemi o postupu jednotlivých
případů. Při naší práci jsme si vedli pečlivý seznam lidí, kteří se dostali k
informacím ohledně každého vyšetřovaného případu. To se týkalo i některých
složek, které se z našeho pohledu za určitých okolností jevily jako podpůrné
například osobního oddělení nebo právního oddělení naší firmy. Náš šéf však
líčil nad sklenkou dobrého pití detaily z naší práce i množství těch, kteří s
nimi neměli vůbec co dělat. A tak jsem byl čas od času nucen zapsat na seznam
zasvěcených i lidi z externích společností. Takový přístup samozřejmě mohl
ohrozit průběh jednotlivých vyšetřování i pověst naší společnosti jako celku.
Stejně nebezpečný ale může být i opačný přístup, kdy se skrývá úplně vše.
Takové to: "Řekl bych ti to, ale pak bych tě musel zabít." Podobné chování může
být stejně škodlivé jako to, při které vyprávíte vše, co víte, každému, kdo je
ochoten poslouchat. Při své práci se samozřejmě snažíme držet krok s dobou,
sledovat nejnovější poznatky z oblasti bezpečnosti. To, že se o některé
informace podělíme s kolegy v jiných odděleních, nám zase zajistí, že se oni o
ty své podělí s námi.

Važte si expertů
Abyste mohli vést bezpečnostní tým, nemusíte ještě být odborníky na bezpečnost.
Jeden z manažerů, kterých si nejvíce vážím, má jen málo formálních technických
vědomostí ohledně hardwaru a softwaru, zato ale disponuje neuvěřitelnou
schopností vyhmátnout u každého prezentovaného problému to skutečně podstatné a
pak se nechat informovat o technických detailech. Praktické zkušenosti vám
mohou pomoci s řešením problémů, pokud máte takový šestý smysl, ale rozhodně
nejsou vším. Daleko jednodušší je naučit člověka s analytickým myšlením
nakonfigurovat firewall než naučit technického experta analytickému myšlení.
Daleko horší slabinou bezpečnostního manažera je stav, kdy se nechá natolik
zahltit technickými podrobnostmi, že se jeho znalosti stávají spíše přítěží. Už
jsem to v několika situacích zažil. Jedna z nich nastala na jisté konferenci.
Člověk z bezpečnostního týmu nejmenované firmy tu prezentoval širšímu publiku
problematiku hackingu takovým způsobem, že se postupně změnila ve školení, jak
snadno a rychle napsat vlastní hackerské skripty. Opravdu není nijak úžasné,
když na nějaké obecněji zaměřené konferenci nebo na prodejním meetingu vstane
nějaký technik, který chce udělat dojem, a provede verbálně podrobnou
technickou rekonstrukci útoku na firemní servery.
Podobně občas postupují i prodejci některých bezpečnostních systémů. Naposledy
jsem to zažil v případě firmy, která se zabývá vývojem softwaru pro detekci
škodlivých kódů v Javě. Jejich prezentace měla za cíl přesvědčit vystrašené
bezpečnostní manažery, že tou jedinou správnou cestou je koupě jejich systému a
u těch, kteří do problematiky nevidí, byla možná i přes svou odbornost úspěšná.
Jistě, ze strany Javy nebo prvků ActiveX hrozí nebezpečí. Ale podle mých
zkušeností zatím největší škody, které ve firmách způsobily, měl na svědomí
nespolehlivý skenovací software.

Souboje klíčů
Další oblastí, kde může být nedostatek znalostí vážným hendikepem, je
kryptografie. Kolegové z jiných oddělení naší firmy mě často volají k různým
diskusím ohledně našich zabezpečení. Cílem je přesvědčit obchodní partnery
(nebo potenciální obchodní partnery), že je bezpečné se k nám připojit. Méně
zkušení bezpečnostní manažeři z takových firem se pak často omezí na otázku,
jak dlouhé používáme šifrovací klíče.
Proč si ale myslí, že to je to nejdůležitější? Pravděpodobně proto, že z důvodů
komplikovanosti propagace šifrovacích řešení se výrobci soustředí právě na
vyzdvihování jediného parametru svých produktů totiž délky klíče. Souboje o
délku klíčů pak vedou k situacím, kdy se produkty propagují slogany jako "1
million--bit key" apod. Ne, to skutečně neznamená, že by měl klíč, z
matematického hlediska, délku 1 milion bitů. Ale z marketingového pohledu?
Klidně.
Všechny zmíněné slabiny jsou nepříjemné, ale z mého pohledu nejhorší je
situace, kdy bezpečnostní manažer neví nic o byznysu, který má chránit. Pokud
nevíte, o co ve vaší firmě jde a jaká jsou rizika, se kterými se potýká, pak
otázky její bezpečnosti nikdy nevyřešíte správně.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.