Ony existují nějaké bezpečnostní směrnice?

Jistě, můžete vydat firemní bezpečnostní směrnice. Ale bez aktivních následných kroků je nikdo nebude číst a e-ma...


Jistě, můžete vydat firemní bezpečnostní směrnice. Ale bez aktivních následných
kroků je nikdo nebude číst a e-mailoví červi se k vám budou rádi vracet.
Když jsem byl nedávno na obědě se skupinou zaměstnanců našeho IT oddělení,
stočila se řeč na přívaly červů, které zaplavily naši firmu během posledních
několika měsíců. Tvrdil jsem, že příčina je zřejmá: Příliš často se najde
důvěřivý zaměstnanec, který otevře e-mailovou přílohu z nedůvěryhodného zdroje,
a následkem toho se škodlivý kód dostane do naší sítě.
K mému údivu se jeden z přítomných zeptal: "A jak máme my nebo další
zaměstnanci vědět, že bychom neměli otevírat určité druhy příloh?" Byl jsem v
šoku. Vysvětlil jsem mu, že přece provádíme příslušná firemní školení a
vydáváme směrnice, které slouží k seznámení zaměstnanců s pravidly využívání IT
zdrojů.
Nevěřícně na mě zírali. Žádný z půl tuctu lidí u stolu což byli zčásti zkušení
zaměstnanci a také někteří nováčci nikdy nenavštívil žádnou poradu týkající se
bezpečnosti a nečetl žádnou ze zveřejněných směrnic, jejichž vypracování mě
stálo tolik úsilí. A to přesto, že jsme směrnice umístili na náš intranet už
před šesti měsíci a každý zaměstnanec by se s nimi měl povinně seznámit.
Navíc jsem předal jejich kopii firemnímu oddělení lidských zdrojů, a to včetně
prezentace v PowerPointu, určené k jejich objasnění novým zaměstnancům.
Oddělení HR mělo s touto prezentací obeznámit každého nově přijatého
zaměstnance v rámci jeho proškolení o chodu společnosti.

Nikoho to nezajímá
Co se vlastně stalo? Bohužel nemáme proceduru, která by vyžadovala od nových
pracovníků seznámení se s výše zmíněnými pravidly, nebo podpisový list, kde by
zaměstnanci potvrdili, že si směrnice přečetli a že jim rozumějí. Kontrola je
tedy velmi obtížná.
Kromě prezentace pro nové zaměstnance odeslalo naše oddělení několik e-mailů
stávajícím pracovníkům a v nich upozorňovalo na webovou stránku oddělení IT
pojednávající o bezpečnosti, příslušných směrnicích, postupech a pravidlech.
Tuto stránku ale navštívilo jen 560 z více než 6 000 zaměstnanců.
Naplánoval jsem si tedy schůzku se zástupcem z oddělení lidských zdrojů. Žena,
s níž jsem hovořil, nedávno nastoupila; pracovník, se kterým jsem jednal dříve,
z firmy odešel. Sdělila mi, že prezentaci o počítačové bezpečnosti viděla, ale
není si vědoma toho, že by ji jejich oddělení mělo využívat. Její prioritou,
jak poznamenala, byly věci, jako jsou výplaty a zaměstnanecké výhody. Ujistila
mne ale, že si materiály prohlédne a začne je používat.
Zjevně jí vůbec nedocházelo, že se jedná o důležitou věc. Proto jsem jí
vysvětlil, jak si nedávné virové nákazy vyžádaly nesčetné hodiny lidské práce a
způsobily silné zklamání v oddělení IT. Ukázalo se, že si dotyčná matně
vzpomíná, že jí někdo volal ohledně plánovaného odstranění virů z jejího
vlastního počítače, ale o rozsahu problému neměla ani potuchy.
Sdělil jsem jí tedy, že nedávná virová epidemie mohla být minimalizována nebo k
ní vůbec nemuselo dojít, pokud by se uživatelé seznámili s bezpečnostními
směrnicemi a dodržovali je.
Následně jsem ji informoval o incidentu, po kterém naše firma nedávno rozvázala
pracovní poměr se zaměstnancem, který využíval firemní počítače ke sdílení a
distribuci dětské pornografie. Kdyby byl onen uživatel seznámen s pravidly
využívání počítačové sítě a věděl o tom, že podobné aktivity jsou monitorovány,
možná by si býval rozmyslel provozování nepovolených a ilegálních činností v
pracovní době.

Další opatření
Nakonec, abychom uvedli věci do pořádku, jsem souhlasil s tím, že se budu
účastnit seznamovacího programu pro nové zaměstnance. A to tím, že je budu
osobně provádět prezentací týkající se bezpečnosti, a to až do doby, než bude
oddělení HR připraveno realizovat tuto činnost samo.
Ve světle problémů s viry, které nás nedávno potkaly, jsem se rozhodl věnovat
několik dní přehodnocení a úpravě prezentace tak, aby obsahovala některé
dodatečné informace o škodlivých kódech.
Dosud jsem se zúčastnil jednoho proškolení nových pracovníků. Vůbec mě
nepřekvapilo, že nejvíce dotazů se týkalo e-mailu a zacházení s podezřelými
přílohami.
Zajistil jsem také distribuci informačních letáků o intranetové stránce
týkající se bezpečnosti IT s uvedením kontaktních údajů na bezpečnostní tým.
Při prezentacích jsem zdůrazňoval, že každý nový zaměstnanec je odpovědný za
to, že se bude pravidelně seznamovat s novými informacemi na firemním intranetu
a prostuduje příslušné směrnice a pravidla. Přítomným jsem také vysvětlil, že
seznámením s uvedenými pravidly mohou zaměstnanci pomoci firmě odhalit
podezřelé aktivity a zabránit tomu, aby škodlivý kód pronikl do počítačové sítě.

Šíření informací
Ale ani to zřejmě nebude stačit. Zvažuji absolvování několika pracovních
schůzek u oběda s pracovníky oddělení lidských zdrojů, při nichž bych jim
zdůraznil nutnost informovat zaměstnance o potřebě pochopení a dodržování
bezpečnostních pravidel. Také se chystám vytvořit a využít nástroj, který by mi
pomohl s distribucí směrnic všem zaměstnancům. Potřebuji webovou aplikaci,
která je schopna sledovat, kteří zaměstnanci směrnice četli, kdy tak učinili a
zda se seznámili skutečně se všemi, jež se týkají jejich pracovního zařazení. V
závislosti na funkci se některých týkají určitá pravidla více než jiná.
Například pracovník marketingu jistě nepotřebuje znát pravidla pro vzdálený
přístup k unixovým serverům.
Informace od potenciálních dodavatelů systému již mám. Nyní ještě potřebuji
spolehlivé reference od zkušených uživatelů. Na jejich základě se snad budu
moci rozhodnout, který produkt by pro nás byl nejvhodnější.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.