Manažer bezpečnosti: Někdy si ušpiní ruce i manažeři

Pokud máte zredukovaný tým a dlouhý seznam úkolů, má občas smysl udělat některé věci osobně.

Manažer bezpečnosti: Někdy si ušpiní ruce i manažeři


Trouble Ticket
Co řešit: Potřebujeme provádět technické činnosti, avšak nemáme potřebný personál.
Akční plán: I manažer může realizovat některé úkoly sám.

S méně početným týmem a nulovým rozpočtem na konzultanty jsem si musel, aby se práce zvládla, půjčovat IT pracovníky z jiných oddělení. To bylo užitečné, ale nikdo z nich nemá specifické dovednosti, aby mohl analyzovat složitá pravidla firewallu a NAT.

Nedávno jsem objevil závažné díry ve firewallech naší společnosti a nedostatek personálu způsobil, že jsem musel provést potřebný audit firewallu sám. To není nic špatného, že?

Myslím si, že když kromě řízení týmu dělám i nějakou inženýrskou práci, administrativu a činnost spojenou s architekturou, přidávám celému našemu týmu hodnotu. Když vyměním svou roli manažera za úlohu technika, je to téměř jako mít k dispozici další personál.

Manažer pro nikoho?
Můj šéf si to ale nemyslí. V mém případě si přál, abych přestal dělat technickou práci a soustředil se pouze na řízení. Upřímně řečeno nevím, jak by to mohlo fungovat, když nejsme schopni najmout si technický personál a propouštění nás připravilo o některé z našich nejzkušenějších lidí.

Co je dobrého na tom, když se IT personál skládá hlavně z manažerů a není téměř nikdo, koho by mohli řídit?

Rozpočtová situace je opravdu špatná. Poté, co jsme dokončili rozpočtové plánování na další fiskální rok, rozhodla exekutiva o jeho snížení téměř na polovinu. To pro daný rok znamená nemít žádné nové projekty, technologie ani personál.

Mohlo by to být ještě horší, ale zatím se ještě nehodlám zabývat možností propouštění. Faktem nicméně je, že naše společnost stejně jako mnoho jiných bojuje o přežití. Nevím, co lze očekávat příště, ale nemusí to být dobré.

Mezitím pokračuji ve své práci na technologiích, a to navzdory nesouhlasu ředitele IT. Mathias Thurman nedávno psal, že jejich CIO zkoumal investice do produktu SIEM. Jsem rád, že jsem na stejné lodi, tj. že se nám podařilo koupit nástroj pro správu událostí a incidentů zabezpečení před příchodem současných problémů.

Máme tak alespoň přehled o dění v naší síti. Bohužel nemám nikoho, kdo by výsledky SIEM sledoval, a ani rozpočet na outsourcing tohoto monitoringu. Ve svém volném čase tedy píšu pravidla, která budou generovat upozornění a zašlou je přímo technické podpoře – což je ale v rozporu s pokynem našeho ředitele IT, abych se nezabýval technologickými záležitostmi a věnoval se jen řízení. Ale znovu, kdo jiný to udělá?

Na audit peníze jsou
Ještě jedna věc mi teď leží na stole. Naše firma se teď hemží různými auditory vyžadujícími náročné zprávy o všech možných oblastech – jsou to například přístupová práva, protokoly incidentů, kontroly zabezpečení – a vše je povinné.

Činnosti související s dodržováním regulačních nařízení mají přednost před vším ostatním, a tak jimi bude uzurpována velká část mého úsilí ve zbytku letošního roku. Jedna dobrá věc z této nákladné a časově náročné směrnice však plyne (ani nechci přemýšlet, kolik platíme zmíněným auditorům – jsem si jistý, že je to víc než platový rozpočet celého mého oddělení).

Věci se zrealizují, když to vyžaduje legislativa. Neustále se divím, jak se to společnosti snaží přežít pouhým plněním minima požadovaného odpovídajícím předpisem namísto realizací opatření, která jsou správná a mají hodnotu.

Připadá mi, že stále mluvím o tom, jak jsou v mém světě špatné ekonomické poměry – škrty v rozpočtu, nedostatek personálu, zdrojů a propouštění. Těším se na den, kdy nebudeme v tak velkých potížích a budu moci psát o tom, jak je skvělé mít všechny potřebné zdroje pro odvádění skutečně dobré práce.

A ten den přijde, že ano?

Řešíte podobné problémy jako J. F. Rice? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.


Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako J. F. Rice. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Úvodní foto: © Ioana Davies (Drutu) - Fotolia.com



Vyšlo v Computerworldu 15/2012
Celé toto vydání lze zkoupit elektronicky








Komentáře