Manažer bezpečnosti: Není nad vlastní práci

Rostoucí IT oddělení našeho manažera má mnoho nových manažerů, kteří chtějí dohlížet na implementaci projektů zabezpečení. Implementací se však realizuje jen velmi málo.

Manažer bezpečnosti: Není nad vlastní práci


Trouble ticket
Co řešit: Stanovit priority týkající se zabezpečení a seznámit s nimi ostatní členy IT oddělení
Akční plán: Udělat vše pro to, aby plány nezůstaly jen na papíře

Pracuji pro stále rostoucí společnost, která postupně zjišťuje přínosy mnoha firemních procesů, takže se má role manažera zabezpečení stále vyvíjí.

Ještě když jsem zde nepracoval, neměla naše organizace velké oddělení IT. Každý dělal od všeho něco a neexistovala ani specializace ani hierarchie v rámci oddělení. Když jsem nastoupil, začalo se jednat o nasazování bezpečnostních technologií a procesů, byl jsem tím, kdo to realizoval.

Osobně jsem zavedl spoustu prvků bezpečnostního programu, jako jsou zásady ochrany dat, program školení pro rozšiřování povědomí o bezpečnosti, proces instalace oprav, antivirovou ochranu a zabezpečení sítě systémem IDS a firewallem. Bylo to hodně zábavné, zejména protože jsem předtím pracoval pro větší společnosti, kde naopak byla vysoká míra specializace a příležitostí k praktické činnosti jen málo.

Rozdělení pravomocí
Přibližně před rokem začaly v našem IT oddělení vznikat další úrovně řízení. Máme manažery, senior manažery, ředitele atd. V tomto novém prostředí ale nebyla přijatelná myšlenka týmu pro bezpečnost, který by budoval a instaloval technologie.

Někteří z našich manažerů včetně těch pro servery, síť a desktopy chtěli, aby oblast ochrany  dat převzala spíše řídicí roli. Namísto instalace technologií bych tedy specifikoval požadavky a nechal je vymyslet, jak to udělat. Je to běžný model bezpečnostních organizací a já jsem byl otevřený vyzkoušet jej.

Problém však je, že tato práce nebyla v novém modelu odváděna stejně efektivně. Za několik posledních čtvrtletí jsem definoval bezpečnostní požadavky pro skutečně důležité oblasti, jako jsou obrana vůči malwaru, ochrana dat, sdílení souborů, spolupráce a šifrování.

Týmy IT, které souhlasily, že implementace zajistí samy, to však neudělaly. Moje projekty jsou pozastaveny nebo se plíží kupředu vskutku hlemýždím tempem. Často se mne ptají: „Co zase chceš, abych udělal?“

Mám pocit, že se neustále opakuji, a odpověď je jednoduchá – prostě nasaďte tyto bezpečnostní produkty! Již jsem provedl všechny analýzy, výběr produktů, došlo k dohodám a k nákupu. Potřebuji, aby provedli nasazení.

Jaké je řešení?
Tento týden jsem si sedl s ostatními manažery, abychom si o tom promluvili. Chci získat zpátky kontrolu nad svými projekty, abych mohl zajistit, že budou dokončeny. Tuto myšlenku však není snadné prosadit.

Manažeři pro oblast serverů, sítě a desktopů říkají to samé – byli jsme skutečně zaneprázdněni, ale dostaneme se k tomu již brzy. Souhlasí, že je zabezpečení skutečně důležité, ale nemyslím si, že se něco změní.

Přebírám si tedy zpátky pár svých nejdůležitějších projektů, abych zajistil jejich dokončení. Dám ostatním týmům další čtvrtletí, aby ukázaly, že s tím dokážou pohnout kupředu, ale v tuto chvíli si nemyslím, že by se kdokoli postaral o mé priority tak dobře jako já sám.

Chcete-li mít něco hotové, musíte to udělat sami.

Řešíte podobné problémy jako J. F. Rice? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako J. F. Rice. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Úvodní foto: © higyou - Fotolia.com










Komentáře