Manažer bezpečnosti: Výlet do pekla podnikových zásad

Tvorba pravidel je poměrně obtížná a uživatelé je navíc velmi často ignorují. Akčním plánem je ponořit se do procesu a docílit toho, aby uživatelé byli zodpovědnější. Definujte zásady dostatečně konkrétně, jinak uživatelé najdou způsoby, jak literu vašeho zákona obejít...



Tvorba pravidel je poměrně obtížná a uživatelé je navíc velmi často ignorují. Akčním plánem je ponořit se do procesu a docílit toho, aby uživatelé byli zodpovědnější. Definujte zásady dostatečně konkrétně, jinak uživatelé najdou způsoby, jak literu vašeho zákona obejít...

Kolikrát jste už slyšeli „Nevím, zda se to smí. Není to v podnikových zásadách?“. Já to slyším příliš často, protože nesnáším psaní podnikových zásad. Jejich vytváření nemám rád, protože v tak přetechnizované firmě, jako je ta naše, obecné zásady dobře nefungují . Když bych vytvořil pravidlo „Neběhat s nůžkami“, byl bych žádán o definici slova „běhat“. Jak rychle můžete jít, než to začne být považováno za běh? Týká se to i malých a tupých nůžek?

Takže, když vytvářím pravidlo zabezpečení informací, nenajdete tam nic příliš konkrétního. Pokusil jsem se udržet zásady správného provozu na velmi obecné rovině, bez uvedení konkrétních aplikací a technologií. Když jsem potom zjistil, že naše obchodní oddělení používá Skype, prohlásil jeho vedoucí: „Ukažte mi zásadu zakazující používat Skypu.“ Argumentoval, že použitím aplikace Skype jeho oddělení naše společnost ušetřilo a zvýšilo její produktivitu, zatímco já jsem namítal, že je to riziková aplikace. Jeho argument byl relevantní, dokud jsem zásady nepřepsal a nevyjmenoval v nich konkrétní oblíbené, avšak rizikové programy.

Později jsem vytvořil pravidla, které měla zajistit řádnou instalaci oprav ve všech zařízeních produkční sítě. Posudek zabezpečení demonstroval okamžitou potřebu takových zásad pro správu oprav. Ale správkyně sítě upozornila, že ve světě produktů Cisco se do zařízení neinstalují „opravy“ – produkty dostávají celý opravený IOS. Věděla přesně, co požaduji, ale chtěla, aby byly zásady přejmenovány na „zásady aktualizace zabezpečení softwaru“.

Její názor byl součástí našeho revizního procesu. Ačkoli revize zaberou více času – musíte dokumenty rozeslat, revidovat a znovu rozeslat – mám tento přístup rád. Pomáhá totiž vytvořit pravidla, které jsou vymahatelná. Správkyně sítě mohla poznamenat, že formulace zásad by vyžadovala nový návrh celé sítě, a odsoudila by tak zásady k nezdaru.

Revize často zajistí to, že žádná pravidla už nebudou pro uživatele překvapující a že nedovolí různý výklad. Tento proces mi pomáhá vyvarovat se vydávání takových zásad, které by nebyly přijímány. Přesto je však pro mne všechno to projednávání obsahu a vymezování pojmů doslova peklem.

Získat pozornost
Jedním z hlavních problémů je, že jakmile pravidla publikujete na webu, leží ladem, dokud se někdo nezeptá: „Máme zásady týkající se toho či onoho?“. Takto pasivní přístup může být možné aplikovat pro mnoho z nich, ale některé je přece jen nezbytné aktivněpropagovat. Před několika měsíci jeden zaměstnanec odeslal kód s algoritmem na svůj e-mailový účet na Yahoo. Nakonec se nepodařilo prokázat, zda zaměstnanec věděl, že nemá přenášet kód na osobní účet, přestože chtěl pracovat doma o víkendu, jak uvedl.

Tento případ ukazuje nutnost nalezení způsobu, jak elektronického potvrdit, že si jednotliví zaměstnanci skutečně přečetli důležité zásady týkající se správného provozu a ochrany duševního vlastnictví. Takový nástroj by také vytvářel obecnou uvědomělost v oblasti zabezpečení. Video může být obzvláště účinným způsobem, jak zajistit, že si lidé zapamatují důležitý obsah pravidel.

Začnu hledat dodavatele, kteří nabízejí školení v oblasti zásad a zabezpečení a poskytují k tomu příslušné školicí nástroje. V budoucnu o tom něco napíšu. Do té doby však budu v pekle podnikových pravidel.










Komentáře