Jak rozdělit bezpečnostní kompetence

Bezpečnostní manažerka srovnává pracovní zatížení ve svém týmu a konfrontuje to s činností ISO. Už jste se n


Bezpečnostní manažerka srovnává pracovní zatížení ve svém týmu a konfrontuje to
s činností ISO.

Už jste se někdy dívali na průměrný film, jedli v nic moc restauraci nebo
navštívili mírně uspokojivou divadelní produkci? Takové aktivity sice slouží
jako dobré vyplnění času, ve skutečnosti toho ale pro váš život mnoho
nepřinášejí. Já sama se nevracím do průměrných restaurací a svým známým
nedoporučuji sotva přijatelné filmy nebo hry. Pokud mě knížka nechytí, nedočtu
ji. Život je krátký a každá věc, kterou dělám, musí něco znamenat a mít nějakou
hodnotu či přínos.
A tak, co se stane, když řídíte nějakého nepříliš výkonného zaměstnance? Já
nejsem z těch, kdo by problém jen tak ignorovali nebo zahltili zaměstnance
úlohami, jež mají niterný význam, jen aby jej udrželi zaneprázdněného a
případně odsunuli pryč z cesty. Všechna práce by se měla počítat a pomáhat
organizaci dosáhnout jejích cílů.

Výkon naší ISO
Mým problémem je nepříliš výkonná šéfka informační bezpečnosti (ISO,
Information Security Officer). Nemá totiž žádnou technickou průpravu, a ačkoliv
už jednou měla řídící pravomoci, byly jí zase odejmuty, neboť její přímí
podřízení si stěžovali na to, že postrádá manažerské schopnosti. Nejsem si
přesně jistá, jak se dostala na současnou pozici, ale myslím si, že lidé v naší
agentuře přemýšleli, co s ní udělat právě v době, kdy nabylo účinnosti
bezpečnostní nařízení definované zákonnou normou HIPAA (Health Insurance
Portability and Accountability Act) a kdy bylo nezbytné pravomoci ISO někomu
přidělit.
Jak už se stalo v mnoha jiných organizacích, které byly považovány za entity
zahrnuté pod HIPAA, i naše agentura jednala bez toho, že by plně porozuměla
tomu, co povinnosti ISO přesně obnášejí. K základnímu nedorozumění, které stojí
za tímto běžným omylem, se dostanu později.
Nyní srovnávám pracovní zatížení mezi členy mého personálu a jako součást
tohoto úkolu musím věnovat i přísný pohled pozici ISO a učinit rozhodnutí o
tom, kdo by měl příslušnou zodpovědnost nést. Současná ISO není příliš výkonná,
primárně proto, že postrádá zkušenosti i vzdělání na poli bezpečnosti. Zkoušela
jsem ji po dobu půl roku instruovat, nabízela jsem jí vzdělávací materiály a
směrovala jsem ji na webové stránky, semináře či white papery. Je to však jako
pokoušet se naučit cizí jazyk někoho, kdo slušně neovládá ani svou rodnou řeč.
Její neschopnost porozumět vzdělávacímu materiálu je patrně způsobena
nedostatkem základních znalostí týkajících se jádra problematiky sítí (TCP/IP,
architektura klient/server, topologie LAN/WAN).
Je těžké udržet krok s tempem změn v síťových technologiích, a to dokonce i
když znáte jejich základy. Pro tuto ISO je to asi nemožné. Řekla jsem jí, že
několik členů mého personálu bylo velmi přetížených (a že kvůli tomu jsme své
řady rozšířili o jednoho zaměstnance), a že je tedy vhodný čas podívat se na
pracovní povinnosti v rámci celého týmu. Když jsem uvažovala o tom, co je
třeba, aby tým vykonával, kategorizovala jsem spoustu úloh jako takzvaný
administrativní dril, tedy administrativní úlohy, které by neměly ležet na
stolech IT a bezpečnostních pracovníků. Polovina těchto úloh přitom spočívala
na stole ISO. Vysvětlila jsem, že je z jejího stolu vezmu a přehodnotím každý z
procesů, abych se přesvědčila, zda by nemohly být aktualizovány, integrovány a
automatizovány. Jak jsem hovořila, byla stále víc a víc znepokojená.

Nová klasifikace
Vyjmenovala jsem jí všechny pracovní povinnosti pro celý tým a poukázala jsem,
kde jsou někteří z jeho členů přetíženi. Doufala jsem, že by mohla týmu
nabídnout svoji pomoc. Neudělala to. Namísto toho se začala bránit, rozčilovala
se a poznamenala, že jiná agentura teprve vytváří novou bezpečnostní
klasifikaci. Chtěla "počkat na tuto příležitost" na novou klasifikaci.
Zvolila jsem jiný směr. Použila jsem tabuli, abych uvedla seznam povinností, za
něž by mohl být zodpovědný ISO nebo zkušený bezpečnostní pracovník, s ohledem
na architekturu a administraci. Mezi tyto úlohy patřily politiky a procedury,
detekce narušení, firewally, VPN, antiviry, antispamy a antispywary, správa
záplat, sledování zranitelností, analýza rizik či obnova po havárii.
Hned vyhrkla: "Ale ty jsou všechny technického rázu!"
"Ano, jsou," odpověděla jsem, "a kdybych chtěla najmout člověka do
bezpečnostního týmu, tohle by byly jeho povinnosti."
Byli jsme ve slepé uličce, která vznikla kvůli předchozímu nedorozumění o
povaze pozice ISO. Když vstoupilo v platnost ustanovení HIPAA, po dotčených
organizacích, jako je například naše agentura, se vyžadovalo, aby jmenovali
někoho, kdo převezme povinnosti dané funkcí ISO. Mnohé z entit si ale všimly,
že zhruba 80 % politik a plánů požadovaných normou HIPAA je kategorizováno jako
"administrativní", pouze 5 % (nebo tak nějak) jako "technické" a zbytek jako
"fyzické".
A tady došlo k nepochopení: Ačkoliv většina politik je domněle
administrativních, jejich implementace je primárně technickou úlohou. Věřím, i
když mnozí se mnou budou polemizovat, že napsání dobré politiky vyžaduje
důkladné porozumění tomu, jaké technologie jsou dostupné. Pak je možné plán
správně implementovat. Potřebujete nějaké technické znalosti, abyste byli
schopni si plán představit. Nemůžete říci "To máš dělat ty," a přitom nebýt
schopni to sami pochopit.
Reakce naší ISO na tuto situaci byla bolestivá pro nás obě, neboť jsme obě
věděly, že svou pozici sama viděla jako vysoce užitnou. Avšak pokud šéfka
informační bezpečnosti naší agentury postrádala technické základy, které jsou
nezbytné pro to, aby byla schopná napsat implementační plány a realizovat je,
žádnou hodnotu to pro organizaci nemělo. Byla velmi dobrá na administrativní
dril, avšak pro tyto úlohy jsme už měli příslušnou asistentku.
Ve svém zděšení se dokonce zeptala, zda bych mohla přepsat popis její pracovní
pozice a dát jí vědět, co chci, aby sama dělala s ohledem na potřeby agentury.
Naše příští schůzka proběhne za dva dny.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.