Manažeři hrají politické hry

Setkání manažerů bezpečnosti několika firem, které se spojují do jednoho subjektu, nabírá nečekané obrátky. Mů...


Setkání manažerů bezpečnosti několika firem, které se spojují do jednoho
subjektu, nabírá nečekané obrátky.
Můj šéf s oblibou vypráví o své prezentaci na konferenci prodejců firmy Cisco,
která skončila tím, že posluchači stáli na svých sedačkách, hlasitě vyjadřovali
svůj souhlas a bouřlivě tleskali. Musím připustit, že se mi na mé poslední
prezentaci dostalo od jednoho z posluchačů velmi odlišné reakce.
V jednom z minulých Zápisníků manažera pro bezpečnost kolega Mathias Thurman
zmiňoval trable spojené s propojením několika firemních infrastruktur po
akvizici. Také moje společnost se díky posunům na trhu stala součástí větší
skupiny a nyní je zde patrná snaha o pokud možno bezproblémové promísení
firemních kultur. V rámci vzniku nové organizační struktury byl vytvořen tým
vedoucích pracovníků, kteří mají na starosti slučování jednotlivých částí firem.
Pokud jde o oddělení bezpečnosti, nacházíme se v trochu zvláštní pozici.
Ostatní společnosti v rámci skupiny totiž své IT služby outsourcovaly zajišťují
je tedy pro ně další firmy (já je zde shrnu pod hlavičku jediné firmy, které
budu říkat Acme). Dalo by se tedy říci, že nikdo kromě nás si nemůže být nijak
zvlášť jistý, zda je u něj skutečně dbáno na bezpečnost tak, jak by mělo.
Ostatní firmy si totiž do smluv o outsourcingu zpravidla ani nenechaly
explicitně zapsat detaily ohledně bezpečnosti, takže v této oblasti pociťujeme
jakési vakuum.
Na základě uvedených smluv tedy naprostá většina společností, se kterými jsme
nyní ve skupině, nedostává žádné bezpečnostní služby. Situace však ve
skutečnosti není tak dramatická. Vedení těchto firem to totiž vždy "nějak
zařídilo" buď se problém vyřešil tím, že se tyto služby "zdědily" díky
skutečnosti, že je Acme poskytuje jako standard, nebo prostě dodatečným
nátlakem na plnění určitých kritérií vydávaných za obecná pravidla.

Setkání manažerů
V současnosti jsou ostatní obchodní jednotky pod tlakem ze strany auditorů,
kteří chtějí mít zjevný důkaz o tom, že je IT bezpečnost zaintegrována do
jejich procesů a je zajištěna její integrita v rámci celé společnosti. Chtějí
vidět konzistentní bezpečnostní politiky, existující struktury umožňující
management bezpečnostní infrastruktury a jasně definované role a zodpovědnosti.
Byl jsem požádán, abych svou společnost zastupoval na prvním setkání
bezpečnostních manažerů. Tento tým byl sestaven z těch vedoucích oddělení,
kteří mají v názvu své pracovní pozice uvedeno slovo bezpečnost. Pozváni byli
zástupci ze všech obchodních jednotek a také jeden z Acme říkejme mu třeba John.
Cílem setkání bylo nastartování procesů sdílení informací a definování způsobu,
jak budou poskytována vstupní data potřebná pro dokumentaci bezpečnostní
politiky, rolí a zodpovědností. Já jsem byl pozván proto, abych hovořil o těch
oblastech bezpečnosti, které má skupina zajišťuje takříkajíc in-house.
Od chvíle, kdy jsem přijel, mi bylo naprosto zřejmé, že vrcholové vedení zatím
nedospělo ke konsensu ohledně strategie, jakou zvolit pro řešení tohoto tématu.
Setkal jsem se s naším CSO (Chief Security Officer), který mi vysvětlil, že
problematika IT bezpečnosti a zajištění kontinuity obchodních procesů je jednou
z oblastí, za které nese zodpovědnost a kterou považuje za důležitou doslova ji
označil za prioritu.
Krátce poté si nás k sobě zavolal nejvyšší šéf zodpovědný za slučování
firemních aktivit a sdělil nám, že vedení by nemělo organizovat taková setkání,
jakého se právě účastníme. Místo toho by, podle něj, mělo plnit pouze roli
pozorovatele a kontrolora tedy jen ověřovat, zda děláme sami o sobě dobrou
práci. To nás všechny trochu překvapilo nejdřív označení za prioritu a snaha IT
bezpečnost organizovat, chvíli poté vyjádření zcela jiného přístupu. Zdá se, že
se tu hrají podivné politické hry.
Chvíli poté, co jsme se nejvyššímu šéfovi všichni jednotlivě představili,
zazvonil jeho mobilní telefon. On ho zvednul, zatvářil se překvapeně a sdělil
nám, že musí kvůli něčemu důležitému odejít. Divil bych se, kdyby tak skvěle
načasovaný telefonát pocházel od někoho jiného než od jeho asistentky, která mu
říkala cosi jako: "To jsem já s tím falešným telefonátem, který jste po mně
chtěl, abyste se dostal pryč z té nepříjemné schůzky."

Ztracená kauza
I přes počáteční problémy jsme ve schůzce pokračovali. Každý zástupce postupně
vysvětloval, jak jeho jednotka v současnosti přistupuje k IT bezpečnosti. John,
představitel Acme, se při příspěvcích chvílemi houpal na židli, občas pokyvoval
hlavou a někdy se zdálo, že se chystá ke spánku.Pak přišla řada na mě. Začal
jsem tedy mluvit objasňoval jsem, jaké oblasti pokrýváme a v čem by nám ostatní
skupiny mohly pomoci a co naopak jsme schopni nabídnout my jim. Zmínil jsem
naše zkušenosti a priority a učinil určitá doporučení.
Jak jsem ve své poměrně krátké řeči pokračoval dále, Johnova brada se
přibližovala k jeho hrudi a jeho oční víčka padala. Najednou zafuněl a rychle
se vzpřímil a hleděl přímo na mě. Bylo to trochu znervózňující, ale přesto jsem
ve své řeči pokračoval. Vyměnil jsem si pohledy s ostatními okolo stolu. Jejich
vědoucí úsměvy a mrkání mě ujišťovaly, že John je zřejmě trochu mimo.
Jak jsem pokračoval, Johnova hlava se totálně propadla až na stůl a jeho tělo
se naklonilo kupředu. Konečně jsem se dostal ke konci své prezentace a nebyl
jsem si jistý, co teď. Rychle jsem se posadil a nechal jsem na předsedovi
celého shromáždění, aby si vzal slovo. Ani on zřejmě nevěděl, jak by měl
reagovat, a tak prostě předal slovo dalším řečníkům. Teprve po 10 minutách
přišla podle agendy řada na Johna, aby nám přednesl příspěvek o přístupu Acme.

Spící řečník
Předseda položil Johnovi tiše nějakou otázku a poté ji ještě několikrát
zopakoval, přičemž pomalu přidával na hlasitosti. Nakonec se John vzbudil. Byl
to skutečně náramný pohled, spatřit, jak Johnova hlava vystřelila vzhůru a on
odprostředka věty začal vysvětlovat, že jednotlivé obchodní jednotky mohou
dostat vše, co potřebují, od Acme. Dál už pokračoval poměrně souvisle.
Později jsem se dozvěděl, že to nebylo poprvé, kdy John něco takového udělal,
ale protože se jednalo o bratra ředitele Acme, nikdo okolo toho nechtěl dělat
žádný povyk. Stejně příliš nechápu proč. Zákazníkem jsme tu přece my.
Setkání dospělo ke svému přirozenému konci a já jsem se vydal zpět domů. Jak
jsem se vracel z podivného světa zasvěceného spojení firem na "nejvyšší
úrovni", přemítal jsem o celé situaci. Neexistuje žádný způsob, jak s
vystoupením, jaké bylo to Johnovo, v naší společnosti čehokoli dosáhnout ani
jako zaměstnanec, natož jako dodavatel. Možná bych měl na příští setkání
zajistit lehčí oběd a místnost s chladnějším vzduchem. Anebo možná prostě musím
být jen zajímavější prezentátor.
Ať už udělám jakoukoli změnu, v každém případě se budu ostýchat dostat se tak
blízko vedení bez spousty politické přípravy. Doufejme, že se mi podaří zůstat
stranou všeho toho dění a pokračovat v tom, co jak doufám, mi jde nejlépe a to
je budování pevných bezpečnostních základů naší firemní infrastruktury a jejich
udržování. Budu kontrolovat délku hesel, testovat síť na místa možných
neautorizovaných přístupů a provádět školení zaměstnanců, aby věděli, jak se
stavět k problémům bezpečnosti.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.