Tim Giles, konzultant zabezpečení a autor knihy „Jak navrhovat a zavádět plán zabezpečení“ měl na starosti u společnosti IBM v severní Americe veškeré zabezpečení a dnes radí klientům, jak mají navrhovat a zavádět plán pro zabezpečení, který se hodí pro jejich specifické potřeby a úroveň rizikovosti jejich budov. Připravili jsme pro ředitele zabezpečení seznam některých základních chyb, které organizace dělají při návrhu plánu zabezpečení svých objektů.
1. Vytváření směrnic pro stanoviště bez podrobné analýzy
„Většina společností nemá interního zaměstnance se znalostmi zabezpečení objektů,“ uvádí Giles. „Manažer objektu často sloučí kontrakt služeb ochranky s kontraktem na další služby. Tito lidé obvykle mají skutečně velmi omezenou představu, jak ochranu objektu rozumně zrealizovat.“
Podle Gilese problém spočívá v tom, že společnost zvenčí zajišťující veškeré služby často začne realizovat zakázku se svými vlastními směrnicemi pro stanoviště a rozmístí ochranku bez předchozího provedení skutečné analýzy potřeb zabezpečení budovy.
A protože u nich není zkušená osoba, která by rozuměla této problematice, neexistuje systém kontrol, který by zajistil, aby personál smluvní firmy zajišťující ochranu dělal skutečně to, co by se mělo. (Přečtěte si popis, jak snadné je pro kriminálníky dostat se dovnitř zabezpečené budovy, v knize Anatomy of a Hack.)
Dříve, než nějaká firma zajišťující služby zabezpečení vytvoří směrnice pro stanoviště v dané budově, by měli nejprve provést zevrubné vyhodnocení jedinečných potřeb na ochranu daného objektu.
„Budovy se liší zejména podle toho, kdo jsou jejich uživatelé,“ tvrdí Giles. „Zabezpečení by mělo vyhodnotit podle toho, kdo je v objektu a jaké druhy rizik s sebou přináší. Někteří mají velké množství návštěvníků. Někteří mohou být kontroverzní, jiní zase mohou čelit možným problémům od dřívějších nebo současných nespokojených zaměstnanců.“
Všechny tyto okolnosti ovlivňují, co by zabezpečení mělo na svých stanovištích zajišťovat.
2. Upřednostnění estetiky před bezpečností
Giles uvádí, že ke zmíněné chybě může dojít již při návrhu budovy architektem. Ačkoli přízemní osvětlení a skrytí dohledových kamer může více lahodit oku, není to dobré pro zabezpečení. Giles vzpomíná, že jednou pracoval v budově, kde architekt všechny kamery ukryl, aby nebyly vidět.
„Viditelnost těchto kamer je ale významná výhoda, protože to zároveň funguje také jako odstrašující prostředek,“ vysvětluje Giles. „Když lidé vědí, že jsou sledováni kamerou, je menší pravděpodobnost, že udělají něco špatného.“
Dalším běžným nešvarem, který Gilese nenechává klidným, jsou křoviny podél chodníků a cest pro pěší. „Když chce někdo někoho přepadnout, má ideální místo, kde se schovat,“ varuje.
3. Zanedbání řádného zabezpečení určitých vchodů
Giles věří zásadě, že čím méně vstupů do budovy, tím lépe. „Každé dveře jsou další příležitostí pro někoho dostat se dovnitř,“ popisuje.
Ačkoli je důležité mít několik dveří pro účely nouzového úniku, Giles upozorňuje, že jsou příliš často zanedbávány. Doporučuje umístit alarmy ke všem dveřím, které byly navrženy jako únikové východy.
„Zaměstnanci by také měli požadovat od jednotlivých návštěvníků zabezpečené budovy průkazy totožnosti,“ upozorňuje Giles a poznamenává, že nejlepší obranou proti narušitelům je programové vytvoření povědomí o ochraně přímo mezi zaměstnanci, kteří si pak všímají, co se kolem nich děje.
4. Povolení pro manažery ignorovat pravidla ochrany
Jistě, dobrý program týkající se zmíněného povědomí může vést pracovníky, aby kontrolovali jeden druhého, zda nosí visačky nebo identifikační údaje. Jenže co dělat, když tato pravidla nedodržují sami manažeři? Giles to považuje za chybu fyzického zabezpečení a setkává se s ní v podstatě pokaždé.
„Říkám jim: Musíte se rozhodnout. Chcete-li využívat nošení visaček, musíte je nosit. Nehodláte-li to dodržovat třeba i jen v jediném případě, pak to vůbec nezavádějte, protože tím celý systém podminováváte.
5. Zanedbání pochopení funkcí použitých technologií
Technologie fyzického zabezpečení, například kamerové systémy, urazily za poslední desetiletí dlouhou cestu, jak upozorňuje Giles. Problémem však je, že mnoho lidí neví, jak je používat. Podle Gilese je i dobrý kamerový záznamový systém často k ničemu, protože v případě incidentu nedokáže personál najít záznam, který potřebuje.
„Společnosti si nechají od dodavatele nainstalovat kamery, ale nepokračuje to tím, že by se je někdo naučil skutečně používat příslušné správní systémy.
Giles uvádí, že dalším běžným, avšak nepřijatelným scénářem je to, že budova se 40 a více kamerami v objektu používá multiplexer k přepínání kamer a záznamu obrazu. Přepínání však probíhá náhodně a je proto jen minimálně užitečné.
„Pokud to nenastavíte pořádně, může nastat situace, kdy někdo vylomí dveře, ale vy tuto událost nezachytíte, protože rekordér v tu dobu dveře prostě nesledoval.“
Giles doporučuje, aby byly všechny monitorovací systémy nakonfigurovány pro záznam na základě událostí, což znamená, že se kamera zapne, kdekoli se zapne alarm.
6. Zanedbání ochrany důležitých místností uvnitř budovy
„Ve firmách dříve lidé pracovali v místnosti, kde jsou zároveň umístěny servery, neustále,“ tvrdí Giles. „Nyní však už mohou provoz řídit vzdáleně. Když tedy v serverovně nebo datovém centru někdo jde, je skutečně nezbytné vědět, kdo to je a proč tam je.“
Giles doporučuje v datových centrech použít systémy pro kontrolu přístupu, které obsahují visačky, přístupové karty i kamery. Také radí podnikům, které se obávají o své proprietární informace, aby zabezpečily rovněž své podatelny.
7. Přehnaná ochrana
Nakonec je dobré si uvědomit, že uvedené tipy nejsou univerzálním receptem pro zabezpečení firemní budovy, jak upozorňuje Giles. Úroveň bezpečnosti objektu by měla vždy odpovídat úrovni rizika, kterému příslušná organizace čelí.
„Nesouhlasím s konceptem maximálního realizovatelného zabezpečení objektu,“ vysvětluje Giles. „Pokud to přeženete tam, kde to nemá smysl, za šest měsíců se lidé naučí tento typ ochrany obcházet a ve finále to tak budou vyhozené peníze. Musí to odpovídat riziku i kultuře podniku.
Je nemožné přijít s receptem, který říká, že organizace potřebuje specifické prvky ve svém plánu zabezpečení budovy, protože do hry vstupuje příliš mnoho faktorů. Vezměte v úvahu své prostředí a investujte odpovídajícím způsobem, radí Giles.
Tento článek vyšel v tištěném SecurityWorldu 4/2010.