Trouble Ticket
Co řešit: Vedoucí manažeři chtějí výjimky z nastavených bezpečnostních pravidel.
Akční plán: Udělat vše pro to, aby se pravidla bez rozdílu dodržovala.
Co dělat, když manažer vaší firmy trvá na přístupu, který ale porušuje podniková pravidla zabezpečení? Tento týden jsem na takový problém narazil. Náš vysoký manažer se rozhodl, že nechce být omezován stejnými bezpečnostními zásadami, jež musí dodržovat i ostatní.
Takový přístup není ničím novým – vedoucí pracovníci často mají speciální výjimky, pravděpodobně proto, že mají nějaký přímý vliv na IT rozpočet a zdroje. Ale toto je poprvé, kdy jsem podobné přání slyšel vyslovit nahlas.
Výsady manažerů se obvykle diskutují tiše, v zákulisí a na chodbách, protože pro řadové zaměstnance je demoralizující slyšet, že VIP podléhají jinému standardu než zbytek firmy. Zvláštní privilegia proto bývají malým, a často ne zcela čistým tajemstvím.
Popíši vám, co se přihodilo. Zmiňovaný manažer chtěl stáhnout program z internetu, aby ho mohl nainstalovat na svém notebooku. Naše pravidla ale lidem v této činnosti brání.
Myslím si, že je to poměrně normální situace v naprosté většině firem – vzhledem k dlouhé řadě rizik spojených s náhodnými internetovými aplikacemi, jimiž může být malware. Nebezpečím je také případné nedodržení licencí a dalších předpisů.
Systém webových filtrů, který využíváme, mu tedy stahování instalátoru softwaru zablokoval. On poté kontaktoval naši technickou podporu, jejíž personál byl vyškolen pro vyřizování žádostí o výjimky. Až potud vše probíhalo standardně. Technická podpora nabídla, že našemu váženému VIP software stáhne. Samozřejmě by se to muselo schválit, ale je to první návrh řešení – zajistit žadatelům, co potřebují, ale bez poskytnutí příslušného přístupu.
V tomto místě se však situace začala vyvíjet zcela špatným směrem. Manažer instalátor nabízený technickou podporou odmítl. Tvrdil, že on a ostatní manažeři by žádná omezení svých aktivit při práci s internetem neměli mít! Požadoval pro svůj účet úplné odblokování kategorie stahování. V rámci celého rozhovoru byl arogantní a neprofesionální (podle mého názoru, ke kterému jsem dospěl po přečtení proběhlé e-mailové korespondence) – v podstatě vyhrožoval zástupci technické podpory, který se zachoval profesionálně.
Zástupce helpdesku tedy přistoupil k další úrovni výjimek, a tou je vyplnění formuláře se žádostí o odblokování kategorie, jak bylo požadováno. Abych byl upřímný, já bych tuto žádost nechtěl schvalovat. Nedostal jsem ale šanci, protože se manažer rozzlobeně s odpovědnými pracovníky rozloučil s odvoláním na své postavení. Mohl postupovat standardně, ale namísto toho trval na své představě nepodléhat pravidlům.
V tento okamžik tedy technická podpora postoupila incident mně. Rychle jsem pročetl e-maily a byl jsem opravdu šokován chováním a vystupováním někoho, kdo by se měl chovat jako profesionál a zástupce naší společnosti. Přeposlal jsem tedy elektronickou korespondenci svému šéfovi, jímž je náš CIO, s poznámkou, že by bylo dobré si o přístupu tohoto manažera promluvit. Čekal jsem, že následující den budeme diskutovat o způsobu, jak přesvědčit dotyčného manažera, aby přestal vyhrožovat technické podpoře a vybral si k jednání někoho na své úrovni.
Mýlil jsem se. CIO okamžitě poslal odpověď dotyčnému manažerovi a požádal ho, aby si se mnou promluvil o našem „nefunkčním procesu“. Namísto toho, aby podpořil mě, šéf začal uklidňovat rozhněvaného VIP. Měl bych tím být překvapen? Asi ne. Naše bezpečnostní pravidla jsou však opravdu solidní. Byla to první věc, kterou jsem vytvořil, když jsem do naší společnosti nastoupil jako šéf informační bezpečnosti.
Ty schválil a následně podepsal i náš CIO. Dokážu pochopit, že může existovat skrytá vysoce privilegovaná třída v rámci naší společnosti, jejíž členové si myslí, že se na ně tato pravidla nevztahují. Nečekal jsem ale tak silný odpor, zejména vůči tak naprosto běžné zásadě, pro kterou navíc existuje přiměřený proces udělování výjimek.
Dobré alespoň bylo, že šéf nepřeposlal zmíněnému manažerovi ve své reakci na „nefunkční proces“ i můj komentář o „jeho přístupu k problému“. Prozíravě tuto část smazal. Myslím si tedy, že situace není tak špatná, jak by mohla být. Nebylo by ale hezké žít ve světě, kde se lidé chovají profesionálně a šéfové IT si stojí za dodržováním svých zásad zabezpečení, které platí pro každého?
Řešíte podobné problémy jako J. F. Rice? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako J. F. Rice. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU