Manažer bezpečnosti: Potřebujeme spojence, ale vytváříme nepřátele

Jsem v současné době v nemilosti oddělení IT. Naše rodící se organizace zabezpečení se začíná potýkat s významnými problémy ve vztazích. Protože jsme začali vytvářet program ochrany informací od základu, způsobujeme tím určité napětí.

V naší společnosti je zabezpečení informací součástí oddělení IT a stejně jako několik dalších IT oborů spadá přímo pod ředitele IT. Výsledkem je to, že týmy ochrany dat a podpory IT jsou na stejné úrovni řízení a vztahy jsou v důsledku této rovnosti poměrně komplikované. Za několik uplynulých týdnů se napětí mezi skupinami velmi přiostřilo. Vlastně bychom to mohli nazvat mezioborovou válkou v plném rozsahu. Jak k tomu došlo?

Pokoušíme se povznést zabezpečení na přijatelnou úroveň, a zavádíme proto nové zásady a standardy, které se však setkávají s odmítavým postojem týmu podpory IT. Jeho členové musejí provádět určitá nápravná opatření, která jsme určili, jako jsou záplatování a aktualizace zařízení, vyčištění pravidel ve firewallu nebo implementace redundantních systémů. V podstatě jim tedy říkáme, co je třeba vykonat, což si zákonitě interpretují jako naše zasahování do toho, jak mají dělat svou práci. A to se jim samozřejmě nelíbí.

Tato společnost dobře nesnáší změnu a reakce nebyla příliš zralá. Vlastně firma vykazuje tu nejnižší úroveň organizovanosti a osobní vyspělosti, jakou jsem kdy viděl, a tento postoj je zřejmý při našich jednáních se zbytkem oddělení IT. Je tu široká škála reakcí– od snahy donutit nás k ústupu od požadavků vůči týmům starajícím se o servery až po osobní osočování a nadávky.

Pokud použijete kritéria normy ISO 27001 na procesy zabezpečení v naší společnosti, jsou nedostatky více než zřejmé. Většina procesů je chaotická, realizovaná ad hoc a spoléhá se na klíčové osoby se specifickými znalostmi a schopnostmi.

Chci zavést vyšší úroveň organizační vyspělosti s opakovatelnými procesy, společným jazykem a vymezenými úkoly. Doufám, že jednoho dne budeme mít jednotné procesy založené na dobře definovaných zásadách a spolehlivých metodologiích.

To je ale otázka budoucnosti. Nyní se pokoušíme zlepšit vyspělost doporučováním lepších postupů, a to nejde moc dobře. Tým zabezpečení informací je jedinou skupinou, která se o to pokouší. Zatím jsme nezískali žádné spojence.

Výsledek byl dosud žalostný. Všechna oddělení IT si stěžují, hlasitě a na různých úrovních, že oddělení ochrany dat toho chce moc.. Ačkoli vyšší management zůstává přesvědčen, že naše skupina dělá správnou věc, náš kredit mezi personálem na stejné úrovni řízení prudce klesá – nechtějí s námi ani jednat. Použili jsme pro tuto situaci standardní postup pro řízení konfliktů. Nasloucháme všem obavám, pokoušíme se nalézt rozumná řešení a zajistit spolupráci. Nebylo to tak úspěšné, jak bych si přál, ale uznávám, že by to mohlo být ještě mnohem horší. Ztrácíme však vytyčený postup a ostatní týmy IT se od zabezpečení informací odvracejí.

Nemohu připustit, že by mou jedinou možností bylo získat přímou podporu od ředitele IT. Nazýváme-li to mezioborovou válkou, mohlo by to být považováno za použití atomových zbraní. Ačkoli by nám to zřejmě mohlo pomoci dosáhnout svého, zničilo by to vztahy nadobro. Musím pamatovat na to, že vítězstvím v takové bitvě bychom prohráli válku představovanou průběžným zlepšováním zabezpečení.

To, co nyní potřebujeme, jsou spojenci. V tuto chvíli je však těžké říci, kde je lze nalézt.