Manažer bezpečnosti: Radost pracovat ve firmě, kde chápou zabezpečení

Poprvé jsem byl propuštěn v roce 2007 po šesti letech práce jako hlavní manažer zabezpečení ve firmě, kde jsem vybudoval program ochrany od základů. Nedávno jsem ztratil pracovní pozici podruhé – po dvou letech, během kterých jsem se nejprve pokusil vytvořit nový program zabezpečení, ale poté jsem musel zredukovat již tak velmi malý tým. Nakonec byl projekt ochrany zrušen úplně.

Není třeba zdůrazňovat, že to považuji za špatné rozhodnutí, a neříkám to proto, že jsem přišel o práci. Než smrtící rána dopadla, pracoval jsem na iniciativách snižujících náklady. Velmi nelibě jsem nesl redukování svého týmu a byl jsem rozhodnut zajistit, že  další propouštění již nebude nutné. Dospěl jsem k závěru, že musí existovat lepší způsob finančních úspor než vyhazování velkých částí znalostní báze naší korporace.

Po přezkoumání jsem nalezl dvě velmi drahé služby, za které firma platila, ale přitom za ně získávala velmi malou užitnou hodnotu. Připadalo mi, že bychom mohli eliminovat tyto drahé a neefektivní produkty a poté využít náš interní personál a infrastrukturu k provádění téhož s menšími náklady a vyšší kvalitou. Tato vyhlídka mi připadala velmi nadějná, ale byl jsem zavolán do kanceláře ředitele zabezpečení, kde jsem se setkal s personálním ředitelem a hromadou formulářů k propouštění. Společnost se prostě rozhodla vydat se známou cestou uvolňování zaměstnanců namísto snižování nákladů v jiných oblastech.

Nová příležitost
Bylo to zničující. Nyní však mám nové místo, kde se cítím velmi dobře. Mé trauma se ztrátou zaměstnání trvalo naštěstí krátce a nyní se mohu ohlédnout zpět a uvědomit si, že je pro mě zřejmě lepší nepracovat pro firmu, která dělá tak příšerná rozhodnutí.

Jsem zase manažerem bezpečnosti, ale v jiném oboru a ve společnosti s jinou kulturou a jiným pracovním prostředím. Tentokrát nemusím začínat na zelené louce – tato firma už má ve svých procesech integrováno mnoho dobrých ochranných opatření, a to hlavně proto, že technický personál je mladý, chytrý a zdatný – smysl zabezpečení a jeho důležitost dostatečně chápe. Vypadá to ale, že opět nebudu mít velký tým – možná dva či tři zaměstnance, ale zbytek personálu z oddělení IT si je velmi dobře vědom toho, co tvoří dobré metody ochrany, a to může způsobit obrovský rozdíl. Když každý táhne za společný provaz, nebudu potřebovat mnoho zaměstnanců na plný úvazek, kteří by se věnovali výhradně zabezpečení.

Budu zde čelit některým novým problémům, se kterými jsem se v předchozích osmi letech nesetkal, ale ze svých zkušeností jsem se něčemu přiučil, takže při výskytu běžných problémů zareaguji efektivněji.

Ve svém posledním zaměstnání jsem se zaměřoval na instalaci oprav, protože jsem se pokoušel otočit kormidlo velké společnosti směrem k efektivnímu programu konzistentního používání bezpečnostních aktualizací operačních systémů v přijatelném čase. Měl jsem smíšené výsledky, ale naučil jsem se z tohoto procesu, že se není dobré moc tlačit na nesprávných místech.

Efektivnější kooperace
Namísto toho může být efektivnější pokoušet se o spolupráci se správci IT a zaměřit se na získání náležitých zdrojů a priorit od managementu. To je ponaučení, které lze aplikovat v mnoha situacích. V mém novém zaměstnání je instalace oprav považována za důležitou. Je prováděna – i když ne konzistentně a ne dostatečně. Budu muset zvýšit viditelnost a prioritu těchto snah, abychom se mohli zlepšit, ale nebude nutné všechny přesvědčovat o potřebnosti. To je pro mě velká úleva.

Je také dobré, že naši správci IT mají zaveden výborný standard údržby systémů Windows a Unix, a vypadá to, že ho i jednotně dodržují. Správa účtů je prováděna celkem svědomitě, i když zde jsou určité příležitosti ke zlepšení, zejména v oblasti rušení accountů. Přístup ke správě by také bylo možné trochu zlepšit – nyní je každý administrátorem a je také využíváno mnoho sdílených hesel. Tím se určitě budu zabývat.

Celkově bych toto prostředí ohodnotil z hlediska obecných metod zabezpečení sedmi body z maximálního počtu deseti. Mojí nejvyšší prioritou je začít zavádět do současné praxe malá postupná zlepšení, aby se zvýšila vyzrálost a konzistentnost prostředí. To je pro mne nová výzva – doufám, že to bude zábavné, povzbuzující a úspěšné.