Trouble Ticket
Co řešit: Bezpečnostní produkty jsou nakoupeny, nemá je ale kdo nainstalovat a spravovat.
Akční plán: Využít kombinaci dobrých vztahů s manažery s přesvědčivými analýzami a jít cestou částečného pokroku.
V poslední době jsem se intenzivně snažil získat nějaké prostředky pro své bezpečnostní projekty. S tím, jak program ochrany dat roste a rozvíjí se, daří se mi nasazovat nové a nové bezpečnostní technologie.
Pokud však jde o získání podpory týmu pro servery, sítě a desktop, začínám narážet na bariéru. Je to ironie: Získal jsem rozpočet potřebný k zakoupení bezpečnostních technologií a produkty jsem pořídil – jenže dosud nebyly nainstalovány, protože na to nemáme dostatek lidských zdrojů.
Budování od základů
Když jsem poprvé přišel do této firmy, začal jsem s budováním základu založeného na normě ISO 27001. Napsal jsem bezpečnostní zásady a získal jejich schválení od našich vrcholových manažerů. Rozvíjel jsem vztahy s vedením firemních oddělení, abych si získal jejich podporu pro své iniciativy. Teprve potom jsem se rozhodl zlepšit naše bezpečnostní technologie.
To mělo žádoucí vliv na získání potřebné organizační podpory ohledně posunu projektů v seznamu priorit, díky čemuž jsem získal finanční prostředky na bezpečnostní projekty, což by jinak bylo v současné ekonomické atmosféře skutečně problematické.
Stal jsem se ale v jistém smyslu obětí svého vlastního úspěchu. Zakoupil jsem řadu produktů pro zvládnutí malwaru, detekci útoků na naši síť, šifrování citlivých dat či přidělování a rušení uživatelských účtů.
Tyto technologie byly vybrány k odstranění nejvýznamnějších zranitelností v našem prostředí a ve finále přinesou velké zlepšení našeho zabezpečení a schopnosti dodržovat různé směrnice a normy. Teď jsem připraven tyto produkty nasadit.
Naše oddělení IT však bylo, co se týče pracovníků, tak zredukováno, že z něj zbyla jen kostra. Během posledních několika měsíců docházelo k odchodu IT zaměstnanců, aniž byli nahrazeni někým jiným. Vinou slabší ekonomiky nikoho nenabíráme ani teď. Také jsme se rozloučili se všemi smluvními partnery.
Následkem toho zůstal ve firmě jen velmi malý tým IT. Protože jsou tito lidé nuceni dělat stejné množství práce, ale je jich na to stále méně, jsou všichni pod rostoucím tlakem. To má za následek další odchody zaměstnanců a ti, kdo zůstanou, mají, mírně řečeno, plné ruce práce.
Tak tedy vypadá situace mých rozličných implementačních projektů – nedaří se mi pro implementaci získat potřebný IT personál. Výsledkem je, že hodně práce musím udělat osobně já sám včetně instalace a konfigurace bezpečnostních zařízení a softwaru.
Jak z toho ven
Aby se věci hýbaly, některé práce jsem zadal formou outsourcingu, nakoupil jsem profesionální služby společně s vybavením a využívám i konzultanty. Ale to není vše, co je třeba udělat.
Moje bezpečnostní produkty běží, ale potřebuji nakonfigurovat různé informační systémy tak, aby byla zajištěna jejich integrace. To je oblast, kde se musím spolehnout na interní tým pro servery (je nutné nakonfigurovat servery tak, aby posílaly protokoly a další informace na má zařízení), na tým sítě (je nutné nastavit přepínače a směrovače, aby zasílaly přenosy a informace) a tým pracovních stanic (je potřebné nainstalovat software pro koncové uživatele).
K získání potřebné organizační podpory využívám vztahy, které se mi podařilo navázat s nejvyšším managementem, společně s přesvědčivou analýzou a metrikami.
Faktem však zůstává, že nemáme dostatek lidí, aby vše pokračovalo podle původních předpokladů, takže mé projekty je obtížné (nebo skoro nemožné) v tomto složení zvládnout.
Budu tedy dál hledat způsoby, jak dosáhnout alespoň částečného pokroku. V tomto ekonomickém klimatu je to snad to nejlepší, co se dá dělat.
Řešíte podobné problémy jako J. F. Rice? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako J. F. Rice. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.