Dobrý manažer zabezpečení musí předvídat vznik nečekaných problémů. Musíte být ve střehu a mít na zřeteli, že kdykoli se ve firmě něco děje, může tím vzniknout nová zranitelnost.
Právě jsem zjistil nové významné bezpečnostní riziko, které vytvořili vrcholoví manažeři naší společnosti, a samozřejmě jsem se o tom nedozvěděl přímo. Kdykoli propojíte sítě dvou firem, musíte zajistit, aby navzájem neměly přístup k čemukoliv, co není žádoucí. Minimálně musíte nainstalovat nějaký druh firewallu nebo řízení přístupu. Stejně tak by bylo velmi vhodné použít šifrování.
Proč jsme soustředili pozornost na síťová připojení? Protože je to zajímavé a trochu hrozivé.
Je to starý známý příběh. Naši vrcholoví manažeři se rozhodli pro outsourcing činnosti s vysokými personálními nároky – aby vnější poskytovatel najal pracovníky levněji, než bychom to dokázali my. Jak už to v takových případech bývá, dodavatel sídlí v jiné zemi.
Outsourcovaná činnost je však součástí personalistiky, takže to znamená, že cizí subjekt bude pracovat s některými nejdůvěrnějšími informacemi umožňujícími osobní identifikaci, které samozřejmě spadají pod nejpřísnější zákonné směrnice.
Zabezpečení informací je stále vyspělejším oborem, ale nutnost používat opatření garantující silnou ochranu stále nemá u většiny vrcholových manažerů dostatečnou prioritu. Přesně to se přihodilo. Došlo k dojednání a podepsání kontraktu a nikoho nenapadlo se mne na cokoli zeptat nebo mne alespoň informovat o tom, co se děje. Nyní už je pozdě – a to je můj problém.
Nejhorší na tom je, jakou formou je kontrakt podepsán. Když bych byl dotázán, radil bych ponechat břemeno poskytování služeb ochrany na dodavateli. V tuto chvíli však dodavatel celkem přirozeně zaujímá postoj, že všechny výdaje spojené s použitím zabezpečení poneseme my, a to včetně nákladů, které vzniknou na základě času stráveného jeho zaměstnanci. Nemáme samozřejmě v úmyslu utrácet moc peněz, protože tento kontrakt vznikl právě na základě naší snahy peníze ušetřit.
Další špatný nápad
Máme tu problém – zmínil jsem potřebu nasadit firewally a šifrování předtím, než bude mít poskytovatel služby přístup do naší sítě, ale to znamená, že toto připojení není možno vytvořit tak rychle, jak vrcholoví manažeři požadovali.
Mezitím tedy požadují vypálení citlivých privátních dat na disky CD a jejich zaslání. No to snad ne! Disk CD – médium, které bude na světě možná i dlouho poté, co po naší firmě slehne zem. Nemohu tento úmysl ignorovat. Budeme muset data před jejich vypálením na disk CD zašifrovat nebo najít jiný, bezpečnější způsob přenosu.
Brzy dotyčného dodavatele navštívím a na vlastní oči se přesvědčím, jaké bezpečnostní postupy se tam interně využívají. Nemám ponětí, co tam najdu. Doufám však, že poskytovatel bude dostatečně zkušený ve zpracování důvěrných informací jeho zaměstnanci a že již bude mít zavedena dobrá interní opatření.
Možná z toho vznikne něco dobrého. Tým našich vrcholových manažerů již nyní chápe, že bychom se mohli dostat do velkých potíží, pokud bychom nevěnovali dostatečnou péči ochraně osobních informací, za které jsme zodpovědní.
Snad budou příště myslet na ochranu dat dříve. Nesetkávám se u vyšších manažerů v tuto chvíli s velkým odporem, což je dobré, ale musím udržet náklady za zabezpečení této služby co nejníže. Celý tento plán úspor investic teď nevypadá tak úspěšně, jak se čekalo. To mi popularitu zřejmě moc nezvýší, ale za ni naštěstí placen nejsem…