Manažer bezpečnosti: Vstříc mobilní komunikaci

21. 11. 2008

Sdílet

Chovat se jak bezpečnostní diktátor je snadné. Těžší však je chovat se k uživatelům jako k zákazníkům a všímat si jejich oprávněných potřeb. Aktuálním problémem je to, že uživatelé chtějí synchronizovat data s kapesními zařízeními a přesunout je tak mimo chráněnou síť. Úkolem k řešení pak najít vhodný způsob navzdory obavám o zabezpečení.

Chovat se jak bezpečnostní diktátor je snadné. Těžší však je chovat se k uživatelům jako k zákazníkům a všímat si jejich oprávněných potřeb. Aktuálním problémem je to, že uživatelé chtějí synchronizovat data s kapesními zařízeními a přesunout je tak mimo chráněnou síť. Úkolem k řešení pak najít vhodný způsob navzdory obavám o zabezpečení.


Požadavky uživatelů na mobilitu se přímo střetávají s mou povinností zajistit nejlepší možné zabezpečení. Někteří uživatelé chtějí synchronizovat data se svými mobilními telefony řady Palm Treo. Podíváme-li se na to z hlediska produktivity, není o čem přemýšlet a je třeba říci ano. Protože však zodpovídám za zajištění důvěrnosti dat, mojí prvotní reakcí je říci opakované ne. Naší zásadou jsou totiž udržovat důvěrné a chráněné informace v zabezpečené síti.

Ospravedlnění těchto zásad by mělo být zřejmé každému, kdo sleduje nové případy úniků dat. Notebooky a další mobilní zařízení mají v této oblasti na svém kontě nespočetné množství případů, kdy data unikla. Nechci, aby se státní agentura, ve které pracuji, dostala na titulní stránky novin. Na rozdíl od různých prodejců totiž pracujeme s daty, která podléhají bezpečnostním předpisům daným regulatorní normou HIPAA. Chránit všechny tyto informace, vyvarovat se nutnosti hlásit problémy policii a čelit možným pokutám – to je moje práce. Dosud k žádným únikům dat u nás nedošlo. Začínají mi však říkat diktátor mobility.

S touto přezdívkou si hlavu nelámu do chvíle, kdy požadavky na zabezpečení podle mého názoru brání schválení toho, co by zvýšilo produktivitu našich zaměstnanců. Uživatelé v našem úřadě tomu možná nevěří, ale chtěla bych jim usnadnit život. Je pro ně už tak dost těžké pracovat podle omezení daných byrokratickou organizací.

Jsem přesvědčena, že všechna oddělení musejí být orientována na službu zákazníkům, a to nezávisle na skutečnosti, zda jsou to zákazníci externí, nebo interní. Jako šéfka zabezpečení musím vyvážit potřebu ochrany našich dat s potřebou uživatelů efektivně pracovat. Celkově vzato, nedokáže-li firma dělat svou práci, mělo by být zabezpečení přesunuto na vedlejší kolej. Firma by jinak mohla zaniknout.

Je sice pravda, že státní agentury nebankrotují, ale stále je dost dobrých důvodů zvyšovat produktivitu. Jsem státní zaměstnankyně, ale také platím daně a jsem ráda, když vláda usiluje o vyšší efektivitu. Chci úsporu nákladů a hladký průběh, pokud musím něco zařídit.

Inteligentní zabezpečení
Mojí fintou je použít inteligentní zabezpečení. Když musejí být data mobilní, budiž. Udělám však všechno, co je v mých silách, abych zajistila to nejlepší zabezpečení, které tyto technologie nabízejí. Ale to stojí daňové poplatníky určité finanční prostředky. Jako v každé firmě musíte počítat návratnost investic a podle toho postupovat.

A teď zpátky k telefonům Palm Treo. Při nákupu od dodavatele jsme prosadili, aby datové přenosy byly ve výchozím nastavení šifrovány a aby e-maily nebyly ukládány v síti dodavatele, ale namísto toho byly přímo zasílány do telefonů. Nyní musíme vyřešit šifrování dat v telefonech samotných.

Měníme-li své zásady a povolíme-li datům opustit chráněnou síť, musejí to odsouhlasit všichni odpovídající šéfové. Svého nadřízeného jsem informovala, že pokud je synchronizace dat důležitou funkcí telefonů Treo, bude to vyžadovat zajištění šifrování těchto dat. Navíc by zařízení měla být chráněna heslem a mělo by s nimi být zacházeno jako s miniaturními počítači, tedy i s veškerým potřebným školením týkajícím se zabezpečení.

Šéfové samozřejmě byli ochotni s mými restrikcemi souhlasit, pokud bude možné ukládat si důležité prezentace a dokumenty ve vlastních mobilních telefonech. Kontaktovala jsem tedy naše poskytovatele mobilních služeb, abych zjistila, jaké typy šifrovacího softwaru jsou pro tato zařízení k dispozici. Nyní mám seznam produktů, které musím prověřit, a musím to udělat rychle.

Ukvapenost nemám ráda, ale v okamžiku, kdy řeknete lidem, že něco mohou dělat, chtějí to dělat hned. Zabezpečení by se samozřejmě nemělo provádět zbrkle, ale ráda bych nabídla dobrou službu svým zákazníkům a to mi nyní opět pomáhá dosáhnout dobrého kompromisu. Mohlo by to oslabit moji úpornou snahu o zabezpečení; já ale vždy pozorně hledám i sebemenší prostor mezi těmito protichůdnými požadavky.

Autor článku