Manažer bezpečnosti: Vytvoření zásad někdy není snadné

7. 8. 2010

Sdílet

Stanovení pravidel, jak dlouho se mají data uchovávat, vypadá navenek triviálně. Jenže to tak není. Ne všechny informace mají totiž stejnou váhu.

Minulý týden jsem obědval v podnikové restauraci a možná to skončí výslednou úsporou 40 tisíc dolarů měsíčně. To proto, že jsem se při čekání ve frontě dal do hovoru s naším šéfem právního oddělení. Zeptal jsem se, kdy budeme moci přestat uchovávat kompletně všechna data.

Několik let jsme totiž nesměli přepisovat žádné informace související s e-mailem, místními adresáři či finančními systémy a také několik druhů repozitářů dokumentů či jiných systémů. Tento zákaz vyplynul z vyšetřování v souvislosti s úpisy akcií, které nyní po dlouhé době skončilo. Kvůli nemožnosti přepisovat záložní pásky jsme každý měsíc utratili 40 tisíc dolarů jen za nová média.

Další náklady pak vznikaly z důvodu zákazu používat opětovně pevné disky bývalých zaměstnanců. Tyto výdaje byly nedávno zmírněny pomocí nové iniciativy pro vytváření bitových kopií těchto pevných disků, takže hardware bylo možno opětovně nasadit pro další pracovníky.

Nemohli bychom uvolnit zásady uchovávání a vrátit se zpět k normálnímu provozu? Zeptal jsem se ho. Ano, mohli bychom, odvětil, ale ne dříve, než vytvoříme komplexní zásady uchovávání dat. Mohl byste přitom pomoci, dodal.

Zásady ukládání  dat jsou celkem přímočaré dokumenty, které stanovují dobu, po kterou musí být informace uchovávány dostupné v nezměněném stavu. To zní jednoduše, že. Problémem ale je, že různé typy dat musejí být skladovány rozličnou dobu. Většina pravidel tohoto typu začíná deklarací zásad, které jsou následovány plánem uchovávání vypisujícím všechny možné typy informací, jaké společnost má ve svých úložištích, a u nich stanovuje požadovanou dobu uložení.

Existují také speciální instrukce pro archivaci a pro finální skartaci dat, jakmile dojde k překročení daného časového limitu. Zmíněná pravidla také obsahují postupy pro zachování informací v případě probíhajícího právního sporu.

Tento týden jsem se zúčastnil porady svolané šéfem právního oddělení. Začal vysvětlením, že musel najmout externí právníky, aby mu pomohli nadefinovat nové zásady. Nejprve jsem se cítil trochu uražen, protože jsem očekával, že já budu zodpovědný za vytvoření těchto pravidel. Na konci porady jsem ale byl více než rád, že tomu budu jen asistovat a že veškerou tu dřinu vykoná někdo jiný.

Data úplně všude
Asi chápete, že plány pro komplexní uchovávání dat vyžadují shromáždění značného množství informací. Například potřebujeme znát obecný charakter všech dat uchovávaných na serverech, v úložištích, na záložních páskách a v jednotlivých počítačích. To zahrnuje jak aktivní data (například e-mail, logy chatů, protokoly unixových systémů, firewallu či VPN systémů), tak i neaktivní data, jako je třeba dokumentace související s prodejem, službami, právními záležitostmi či financemi.

Další komplikace vzniká tehdy, jste-li globální společností. Znamená to například, že musíte zohlednit přísné evropské zákony na ochranu soukromí. Do hry samozřejmě vstupují další požadavky legislativy a směrnic, obchodní potřeby a osobní aspekty. Například současné směrnice agentury SEC (Securities and Exchange Commission) vyžadují uchovávání určitých finančních dokumentů po dobu sedmi let. Sarbanes-Oxleyův zákon zase požaduje uchovávání určitých protokolů o přístupu po dobu jednoho roku.

Další směrnice zahrnují e-mailové zprávy obsahující dohody o cenách. A také uživatelé mohou mít svou vlastní představu o době uchovávání zpráv elektronické pošty a dalších dat. Jsou však také potřebné zásady, které by bránily zaměstnancům mazat data, o kterých by si mysleli, že by mohla poškodit společnost v případě objevení.

Celkem vzato to bude velmi komplexní práce. Jen zjištění správců příslušných dat bude problematické, protože zejména nedávné propouštění způsobilo osiření mnoha repozitářů, které tak nyní nemají odpovídající vlastníky. Ačkoli se těším na den, kdy budeme moci přestat plýtvat penězi za záložní pásky, jsem zároveň rád, že tyto zásady nejsou primárně mojí zodpovědností.