Naše manažerka zamítla nákup nových technologií a obrací svoji pozornost na vylepšení povědomí o bezpečnosti: Čas od času se každý bezpečnostní manažer musí sám sebe zeptat – co je vlastně nejslabším článkem naší organizace? Je to náchylnost k hackerským útokům, kvůli které se stáváme obětí útoků zvnějšku, nebo se jedná spíše o vnitřní hrozby? Musela jsem o tom dlouze přemýšlet, abych se mohla správně rozhodnout mezi investováním do dalších bezpečnostních technologií a školením zaměstnanců o zásadách bezpečnosti.
Nákup nové technologie je vždycky velkým pokušením. Kdo by si přece nechtěl vyzkoušet nové hračky, že? Musela jsem být ale realistkou a posuzovat především reálná fakta. Například moje poslední žádost o přidělení finančních prostředků na další bezpečnostní hardware a software byla schválena jen nezávazně. A navíc jsem ještě nestačila dokončit několik klíčových bezpečnostních projektů. Je bez diskuse, že nejprve musím dodělat všechny tyto již zahájené akce a teprve pak mohu získat prostředky na další. I kdybych sestavila návrh, který by dával smysl a týkal by se konkrétního úkolu, pořád by byl tu problém s touto zatím nedokončenou prací. Předtím, než budu žádat o nové technologie, musím nejprve prokázat efektivitu těch stávajících. Jinak bych vypadala jako malé dítě, co žádá o zmrzlinu, když ještě nedojedlo svůj oběd.
Takže místo toho jsem si udělala malý průzkum a zjistila, že statisticky řečeno, největší bezpečnostní riziko ve firmě představují její vlastní zaměstnanci. Jak se uvádí ve studii Internet Security Threat Report, kterou uveřejnila společnost Symantec, „pro útočníky je koncový uživatel tím nejslabším článkem v bezpečnostním řetězci, a proto se na něj, aby byli ve svých snahách úspěšní, neustále zaměřují“. Zatímco zmíněná zpráva se soustřeďuje primárně na nebezpečí, kterému čelí domácí uživatelé, běžní pracovníci jsou tím nejslabším článkem i ve firmách a státních institucích. To odpovídá i mé zkušenosti. Mohla bych utrácet peníze za úžasné bezpečnostní technologie, ale to by nutně nemuselo znamenat, že budou využity co nejúčelněji. Majíc toto na paměti, rozhodla jsem se soustředit na školení v bezpečnosti.
Školení
Musím to však upřesnit – opět se soustředit. Už asi před rokem jsem naplánovala zajímavé bezpečnostní školení, ale neměla jsem žádné zdroje pro jeho následnou realizaci. Tu současnou podobu jsem nosila v hlavě už nějakou dobu, když se najednou objevila příležitost spustit to bez dalších podmínek. Bylo tedy na čase hodit veškeré myšlenky na papír.
Krokem číslo jedna v tomto procesu bylo nastínit základní body. Základními oblastmi, které jsem pro školení zvolila, byla pravidla správného užívání IT, dále počítačová a síťová bezpečnost, fyzická bezpečnost, chráněné zdravotní informace a bezpečnost vzdáleného přístupu. Rozhodla jsem se, že pravidla správného užívání budou nejdůležitějším bodem, protože se přímo vztahují k tomu, co uživatel smí a nesmí ve firmě na počítačích provádět.
Dále jsem si musela rozmyslet, jak našim zaměstnanců informace předám. V této oblasti mám opravdu dostatečné portfolio nápadů, neboť jsem dříve realizovala kurzy o informační bezpečnosti na místní univerzitě. Ráda jsem podněcovala třídu k diskusi tak, že jsem dala důraz na to, aby posluchači mohli klást k probírané problematice otázky – to je technika, která nutí studenty více přemýšlet tím, že jsou do procesu výuky přímo zapojeni.
Mým plánem je pro bezpečnostní školení použít webové stránky, ale něco podobného mohu učinit i prostřednictvím toho, co označuji za „otázky, které nás učí“. Každý má jinou metodu studia, ale jak jsem zjistila, většina studentů se učí efektivněji, pokud o správné odpovědi přemýšlí ještě předtím, než se ji dozví. Učinila jsem jistý pokrok ve formulaci takových otázek, které hodlám použít v sekci o pravidlech užívání. Tady je malá ukázka toho, jak našim zaměstnancům vysvětluji, co je to přijatelné osobní použití firemních zdrojů.
Mohu používat firemní zdroje k osobní potřebě?
A. Ano, kdykoli chci.
B. Ne, nikdy.
C. Ano, ale jen pokud si myslím, že je toto využití je přiměřené.
D. Ano, avšak pokud se svého nařízeného předem zeptám.
Nikdy nepoužívám svůj e-mail registrovaný v naší organizaci (tedy elektronickou poštu státního úřadu) pro osobní potřebu, ale používám svůj vlastní e-mail (Yahoo, MSN, Gmail, AOL atd.). Je to v pořádku?
A. Ne. Využití osobního e-mailu zabírá čas, který mám věnovat své práci.
B. Ano, pokud stíhám svoji práci.
C. Ano, ale jen pokud si myslím, že je toto využití přiměřené, a neporušuji-li při tom žádný zákon.
“Vlastní“ státní organizace můj osobní e-mail, pokud ho používám v práci stejně tak jako jiné své zdroje?
A. Ne, to je hloupost.
B. Ano, protože patřím úřadu od 8 do 17 hod.
C. Ano i ne; úřad nevlastní můj osobní e-mail, ale provozuje síť, která slouží k přenosu zprávy, a tedy vlastní i data v této síti.
Mohu si nechat přeposílat e-mail ze svého osobního účtu na účet v práci?
A. Ano, pokud je jeho obsah spojen s pracovními povinnostmi.
B. Ne. Nic nepřeposílat.
Pokud si vyberete nesprávnou odpověď, musíte to zkoušet znovu a znovu, dokud nevyberete tu správnou. Odpovědi nejsou voleny tak, aby byly zavádějící, v zásadě jsou to typické reakce uživatelů. Uživatel si může vybrat kteroukoli odpověď, pokud ale zvolí špatně, nedostane se dál, dokud nezvolí odpověď správnou. Když zvolí správně, objeví se stránka s vysvětlením, proč je tato odpověď správná. V některých případech se dokonce na obrazovce objeví i citace z příslušného zákona či vyhlášky.
Je to jednoduchý koncept, ale jsem přesvědčena o tom, že může být velmi efektivní. Každý nový zaměstnanec musí tímto kurzem projít a test je pak každoročně opakován. Zprovoznění kurzu na intranetu umožňuje jeho snadnou přístupnost, přičemž časem je možné je doplnit o další dotazy nebo přidávat do něj různé znělky či klipy.
Foto: IDG