- Přehledy IS
- APS (21)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (9)
- Cloud computing (SaaS) (29)
- CRM (49)
- DMS/ECM - správa dokumentů (19)
- EAM (16)
- Ekonomické systémy (68)
- ERP (87)
- HRM (27)
- ITSM (6)
- MES (32)
- Řízení výroby (47)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (36)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (80)
- Informační bezpečnost (42)
- IT řešení pro logistiku (46)
- IT řešení pro stavebnictví (25)
- Řešení pro veřejný a státní sektor (26)
Tematické sekce
ERP systémy
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Branžové sekce
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Partneři webu
IT SYSTEM 5/2000
Zabezpečit váš IS neznamená jen nakoupit produkty
Radek Eckhardt
Informační technologii je bezesporu možné zařadit mezi nejvíce se rozvíjející obory současnosti. S budováním privátních i veřejných sítí se velmi výrazně urychlila vzájemná komunikace a informovanost, což je velkým krokem ke zvýšení efektivity práce.
S ohledem na tento vývoj se v praxi stále častěji v odborných kruzích setkáváme s pojmy souvisejícími s bezpečností v informačních systémech. Možná i vlivem - v této době se stále častěji vyskytujících - bezpečnostních incidentů v oblasti informačních systémů, jenž způsobují nemalé problémy a v mnoha případech i ztráty daným organizacím. Nutnost zavedení bezpečnosti do interních informačních systémů tak nabývá na svém významu a obor bezpečnosti má již dnes v oblasti IS své nepostradatelné místo. Je však důležité si říci, že i nasazení bezpečnosti v rámci IS má svá pravidla a osvědčené postupy. A právě tomuto tématu bych rád věnoval tento článek.
Přestože je v současné době tématu bezpečnosti věnováno nemálo času odborných konferencí a přednášek, stále se v praxi často setkáváme s některými mylnými závěry. Pro příklad mohu uvést často se vyskytující představu, že nasazení bezpečnosti je pouhé zakoupení a nasazení bezpečnostních prostředků - a problém je vyřešen. Proč je tento krok nedostatečný, se pokusím blíže specifikovat na následujících řádcích. Než se pustíme do popisu pracovních postupů nutných pro nasazení a zavedení bezpečnosti v IS organizace, dovolte mi blíže se věnovat průběhu jiného - pro nás pravděpodobně standardnějšího a pochopitelnějšího - procesu, jakým je například Zavedení dopravních prostředků v dané organizaci.
Pokud se rozhodneme zavést v organizaci podnikovou dopravu, jedná se o zcela standardní záležitost se standardním postupem. Zkusme se tedy nyní v krátkosti podívat, co vše je nutné podniknout pro zavedení a realizaci tohoto procesu.
Před samotným nákupem dopravního prostředku je téměř vždy prováděn interní průzkum skutečných potřeb a požadavků dané organizace, jenž by asi nebylo problém nazvat interní analýzou. Dále je zapotřebí jasně definovat cíle a konečné přínosy, které od zakoupení daného dopravního prostředku očekáváme. Z takto zpracovaných materiálů jasně vyplývají další kroky nutné při zavádění tohoto procesu. Je jasné, že poté musí logicky následovat zmapování nejen samotných možností dané organizace, ale i souvisejících pracovních postupů a zavedených norem.
Poté musíme jasně definovat nutné požadavky na činnosti souvisejícími s využitím externích zdrojů (pravidelná školení, údržba a oprava vozidel atp.) a na činnosti, které je nutno zajistit vlastními zdroji (provoz atp.). Zde je také zapotřebí zmínit i personální posílení či vytvoření potřebných pracovních skupin včetně zajištění potřebné kvalifikace daných pracovníků pro požadované činnosti. Dále je nutné navrhnout a zavést úpravy či změny zavedených pracovních a bezpečnostních postupů u činností souvisejících se zmíněným procesem nebo vypracovat materiály pro nově vzniklé procesy a postupy.
A teprve poté - pokud jsme vše dobře zvážili, navrhli a zavedli do praxe - se můžeme těšit z úspěšně dokončeného procesu zavedení vnitropodnikové dopravy. Samotné nasazení dopravních prostředků v organizaci je posledním krokem k celkovému dokončení uvedeného procesu v organizaci. Jejich výběr by měl vycházet ze zmapovaných potřeb a cílů zákazníka. Samozřejmostí je také zavedení pravidelných následných kontrol stavu dopravních prostředků, znalostí řidičů a jejich pravidelné přeškolení. Dále je zapotřebí počítat i se zavedením kontinuálních činností spojených s kontrolou a sledováním nově zavedených pravidel, pracovních postupů a bezpečnostních norem. A protože je i organizace neustále žijící organismus, je zapotřebí být připraven reagovat odpovídajícím způsobem na vyhodnocení výsledků prováděných kontrol potřebnou změnou aktuálně platných předpisů s ohledem na vývoj v dané organizaci.
Odůvodňovat potřebu výše uvedeného procesu asi není nutné pro nikoho z nás. Zmíněný postup nejen sledující koncepční postupy v organizaci, ale zároveň velmi výrazně eliminující riziko špatných investic a nakoupení samotných dopravních prostředků je pouze krok k zavedení do praxe komplexnějšího projektu. Potenciální rizika vyplývající z nedodržení zmíněného postupu jsou samozřejmě známá a velmi zřetelná.
Ptáte se, jak tyto informace souvisí s nasazením bezpečnosti ve Vaší organizaci? I nasazení bezpečnosti je implementačním procesem se všemi náležitostmi s ním spojenými. A pokud se mnou souhlasíte, že výše popsaný postup implementačního procesu pro zavedení vnitropodnikové dopravy je bez diskuse jasný a odpovídající realitě, tak mi dovolte malou řečnickou otázku, proč by ve svém principu měl být proces "Zavedení bezpečnosti v informačním systému" něčím výrazně odlišným?
Pravdou je, že k odlišnosti není důvod. I zavedení bezpečnosti je nutno chápat jako standardní implementační proces se všemi náležitostmi s ním spojenými. I tento proces má svá zaběhnutá pravidla a postupy, které je nutné dodržet. Ve srovnání s předcházejícím procesem bohužel nemůžeme u tohoto procesu očekávat přípravu a zaškolení odpovědných pracovníků a uživatelů procesu mimo organizaci (jako je tomu například u výuky pravidel silničního provozu potřebných v předešlém příkladu) a ani nelze spoléhat na platné zákony ve stanovení pravidelných školení pracovníků v potřebné míře.
Navržené pracovní postupy musí pamatovat na zajištění veškerých požadavků, odpovídajících pracovních procesů a potřebných školení většinou z vlastních či pro tento účel speciálně dohodnutých zdrojů.
Je třeba si uvědomit, že bezpečnostní prostředky jsou skutečně prostředky a jejich nákupem nelze získat více než pouze nástroje pro samotné nasazení bezpečnosti. Proto, stejně jako u dopravních prostředků, je více než vhodné se před samotným nákupem bezpečnostních produktů nejprve zabývat důkladnou analýzou všech požadavků zákazníka, podrobnou analýzou instalačního prostředí a pracovních postupů. Samozřejmě je třeba v neposlední řadě konečné rozhodnutí podřídit i odsouhlasení samotného koncepčního návrhu na řešení bezpečnosti v celé organizaci.
Nasazení bezpečnosti je kromě instalace zvolených bezpečnostních produktů dle navržené konfigurace také zavedení a prosazení mnoha úprav aktuálních procedur, nových bezpečnostních pravidel, organizačních norem a souboru pracovních postupů jak pro standardní situace, tak i situace netypické, chcete-li havarijní. Pro jejich bezproblémové zavedení je zapotřebí jasně rozdělit jednotlivé povinnosti a odpovědnosti v rámci navržených pracovních skupin včetně případné vnitropodnikové reorganizace odborných oddělení.
Závěrem
Cílem tohoto článku je upozornit na skutečnost, že nasazení bezpečnosti je standardní implementační proces jako každý jiný a že je mu potřeba věnovat minimálně stejnou důležitost jako procesům ostatním. Je třeba říci, že nasazení bezpečnosti v dané organizaci má za cíl především dobře fungující informační systém poskytující požadovanou úroveň bezpečnosti - s pokud možno intuitivním ovládáním zejména ze strany uživatele. Je třeba si také veřejně přiznat, že každý bezpečnostní prvek (byť by se jednalo o bezpečnostní petlici na vstupních dveřích Vaší organizace) s sebou přináší i nové pracovní postupy a opatření. Jejich náročnost a rozsah samozřejmě závisí nejen na vlastnostech samotných bezpečnostních prostředků, ale i velkou měrou na způsobu jejich konfigurace a nasazení. Správné implementační postupy dokáží předejít mnoha budoucím konfliktům a nepříjemnostem, ale hlavně znamenají určité záruky v účelnosti investovaných finančních prostředků do oblasti bezpečnosti informačního systému ve Vaší organizaci.
DECROS
S ohledem na tento vývoj se v praxi stále častěji v odborných kruzích setkáváme s pojmy souvisejícími s bezpečností v informačních systémech. Možná i vlivem - v této době se stále častěji vyskytujících - bezpečnostních incidentů v oblasti informačních systémů, jenž způsobují nemalé problémy a v mnoha případech i ztráty daným organizacím. Nutnost zavedení bezpečnosti do interních informačních systémů tak nabývá na svém významu a obor bezpečnosti má již dnes v oblasti IS své nepostradatelné místo. Je však důležité si říci, že i nasazení bezpečnosti v rámci IS má svá pravidla a osvědčené postupy. A právě tomuto tématu bych rád věnoval tento článek.
Přestože je v současné době tématu bezpečnosti věnováno nemálo času odborných konferencí a přednášek, stále se v praxi často setkáváme s některými mylnými závěry. Pro příklad mohu uvést často se vyskytující představu, že nasazení bezpečnosti je pouhé zakoupení a nasazení bezpečnostních prostředků - a problém je vyřešen. Proč je tento krok nedostatečný, se pokusím blíže specifikovat na následujících řádcích. Než se pustíme do popisu pracovních postupů nutných pro nasazení a zavedení bezpečnosti v IS organizace, dovolte mi blíže se věnovat průběhu jiného - pro nás pravděpodobně standardnějšího a pochopitelnějšího - procesu, jakým je například Zavedení dopravních prostředků v dané organizaci.
Pokud se rozhodneme zavést v organizaci podnikovou dopravu, jedná se o zcela standardní záležitost se standardním postupem. Zkusme se tedy nyní v krátkosti podívat, co vše je nutné podniknout pro zavedení a realizaci tohoto procesu.
Před samotným nákupem dopravního prostředku je téměř vždy prováděn interní průzkum skutečných potřeb a požadavků dané organizace, jenž by asi nebylo problém nazvat interní analýzou. Dále je zapotřebí jasně definovat cíle a konečné přínosy, které od zakoupení daného dopravního prostředku očekáváme. Z takto zpracovaných materiálů jasně vyplývají další kroky nutné při zavádění tohoto procesu. Je jasné, že poté musí logicky následovat zmapování nejen samotných možností dané organizace, ale i souvisejících pracovních postupů a zavedených norem.
Poté musíme jasně definovat nutné požadavky na činnosti souvisejícími s využitím externích zdrojů (pravidelná školení, údržba a oprava vozidel atp.) a na činnosti, které je nutno zajistit vlastními zdroji (provoz atp.). Zde je také zapotřebí zmínit i personální posílení či vytvoření potřebných pracovních skupin včetně zajištění potřebné kvalifikace daných pracovníků pro požadované činnosti. Dále je nutné navrhnout a zavést úpravy či změny zavedených pracovních a bezpečnostních postupů u činností souvisejících se zmíněným procesem nebo vypracovat materiály pro nově vzniklé procesy a postupy.
A teprve poté - pokud jsme vše dobře zvážili, navrhli a zavedli do praxe - se můžeme těšit z úspěšně dokončeného procesu zavedení vnitropodnikové dopravy. Samotné nasazení dopravních prostředků v organizaci je posledním krokem k celkovému dokončení uvedeného procesu v organizaci. Jejich výběr by měl vycházet ze zmapovaných potřeb a cílů zákazníka. Samozřejmostí je také zavedení pravidelných následných kontrol stavu dopravních prostředků, znalostí řidičů a jejich pravidelné přeškolení. Dále je zapotřebí počítat i se zavedením kontinuálních činností spojených s kontrolou a sledováním nově zavedených pravidel, pracovních postupů a bezpečnostních norem. A protože je i organizace neustále žijící organismus, je zapotřebí být připraven reagovat odpovídajícím způsobem na vyhodnocení výsledků prováděných kontrol potřebnou změnou aktuálně platných předpisů s ohledem na vývoj v dané organizaci.
Odůvodňovat potřebu výše uvedeného procesu asi není nutné pro nikoho z nás. Zmíněný postup nejen sledující koncepční postupy v organizaci, ale zároveň velmi výrazně eliminující riziko špatných investic a nakoupení samotných dopravních prostředků je pouze krok k zavedení do praxe komplexnějšího projektu. Potenciální rizika vyplývající z nedodržení zmíněného postupu jsou samozřejmě známá a velmi zřetelná.
Ptáte se, jak tyto informace souvisí s nasazením bezpečnosti ve Vaší organizaci? I nasazení bezpečnosti je implementačním procesem se všemi náležitostmi s ním spojenými. A pokud se mnou souhlasíte, že výše popsaný postup implementačního procesu pro zavedení vnitropodnikové dopravy je bez diskuse jasný a odpovídající realitě, tak mi dovolte malou řečnickou otázku, proč by ve svém principu měl být proces "Zavedení bezpečnosti v informačním systému" něčím výrazně odlišným?
Pravdou je, že k odlišnosti není důvod. I zavedení bezpečnosti je nutno chápat jako standardní implementační proces se všemi náležitostmi s ním spojenými. I tento proces má svá zaběhnutá pravidla a postupy, které je nutné dodržet. Ve srovnání s předcházejícím procesem bohužel nemůžeme u tohoto procesu očekávat přípravu a zaškolení odpovědných pracovníků a uživatelů procesu mimo organizaci (jako je tomu například u výuky pravidel silničního provozu potřebných v předešlém příkladu) a ani nelze spoléhat na platné zákony ve stanovení pravidelných školení pracovníků v potřebné míře.
Navržené pracovní postupy musí pamatovat na zajištění veškerých požadavků, odpovídajících pracovních procesů a potřebných školení většinou z vlastních či pro tento účel speciálně dohodnutých zdrojů.
Je třeba si uvědomit, že bezpečnostní prostředky jsou skutečně prostředky a jejich nákupem nelze získat více než pouze nástroje pro samotné nasazení bezpečnosti. Proto, stejně jako u dopravních prostředků, je více než vhodné se před samotným nákupem bezpečnostních produktů nejprve zabývat důkladnou analýzou všech požadavků zákazníka, podrobnou analýzou instalačního prostředí a pracovních postupů. Samozřejmě je třeba v neposlední řadě konečné rozhodnutí podřídit i odsouhlasení samotného koncepčního návrhu na řešení bezpečnosti v celé organizaci.
Nasazení bezpečnosti je kromě instalace zvolených bezpečnostních produktů dle navržené konfigurace také zavedení a prosazení mnoha úprav aktuálních procedur, nových bezpečnostních pravidel, organizačních norem a souboru pracovních postupů jak pro standardní situace, tak i situace netypické, chcete-li havarijní. Pro jejich bezproblémové zavedení je zapotřebí jasně rozdělit jednotlivé povinnosti a odpovědnosti v rámci navržených pracovních skupin včetně případné vnitropodnikové reorganizace odborných oddělení.
Závěrem
Cílem tohoto článku je upozornit na skutečnost, že nasazení bezpečnosti je standardní implementační proces jako každý jiný a že je mu potřeba věnovat minimálně stejnou důležitost jako procesům ostatním. Je třeba říci, že nasazení bezpečnosti v dané organizaci má za cíl především dobře fungující informační systém poskytující požadovanou úroveň bezpečnosti - s pokud možno intuitivním ovládáním zejména ze strany uživatele. Je třeba si také veřejně přiznat, že každý bezpečnostní prvek (byť by se jednalo o bezpečnostní petlici na vstupních dveřích Vaší organizace) s sebou přináší i nové pracovní postupy a opatření. Jejich náročnost a rozsah samozřejmě závisí nejen na vlastnostech samotných bezpečnostních prostředků, ale i velkou měrou na způsobu jejich konfigurace a nasazení. Správné implementační postupy dokáží předejít mnoha budoucím konfliktům a nepříjemnostem, ale hlavně znamenají určité záruky v účelnosti investovaných finančních prostředků do oblasti bezpečnosti informačního systému ve Vaší organizaci.
DECROS
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
květen - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | 1 | 2 |
3 | 4 | 5 | 6 | 7 | 8 | 9 |
IT Systems podporuje
13.5. | Konference ISSS 2024 |
15.5. | Digitalizácia procesov vo výrobe a obchode |
15.5. | Kontajnery v praxi 2024 - Bratislava |
22.5. | Cloud Computing Conference 2024 |
Formulář pro přidání akce
Další vybrané akce
16.5. | Virtuální konference "Security as a Service"... |
22.5. | DYTRON EXPERIENCE FORUM 2024 |
13.6. | Konference ABIA CZ 2024: Inovacemi k růstu |