Informační technologii je bezesporu možné zařadit mezi nejvíce se rozvíjející obory současnosti. S budováním privátních i veřejných sítí se velmi výrazně urychlila vzájemná komunikace a informovanost, což je velkým krokem ke zvýšení efektivity práce.


S ohledem na tento vývoj se v praxi stále častěji v odborných kruzích setkáváme s pojmy souvisejícími s bezpečností v informačních systémech. Možná i vlivem - v této době se stále častěji vyskytujících - bezpečnostních incidentů v oblasti informačních systémů, jenž způsobují nemalé problémy a v mnoha případech i ztráty daným organizacím. Nutnost zavedení bezpečnosti do interních informačních systémů tak nabývá na svém významu a obor bezpečnosti má již dnes v oblasti IS své nepostradatelné místo. Je však důležité si říci, že i nasazení bezpečnosti v rámci IS má svá pravidla a osvědčené postupy. A právě tomuto tématu bych rád věnoval tento článek.

Přestože je v současné době tématu bezpečnosti věnováno nemálo času odborných konferencí a přednášek, stále se v praxi často setkáváme s některými mylnými závěry. Pro příklad mohu uvést často se vyskytující představu, že nasazení bezpečnosti je pouhé zakoupení a nasazení bezpečnostních prostředků - a problém je vyřešen. Proč je tento krok nedostatečný, se pokusím blíže specifikovat na následujících řádcích. Než se pustíme do popisu pracovních postupů nutných pro nasazení a zavedení bezpečnosti v IS organizace, dovolte mi blíže se věnovat průběhu jiného - pro nás pravděpodobně standardnějšího a pochopitelnějšího - procesu, jakým je například Zavedení dopravních prostředků v dané organizaci.

Pokud se rozhodneme zavést v organizaci podnikovou dopravu, jedná se o zcela standardní záležitost se standardním postupem. Zkusme se tedy nyní v krátkosti podívat, co vše je nutné podniknout pro zavedení a realizaci tohoto procesu.

Před samotným nákupem dopravního prostředku je téměř vždy prováděn interní průzkum skutečných potřeb a požadavků dané organizace, jenž by asi nebylo problém nazvat interní analýzou. Dále je zapotřebí jasně definovat cíle a konečné přínosy, které od zakoupení daného dopravního prostředku očekáváme. Z takto zpracovaných materiálů jasně vyplývají další kroky nutné při zavádění tohoto procesu. Je jasné, že poté musí logicky následovat zmapování nejen samotných možností dané organizace, ale i souvisejících pracovních postupů a zavedených norem.

Poté musíme jasně definovat nutné požadavky na činnosti souvisejícími s využitím externích zdrojů (pravidelná školení, údržba a oprava vozidel atp.) a na činnosti, které je nutno zajistit vlastními zdroji (provoz atp.). Zde je také zapotřebí zmínit i personální posílení či vytvoření potřebných pracovních skupin včetně zajištění potřebné kvalifikace daných pracovníků pro požadované činnosti. Dále je nutné navrhnout a zavést úpravy či změny zavedených pracovních a bezpečnostních postupů u činností souvisejících se zmíněným procesem nebo vypracovat materiály pro nově vzniklé procesy a postupy.

A teprve poté - pokud jsme vše dobře zvážili, navrhli a zavedli do praxe - se můžeme těšit z úspěšně dokončeného procesu zavedení vnitropodnikové dopravy. Samotné nasazení dopravních prostředků v organizaci je posledním krokem k celkovému dokončení uvedeného procesu v organizaci. Jejich výběr by měl vycházet ze zmapovaných potřeb a cílů zákazníka. Samozřejmostí je také zavedení pravidelných následných kontrol stavu dopravních prostředků, znalostí řidičů a jejich pravidelné přeškolení. Dále je zapotřebí počítat i se zavedením kontinuálních činností spojených s kontrolou a sledováním nově zavedených pravidel, pracovních postupů a bezpečnostních norem. A protože je i organizace neustále žijící organismus, je zapotřebí být připraven reagovat odpovídajícím způsobem na vyhodnocení výsledků prováděných kontrol potřebnou změnou aktuálně platných předpisů s ohledem na vývoj v dané organizaci.

Odůvodňovat potřebu výše uvedeného procesu asi není nutné pro nikoho z nás. Zmíněný postup nejen sledující koncepční postupy v organizaci, ale zároveň velmi výrazně eliminující riziko špatných investic a nakoupení samotných dopravních prostředků je pouze krok k zavedení do praxe komplexnějšího projektu. Potenciální rizika vyplývající z nedodržení zmíněného postupu jsou samozřejmě známá a velmi zřetelná.

Ptáte se, jak tyto informace souvisí s nasazením bezpečnosti ve Vaší organizaci? I nasazení bezpečnosti je implementačním procesem se všemi náležitostmi s ním spojenými. A pokud se mnou souhlasíte, že výše popsaný postup implementačního procesu pro zavedení vnitropodnikové dopravy je bez diskuse jasný a odpovídající realitě, tak mi dovolte malou řečnickou otázku, proč by ve svém principu měl být proces "Zavedení bezpečnosti v informačním systému" něčím výrazně odlišným?

Pravdou je, že k odlišnosti není důvod. I zavedení bezpečnosti je nutno chápat jako standardní implementační proces se všemi náležitostmi s ním spojenými. I tento proces má svá zaběhnutá pravidla a postupy, které je nutné dodržet. Ve srovnání s předcházejícím procesem bohužel nemůžeme u tohoto procesu očekávat přípravu a zaškolení odpovědných pracovníků a uživatelů procesu mimo organizaci (jako je tomu například u výuky pravidel silničního provozu potřebných v předešlém příkladu) a ani nelze spoléhat na platné zákony ve stanovení pravidelných školení pracovníků v potřebné míře.

Navržené pracovní postupy musí pamatovat na zajištění veškerých požadavků, odpovídajících pracovních procesů a potřebných školení většinou z vlastních či pro tento účel speciálně dohodnutých zdrojů.

Je třeba si uvědomit, že bezpečnostní prostředky jsou skutečně prostředky a jejich nákupem nelze získat více než pouze nástroje pro samotné nasazení bezpečnosti. Proto, stejně jako u dopravních prostředků, je více než vhodné se před samotným nákupem bezpečnostních produktů nejprve zabývat důkladnou analýzou všech požadavků zákazníka, podrobnou analýzou instalačního prostředí a pracovních postupů. Samozřejmě je třeba v neposlední řadě konečné rozhodnutí podřídit i odsouhlasení samotného koncepčního návrhu na řešení bezpečnosti v celé organizaci.

Nasazení bezpečnosti je kromě instalace zvolených bezpečnostních produktů dle navržené konfigurace také zavedení a prosazení mnoha úprav aktuálních procedur, nových bezpečnostních pravidel, organizačních norem a souboru pracovních postupů jak pro standardní situace, tak i situace netypické, chcete-li havarijní. Pro jejich bezproblémové zavedení je zapotřebí jasně rozdělit jednotlivé povinnosti a odpovědnosti v rámci navržených pracovních skupin včetně případné vnitropodnikové reorganizace odborných oddělení.

Závěrem
Cílem tohoto článku je upozornit na skutečnost, že nasazení bezpečnosti je standardní implementační proces jako každý jiný a že je mu potřeba věnovat minimálně stejnou důležitost jako procesům ostatním. Je třeba říci, že nasazení bezpečnosti v dané organizaci má za cíl především dobře fungující informační systém poskytující požadovanou úroveň bezpečnosti - s pokud možno intuitivním ovládáním zejména ze strany uživatele. Je třeba si také veřejně přiznat, že každý bezpečnostní prvek (byť by se jednalo o bezpečnostní petlici na vstupních dveřích Vaší organizace) s sebou přináší i nové pracovní postupy a opatření. Jejich náročnost a rozsah samozřejmě závisí nejen na vlastnostech samotných bezpečnostních prostředků, ale i velkou měrou na způsobu jejich konfigurace a nasazení. Správné implementační postupy dokáží předejít mnoha budoucím konfliktům a nepříjemnostem, ale hlavně znamenají určité záruky v účelnosti investovaných finančních prostředků do oblasti bezpečnosti informačního systému ve Vaší organizaci.

DECROS