08.12.2015

5 zásadních pravidel firemní security politiky

Bezpečnostní politiku firmy často vytváří lidé, kteří toho o IT bezpečnosti moc neví. To se týká především společností, které tuší, že by se zabezpečení svých dat měli věnovat, ale na druhou stranu se jim nechce investovat do odborníků. To je samozřejmě chyba, která firmu může stát v nejhorším případě i její existenci. 

Fence 690578

Pokud je přesto právě vaše společnost pevně rozhodnutá do odborníka neinvestovat, mohlo by vám při tvorbě bezpečností politiky pomoci pět kroků, které dala dohromady společnost Gartner, a která mohou být klíčová při snižování rizika.

Vytvořte proces pro vývoj a udržení bezpečnostní politiky

Někteří si představují tvorbu bezpečnostní politiky společnosti tak, že se odstřihnou od dění ve firmě, sednou si na do zapadlé kanceláře a za hodinku vytvoří dokument s pravidly bezpečnosti. Ten rozešlou a tím jejich práce končí. Nemůžou být dále od pravdy.

Tvorba bezpečnostní politiky je věcí konzultací a iterací. Až na konci dlouhých rozhovorů a rozhodnutí mohou vzniknout pravidla, která jsou dlouhodobě udržitelná. Nesmíte však zapomínat ani na pravidelné revize. Svou bezpečnostní politiku byste měli kontrolovat a případně aktualizovat přibližně každé tři roky.

Nezapomeňte, pokud nemůžete obhájit proces tvorby bezpečnostní politiky, nemůžete obhájit ani politiku samotnou.

Strukturovaným přístupem k flexibilitě

Vytvořit bezpečnostní politiku pro velkou společnost se často může zdát jako úkol skoro až nemožný. A ještě horší je to ve firmách, které mají spoustu poboček a oddělení, které fungují s částečnou autonomitou. A každé z těchto oddělení má vlastní přístup k tomu, jak je bezpečnost důležitá.

V oddělení, kterým denně proudí důležité transakce a má na starosti finance, budou mít na bezpečnost trochu větší nároky, než například v marketingu.

Proto je důležité aby se bezpečnostní politika soustředila spíše na uřízení rizika než na pevně daný set pravidel a kontrol. Toho můžete dosáhnout například použitím správných slov. Zkuste nahradit „je nezbytné” a „musíte” raději slovy „je vhodné” a „měli byste”. Případně můžete využít strukturovaného přístupu.

Gartner diagram

Source: Gartner (September 2014)

Takto strukturovaná pravidla jsou trvale udržitelná a vhodná pro celou firmu. CEO schvaluje hlavní stanovy a politiku, které jsou závazné pro celou společnost.

Standardy jsou mnohem detailnější a popisují požadavky, které musí splnit celá společnost. Výjimky mohou být schválené pouze formálním procesem. Směrnice jsou téměř to samé co standardy, ale semi-autonomní pobočky se od nich mohou odchýlit i bez oficiálního schválení. Tento mechanismus poskytuje minimální standard bezpečností, přičemž stále umožňuje jakousi flexibilitu mezi odděleními, které mají rozdílné nároky na bezpečnost.

Při tvorbě bezpečnostní politiky se vyhněte izolaci

Tvorba i dodržování bezpečnostní politiky vyžaduje podporu celé firmy. K jejímu správnému vytvoření je nutné pochopit potřeby a cíle všech obchodních jednotek. Je nutné ji vytvořit tak, aby pro všechny byla prospěšná a nezdržovala od práce, ať už svou neefektivitou, nebo tím, že kvůli ní bude docházet k neustálým hádkám s obchodem o její implementaci a dodržování.

Mluvte s lidmi. Zjistěte, co potřebují, jak fungují a pracují. Nezapomínejte, že vedle dodržování bezpečnostních pravidel musí být zaměstnanci také schopní pracovat.

„Ujistěte se, že jste se poradili s každou částí organizace, ale také o tom, že bezpečnostní politice všichni rozumí. Po jejím schválení už nesmí být žádné stížnosti o tom, že je to překvapení,” píše Gartner.

Nechte politiku sepsat někoho, kdo s tím má zkušenosti. Pravidla jsou pouze tak silná jako text, který je vyjadřuje

Bezpečnostní politika má komunikovat důležitá pravidla o chodu společnosti. Způsob, jakým je tento dokument napsán, má na zaměstnance velký vliv. Je důležité, aby byl srozumitelný a nezavádějící. Měl by ho tak psát, nebo alespoň zkontrolovat člověk, který s tím má zkušenosti.

Dokument by měl být psán tak, aby se přizpůsobil firemní kultuře a nastavení čtenářů. Musí být jasný a neměl by obsahovat příliš právnického jazyka, který nikoho nebaví číst. Vše by mělo být jasné, přímé a hlavně specifické. Důležité je nezapomínat na finální kontrolu a úpravu.

Svou politiku otestujte a ujistěte se, že je pragmatická

Přestože při tvorbě dokumentu budete všechny nařízení a kroky konzultovat se všemi odděleními, i na konci se ještě jednou ujistěte, že její dodržování nebude bránit výkonu práce a nebude práci příliš komplikovat.

Předtím, než ji vypustíte, zamyslete se a vyzkoušejte, zda je připravená na vzdáleně pracující zaměstnance, ať již z domova nebo na služebních cestách.

Zamyslete se nad cloudovými technologiemi a nad tím, jak bude fungovat společně s tím, že zaměstnanci budou chtít pracovat na vlastních zařízení.

Kromě toho byste měli mít promyšlené, jak zajistíte soulad zaměstnanců s touto politikou a jak ho budete měřit. Pokud tento soulad nezajistíte a nebudete mít způsob, jak jej měřit a případně dodržování pravidel vymáhat, bude všechna práce, kterou jste do její tvorby vložili, ztracený čas. Kromě toho byste měli mít promyšlené, jak zajistíte soulad zaměstnanců s touto politikou a jak ho budete měřit. Pokud tento soulad nezajistíte a nebudete mít způsob, jak jej měřit a případně dodržování pravidel vymáhat, bude všechna práce, kterou jste do její tvorby vložili, ztracený čas.

Kam dál?