Tyrani w odwrocie

Bezwzględne egzekwowanie rygorystycznych procedur bezpieczeństwa przynosi w praktyce więcej szkody niż pożytku. Specjaliści ds. bezpieczeństwa osiągają znacznie lepsze efekty, gdy uda im się przekonać piony biznesowe, że bezpieczeństwo leży w ich interesie.

Bezwzględne egzekwowanie rygorystycznych procedur bezpieczeństwa przynosi w praktyce więcej szkody niż pożytku. Specjaliści ds. bezpieczeństwa osiągają znacznie lepsze efekty, gdy uda im się przekonać piony biznesowe, że bezpieczeństwo leży w ich interesie.

Bill Hancock w pierwszych dniach pracy na stanowisku specjalisty ds. bezpieczeństwa w firmie telekomunikacyjnej Exodus dokonał zaskakującego odkrycia. Podczas przeglądu pomieszczeń natknął się na niepozorny schowek ze stertą komputerów. Naliczył ich 45. Jeden z pracowników działu bezpie- czeństwa wyjaśnił mu, że są to komputery, do których włamali się hakerzy, lecz nie potrafił powiedzieć, do kogo należą. Okazało się, że poprzednik Billa Hancocka, zamiast naprawiać i zwracać komputery użytkownikom, konfiskował je. Co więcej, pozbawieni komputerów pracownicy nie otrzymywali zastępczego sprzętu. Dla użytkowników przesłanie było jasne: jeśli nie potrafisz uchronić komputera przed atakiem, to na niego nie zasługujesz!

Skonfiskowane komputery, które odkrył Bill Hancock, świadczyły o desperacji, z jaką jego poprzednik starał się zdobyć poważanie pracowników firmy. Kryzys zaufania i niechęć do współpracy to bolączka większości kierowników ds. bezpieczeństwa - zwłaszcza w relacjach z kierownikami równorzędnego szczebla. A większości celów w dziedzinie bezpieczeństwa nie da się osiągnąć bez współpracy czy wręcz wsparcia ze strony kierowników odpowiedzialnych za poszczególne obszary biznesu.

Barierą w układaniu dobrych stosunków z kadrą zarządzającą może być niebezpieczny mit o "tyranii bezpieczeństwa". Kierownicy działów biznesowych narzekają, że nieuzasadnione wymagania szefów bezpieczeństwa opóźniają projekty lub uszczuplają ich budżety, wymuszając stosowanie drogich technologii. W ich opinii kierownicy ds. bezpieczeństwa częściej tworzą, niż rozwiązują problemy - koncentrując się na problemach technicznych nie potrafią dostrzec ani zrozumieć wagi potrzeb biznesowych. Posługują się niezrozumiałym językiem, sprowadzając wszystko do "przepełnienia bufora" lub "filtrowania pakietów". Jeśli kierownik ds. bezpieczeństwa wyrobi sobie taką opinię, jego dni w firmie są policzone. Inni oczekują bowiem od szefa ds. bezpieczeństwa wsparcia i jeżeli go nie otrzymają, będą go ignorować, a nawet walczyć z nim.

Zasada nr 1: Nigdy nie mów nie

Poprawę wizerunku szefa ds. bezpieczeństwa firmy Bill Hancock rozpoczął od zmiany zasad działania - zamiast strofować i karać, postawił na uprzejmość i troskliwe wsparcie. Odszukał użytkowników 45 skonfiskowanych komputerów. Sprzęt sprawdzono, wyposażono w najnowsze wersje programów zabezpieczających i przekazano użytkownikom. Właściciele komputerów zostali też pouczeni, jakie środki ostrożności powinni stosować, by nie stać się ofiarami ataku. Dzięki tym prostym zabiegom stosunek użytkowników do działu bezpieczeństwa znacznie się poprawił. Przestano się bać jego pracowników, a nawet zaczęto otwarcie doceniać ich pomoc. "Ludziom nie wolno mówić "nie" - trzeba im tylko pokazać, jak rozwiązać problem. Powinni wiedzieć, że dział bezpieczeństwa jest ich sojusznikiem, a nie wrogiem i dotyczy to w równym stopniu szeregowych pracowników i ich szefów" - mówi Bill Hancock.

Poprawa wizerunku działu bezpieczeństwa wymaga zmiany strategii działania. Nie należy koncentrować się na zwalczaniu złych nawyków użytkowników, ale poszukać takich rozwiązań, które niezależnie zapewnią firmie bezpieczeństwo. Przykładowo, zamiast straszyć pracowników konsekwencjami za odwiedzanie zakazanych witryn WWW, można zastosować oprogramowanie automatycznie odcinające dostęp do nich. Stosowanie oprogramowania do szyfrowania zawartości dysków twardych w notebookach pozwolili zabezpieczyć poufne dane w przypadku utraty sprzętu. "Bezinwazyjne metody zapewniania bezpieczeństwa są najskuteczniejsze. Najlepiej gdy użytkownicy w ogóle nie wiedzą o ich istnieniu" - mówi James Christiansen, główny specjalista ds. bezpieczeństwa w centrali General Motors.

Ważne jest umiejętne podejście do egzekwowania reguł polityki bezpieczeństwa - zwłaszcza wobec kierownictwa. Najgorszą rzeczą, jaką można zrobić, jest wydawanie arbitralnych decyzji w stylu urzędowym. Powinno się przedstawiać kilka rozwiązań z komentarzem o potencjalnych skutkach wyboru każdego z nich. Pozostawiając ostateczną decyzję bezpośrednio zainteresowanym, unika się starć ambicjonalnych i oskarżeń o dyktatorstwo.

Oczywiście zdarza się, że szef bezpieczeństwa po prostu musi powiedzieć "nie". Lecz nadużywanie tego słowa sprawia, że traci ono moc tak potrzebną, gdy sprawa rzeczywiście jest poważna. Ścierające się interesy trzeba umieć wyważyć. "Postawę idealnego szefa bezpieczeństwa można przyrównać do monarchii oświeconej. W normalnej sytuacji wszystkie zainteresowane strony powinny brać udział w podejmowaniu decyzji. Gdy jednak firmie grozi poważne niebezpieczeństwo, rolą szefa ds. bezpieczeństwa jest zdecydowane działanie" - tłumaczy Bill Hancock.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200