Jak zapewnić wszystkim ochronę prywatności?

Możliwość używania komputerów do osobistych celów wiąże się z poczuciem odpowiedzialności.

Możliwość używania komputerów do osobistych celów wiąże się z poczuciem odpowiedzialności.

Nie można zarządzać systemami informatycznymi nie uznając faktu, że duża część ludzi ma głęboko emocjonalny związek z komputerami PC. I jeśli tylko spróbujemy zakłócić tę oczywistą współzależność, to zostaniemy zaatakowani z gwałtownością, z jaką właściciel domu broni swego majątku.

Komputery PC wykorzystywane są przez pracowników biur do obsługi ich własnych zadań: do ponawiania rutynowych prac do redagowania korespondencji (w sposób, który podnosi w oczach otoczenia prestiż piszącego), do samokształcenia się i zdobywania nowych umiejętności czy wreszcie do produkowania opracowań, w których w przekonywujący sposób dowodzić można swoich racji.

Wypada przypomnieć, że starsze systemy informatyczne nie oferowały rozwiązań, które chroniły prywatność użytkownika. Systemy te bazowały bowiem na pracy centralnego komputera, który odnotowywał każde uderzenie pracownika w klawisz. Wraz z nastaniem ery komputerów PC ochrona plików i zapewnienie zasobom systemu bezpieczeństwa stało się jednym z najtrudniejszych zadań, z jakim przychodzi się zmierzyć każdemu administratorowi systemu informatycznego. Jeśli zignorujemy konieczność ochrony danych, to któregoś dnia zemści się to na nas lub na naszym następcy, ze zdwojoną energią. Przyjdzie nam wtedy zapłacić bardzo wysoką cenę za przeorganizowanie zasobów systemu.

Zapewnienie ochrony prywatnym plikom wiąże się z koniecznością przyjęcia i przestrzegania ściśle określonych reguł postępowania, które rządzą procesami zapisywania, magazynowania i odzyskiwania plików w systemie. Te organizacje, dla których bezpieczeństwo danych jest sprawą kluczową, przestrzegają ściśle tych reguł. Jedynymi częściami systemu, na których pracownik ma prawo zapisywać swoje osobiste pliki, powinna być ta część pamięci dysku, która została mu przydzielona do osobistego użytku lub oddzielna fizycznie stacja pamięci. Dostęp do dedykowanych użytkownikom obszarów powinien być kontrolowany przez system haseł (najlepiej szyfrowanych). Pliki prywatne powinny pozostawać w dyspozycji tylko jednej, konkretnej osoby i tylko ona może mieć prawo do kopiowania ich i udostępniania innym osobom. Miejsce to powinno być też natychmiast zwalniane w przypadku odejścia pracownika z pracy.

Możliwość używania komputerów do celów osobistych wiąże się z poczuciem odpowiedzialności.

Jeśli firma nie ustali reguł rządzących wykorzystywaniem zasobów systemu do celów prywatnych, to pracownicy będą przypuszczać (i można być pewnym, że przyjmą to w końcu za obowiązującą normę), że mają prawo do takiego sposobu eksploatowania systemu (prawnicy użyliby tu terminu prawo domniemane), jaki jest dla nich najwygodniejszy.

Trzeba więc jasno nakreślić obszar, w ramach którego pracownik może się poruszać, zarządzając swoimi osobistymi zasobami. Wiąże się to zawsze z poczuciem odpowiedzialności tej osoby, która nie może nadużywać przyznanych jej uprawnień czy łamać obowiązujące reguły gry. Użytkownik powinien mieć świadomość, że szereg czynności powinien wykonywać wyłącznie na swój rachunek. Chodzi tu o takie rzeczy, jak: ściąganie gier komputerowych, udział w grupach dyskusyjnych obsługiwanych przez pocztę elektroniczną czy używanie komputera do kontrolowania stanu swojego konta bankowego. Znakomita większość kopii tego rodzaju plików trafia najczęściej do rąk przypadkowych osób. Prowadzona przez firmę polityka musi jasno uzmysławiać wszystkim, że odpowiedzialność za ewentualne naruszanie ustalonych reguł spoczywa wyłącznie na indywidualnym użytkowniku, a nie na organizacji.

I tak jak firma powinna uznawać prawo pracownika do ochrony swoich prywatnych zasobów, tak pracownik powinien się dostosować do standardów bezpieczeństwa obowiązujących w danej firmie. Dobrym rozwiązaniem jest informowanie użytkownika za każdym razem, gdy zgłasza się do pracy w systemie, o nałożonych na niego ograniczeniach i warunkach w jakich przyjdzie mu pracować. Kontynuowanie pracy przez klienta można uważać wtedy za akceptację zaproponowanych mu reguł pracy.

A co zrobić, gdy firma nie dopracowała się jeszcze systemu ochrony prywatnych zasobów pracownika i reguł, które gwarantują bezpieczną pracę całego systemu informatycznego? Zanim firma nie zdecyduje się na wprowadzenie w życie systemu, który spełniałby skutecznie zadanie ochrony danych, pozostaje nam zachować ostrożność i wykonywać większość swoich prac na komputerach PC.

Paul A. Strassmann jest konsultantem jednej z firm w Connecticut i autorem książek The Business Value of Computers i The Politics of Information Management