Informatyczny gabinet cieni
-
- Dorota Konowrocka,
- 20.03.2007
Temat artykułu był właśnie omawiany przez menedżerów działu IT. Pierwsza kwestia to bezpieczeństwo, mimo wszystko te różne dostępne w Internecie narzędzia nie zawsze są certyfikowane i mogą tworzyć luki w systemie bezpieczeństwa. Nawet nie chodzi o SOX i analogiczne regulacje, chodzi po prostu o poufność danych.
IT reaguje zazwyczaj gwałtownie na nieautoryzowane działania użytkowników, bo w końcu jeśli pakuje się ciężkie pieniądze w systemy bezpieczeństwa i dosłownie tresuje ludzi, żeby przestrzegali pewnych zasad bezpieczeństwa, a nagle dopuszcza się taką lukę, takiego trojana poza wszelką kontrolą, to osoby odpowiedzialne za bezpieczeństwo mają prawo odczuwać poważny dyskomfort. Trzeba jednak zauważyć, że kwestia bezpieczeństwa sieciowego zaczyna w pewnym momencie trącić paranoją - to jakiś wyścig zbrojeń! Nie można tego odpuścić, ale koszty instalacji i obsługi wszystkich tego rodzaju zabezpieczeń są horrendalne. Jeśli dołoży się do tego niepewność czy nieautoryzowane oprogramowanie, nie dostarczy nam dodatkowych wrażeń, to zaczyna się rozumieć, dlaczego IT działa jako "hamulcowy".
Na IT nie można nałożyć niemożliwych do zrealizowania wymogów co do poufności informacji. Misja ochrony informacji i tak skazana jest na porażkę, jeśli temat nie zostanie załatwiony na poziomie ludzi, na poziomie jakiejś elementarnej etyki i lojalności. To, że "informacji o znaczeniu strategicznym" nie można zgodnie z regulaminem wysłać pocztą w postaci załącznika, nie oznacza, że ktoś nie zrzuci ich na pen-drive'a. Wszelkie zabiegi techniczne są po to, by można było powiedzieć: "Wywiązaliśmy się z naszych obowiązków" - reszta jest w ludzkiej głowie.
W naszej firmie trwają w tej chwili dyskusje, czy pozwolić na korzystanie z komunikatorów. Powszechne odczucia w IT są takie, że to za wielki wyłom w systemie bezpieczeństwa, ale z drugiej strony biznes zaczyna wykorzystywać komunikatory w zastosowaniach profesjonalnych. Notabene Gadu-Gadu można teraz używać za pomocą przeglądarki, więc jeśli ktoś chce, to i tak korzysta. Teoretycznie użytkownicy nie mają pełnej swobody instalowania tego co chcą, ale sprawowanie nad tym kontroli nie jest proste, zawsze ktoś próbuje "zmylić pogonie". Teoretycznie przepisy regulujące komunikowanie się przez sieć są dość restrykcyjne, bo w końcu chodzi tu o informacje, które są dobrem korporacyjnym i zawsze istnieje niepewność, że bardziej liberalne podejście sprowokuje niepożądane zachowania. Tak naprawdę jednak negatywne reakcje działu IT na większość rozproszonych inicjatyw użytkowników wynikają z tego, że ten dział naprawdę ma co robić. I nawet jakbyśmy chcieli pochylić się z troską nad każdą niezałatwioną potrzebą i każdym nowym narzędziem, to po prostu brak nam mocy przerobowych.
Dział IT ma tendencję do ujednolicania wszystkiego i wprowadzania rozwiązań standardowych, ale klientela IT strasznie się atomizuje i indywidualizuje, nad czym z kolei IT nie jest już w stanie zapanować - i wchodzą rozwiązania konkurencyjne, prostsze. Koszt personalizacji powoduje, że narzędzia, które mają obsługiwać wielu ludzi, po prostu się nie przyjmują - każdy sobie dobiera coś samodzielnie.
Na jednej z ostatnich prezentacji Gartnera padło stwierdzenie, że w najbliższym czasie cała masa narzędzi - właśnie służących do komunikacji - zostanie wyniesiona poza IT, a informatycy nawet się nie zorientują. Jakie powinno być wyjście? Idealnie byłoby posiadać takie laboratorium badawcze, które przesiewałoby sieć, rozpatrywało wnioski użytkowników i namaszczało wybrane rozwiązania po trzeźwej ocenie sytuacji. Przecież może się okazać, że wiele z nich można jakoś okiełznać. Tylko wtedy padną zarzuty, że zajmuję się głupotami, a nie normalną pracą.
Prawda jest taka, że ani wynalazki przynoszone do firmy przez użytkowników, ani systemy zbudowane firmowym wysiłkiem przez lata nie znikną ot tak sobie. Jeśli IT przestanie dostrzegać, jak ludzie naprawdę pracują, straci cały posiadany autorytet. Problem istnieje od co najmniej kilkunastu lat pod postacią osławionego "oporu użytkowników" z trudem akceptujących wdrażane właśnie nowe systemy ERP. Po obdarciu problemu z eleganckiej nomenklatury okazuje się, że chodzi po prostu o to, że pani Kowalskiej z księgowości, pana Nowaka z magazynu i pana Babackiego ze sprzedaży kompletnie nikt nie zapytał o to, czy nowy program komputerowy ułatwi im wykonywanie ich pracy, czy fakturę i wuzetkę da się wystawić szybciej, a tych kartonów Marlboro sprzedać więcej. Do tej pory kończyło się na biernym oporze, wykorzystywaniu starych rozwiązań, sztukowaniu przez samo IT pewnych braków, który to proceder zażarcie był zresztą zwalczany przez producentów gotowych aplikacji.
W gruncie rzeczy można przeprowadzić pewne linie demarkacyjne w niekończącej się potyczce-współpracy między oficjalnym i nieoficjalnym działem IT. Przed rokiem mniej więcej 1990 dział IT był zazwyczaj sprzymierzeńcem użytkowników. Aplikacje szyto na miarę, a dział IT był m.in. działem programistyczno-rozwojowym. Wnioski użytkowników były dość często uwzględniane. W latach 90. sprzedawane masowo programy zaczęły wypierać unikalne rozwiązania. Oprogramowanie wymieniały banki, instytucje administracji publicznej, firmy handlowe, firmy produkcyjne, firmy małe i duże, wreszcie firmy i instytucje bardzo specyficzne. Użytkownicy zaczęli stawiać opór, nie dostrzegając często korzyści z nowego rozwiązania - czasem słusznie.
Działy IT jeszcze sztukowały dziury, jeszcze dopisywały dodatki, wprowadzały modyfikacje, próbując dopasować program do użytkowników, a nie użytkowników do programu. Po roku 2000 zaczęto mówić więcej o konsolidacji, usprawnieniu zarządzania, standaryzacji, outsourcingu i działy IT zaczęły być raczej czymś w rodzaju firmowej policji zwalczającej nielegalne oprogramowanie, którego wykorzystywanie zaczęto uznawać za sabotaż i zbrodnię przeciwko wydajności, standardom, bezpieczeństwu, korzyściom skali, optymalizacji serwisu itd. Winą za nieudane wdrożenia systemów ERP obarczono modyfikacje dokonywane czy wymuszane przez działy IT, co sprzyjało jeszcze większej unifikacji rozdętych ponad miarę rozwiązań, które użytkownicy wykorzystywali w kilkunastu procentach. W miarę jak dział IT stawał się coraz bardziej działem zakupu rozwiązań i zarządzania kontraktami outsourcingowymi, użytkownicy czuli się coraz bardziej opuszczeni. Jednocześnie Internet oferował coraz łatwiejsze rozwiązania ich problemów, a liczba tych, którzy w technologiach poruszali się jak ryby w wodzie, szybko rosła. Tym samym więc warunki do powstania silnego, wpływowego gabinetu cieni stawały się coraz lepsze.
Jak rozwiązać ten problem?
W takich sprawach sympatia jest zawsze po stronie "uciśnionych", w tym przypadku gabinetu cieni, który powstał w odpowiedzi na "niezaspokojone potrzeby użytkowników". Nikt nie lubi żandarmerii. Tylko że ta żandarmeria ma mnóstwo argumentów na rzecz utrzymania status quo i nie są to argumenty wydumane, bezpodstawne i niewarte uwagi. Kto zapłaci za wsparcie tych aplikacji? Co z wirusami? Co z poufnością danych i zgodnością z ustawami takimi jak SOX?
Część potrzeb użytkowników jest nieistotna z punktu widzenia biznesu - ale część jest. Problem jest analogiczny do kwestii wydatków na reklamę: wiemy, że połowa to pieniądze wyrzucone w błoto, ale która połowa? Które potrzeby użytkowników są kompletnie nieuzasadnione, niemerytoryczne, niezwiązane z pracą, a które coś wnoszą i warto byłoby z uwagą się nad nimi pochylić? Jeśli użytkownicy robią coś w nieakceptowany przez IT sposób, a potrzeba warta jest uwagi, to może nie należy im tego zabraniać, tylko znaleźć sposób, który będzie bezpieczny i równie wygodny dla użytkowników co sposób wybrany przez nich?
W naszej firmie wszystkie komunikatory zewnętrzne i podobne narzędzia są całkowicie zabronione. Wynika to z faktu, że przedmiotem naszego biznesu - zajmujemy się replikacją płyt DVD - jest własność intelektualna. Ponieważ pracujemy dla największych światowych firm, bezpieczeństwo musi być pełne.
Kontrolujemy korzystanie z Internetu, wymagając od użytkowników wnioskujących o pełny dostęp autoryzacji ze strony ich menedżerów. Podobnie postępujemy w przypadku arkuszy kalkulacyjnych i innych programów, które ludzie przynoszą ze sobą, często jako przyzwyczajenie z wcześniejszych miejsc pracy. Regularnie robimy skan całej sieci i porównujemy zawartość desktopów z poprzednim przeglądem. Eliminujemy to, co pojawiło się bez zezwolenia. Trzeba przyznać, że użytkownicy instalują programy mimo wszystko, choć grozi za to rozstanie z firmą.
Oczywiście trzeba wyważyć potrzeby użytkowników i to, co możemy im zaoferować jako IT. Generalnie staramy się zminimalizować twórczość użytkowników - myślę głównie o raportach i makrach. Patrząc od strony biznesu, makra pozwalają szybko załatwić jakąś potrzebę. Patrząc zaś od strony IT, priorytetem jest stabilność i bezpieczeństwo. Wszystkie te małe rzeczy, małe potrzeby użytkowników zbieramy do jednego worka wymagań i staramy się co jakiś czas załatwić je jakimś większym projektem. Nie widzę bowiem sensu uruchamiać dziesiątek małych projektów, których opłacalność ciężko jest uzasadnić.
Ewidentnie większa liczba szkoleń rozwiązałaby część problemów, co współcześnie jest bolączką większości działów IT.
