A jak Pan sobie radzi z egzekwowaniem przestrzegania przyjętej polityki w zakresie IT?

W naszej firmie staramy się unikać biurokracji. Nie zajmujemy się zarządzaniem desktopami. Decyzje w tej sprawie podjęliśmy już bardzo dawno. Nie chcemy na przykład zmuszać ludzi do używania jakiejś określonej wersji pakietu Office. Jesteśmy zdania, że takie zabiegi nie zapewnią rozwoju naszej firmy, nie pobudzą naszych pracowników do wybiegania myślą poza to, co aktualnie mają przed oczami. Musimy zapewniać wsparcie dla desktopów, ale nimi nie zarządzamy. Narzucamy jedynie politykę w zakresie bezpieczeństwa, określającą co pracownikom wolno i co każemy im zrobić, jeśli dobrowolnie nie zastosują się do naszych zaleceń. Poza tym pracownicy mogą ze swymi desktopami wyrabiać, co tylko dusza zapragnie.

Jeśli ktoś ściągnie sobie z serwera jakieś oprogramowanie, które zawiesi mu desktopa, to my ten jego komputer musimy wyleczyć. Czy taka awaria wpływa na wydajność pracownika? Jasne. Pracownika coś takiego kosztuje i odbija się na jego wydajności. Z drugiej jednak strony, człowiek ten może sobie ściągnąć coś, czego nigdy przedtem nie widział, co go podekscytuje i zainspiruje do stworzenia lepszego produktu. Za coś takiego warto płacić cenę sporadycznych awarii desktopa.

Zobacz również:

• Wiemy kto może zastąpić Tima Cooka jako CEO Apple
• GenAI jednym z priorytetów inwestycyjnych w firmach
• Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"

Czy niedawna afera z wirusem Slammer spowodowała zmiany w waszej polityce?

Bezpieczeństwo w sieci zależy od trzech czynników: ludzi, procesów i technologii. Gdy pojawił się Slammer, mieliśmy wdrożoną procedurę narzucania patchów w centrum przetwarzania danych i zawiadamiania użytkowników końcowych o nowych patchach, a także technologię umożliwiającą ich instalowanie. Zawiedli jedynie nasi ludzie. Slammer zainfekował nasze pracownie działów rozwoju produktów, które znajdują się poza środowiskiem sieciowym, którym zarządzamy. Ufaliśmy, że szefowie tych laboratoriów będą na bieżąco instalowali wszystkie nowe patche, ale ci nie zrobili tego na czas. Teraz zastanawiamy się, czy wprowadzać przymus instalowania patchów czy też może w jeszcze większym stopniu się rozczłonkować, jeszcze bardziej izolując nasze laboratoria od sieci. Decyzje w tej kwestii zapadną w najbliższych tygodniach.

Skoro już jesteśmy przy tym temacie, proszę powiedzieć jak wyglądają Pańskie stosunki z osobami zajmującymi się bezpieczeństwem w Microsofcie.

Lubię postrzegać siebie jako osobę najbardziej troszczącą się o bezpieczeństwo w firmie. Wszystko, co stwarza zagrożenie dla naszych danych lub danych naszych klientów dzieje się na mojej działce, tak więc zajmuję się tym wszystkim w bardzo bezpośredni sposób.

Zabezpieczenie danych wymaga wspaniałej technologii, ale też wspaniałych ludzi i wspaniałych procesów. Mamy w firmie zespół zajmujący się technologią, natomiast ja skupiam swoją uwagę na ludziach i procesach. Najsłabszym ogniwem w tym wszystkim są ludzie.

Użytkownicy komputerów mogą narazić firmę na poważne niebezpieczeństwa na niezliczoną ilość sposobów. Weźmy chociażby prosty przykład zarządzania hasłami. Pracownicy zbyt często stwarzają zagrożenia dla swoich sieci 3 zupełnie nieświadomie zresztą 3 umieszczając swoje hasła na ekranach swoich monitorów, używając stale tego samego hasła, albo używając identycznego hasła w kilka osób. Kolejna zmorą jest opieszałość w instalowaniu patchów. Zawsze najtrudniej jest zarządzać ludźmi.