Středně velké společnosti se příliš často zaměřují pouze na technologie, ale přehlížejí jiné kroky nutné pro správu prostředí IT během krize. Pokud si vyhradíte čas na pochopení obchodních procesů, postupů a sledů prací, budete mít lepší pozici pro zajištění potřebného zabezpečení IT v organizaci.
 | Organizace musí vědět, kde jsou data uložena, jak zaměstnanci ukládají informace a jak si je interně a externě vyměňují. |  | | Michael Cobb
provozní ředitel
Cobweb Applications Ltd., Surrey, Velká Británie, Microsoft MVP | |
|
Souhrnně:| • | Proveďte důkladné vyhodnocení firemního majetku, procesů, sledů prací a pracovních funkcí. | | • | Určete priority majetku a přiřaďte řešení a zásady zabezpečení k úrovním rizika. | | • | Požádejte o názor jednotlivé zaměstnance v podniku a vypracujte společnou vizi a přístup. |
Stejně jako se v různých organizacích liší ohrožení zabezpečení, liší se také jejich strategie. Společnost obchodující převážně online či využívající ve značné míře mobilní pracovníky bude mít jiné požadavky na zabezpečení než například maloobchodní řetězec. Firemní kultura může také určovat, jakým způsobem budou řešení zabezpečení implementována. Důkladná počáteční analýza – odpovídající obchodnímu plánu – vám pomůže vytvořit základ pro efektivní strategii zabezpečení, která bude optimální z hlediska nákladů. Vaše potřeby budou samozřejmě závislé na konkrétním způsobu podnikání. Ztráta důležitých e-mailových zpráv může například ohrozit práci právnické firmy a porušit její vztahy se zákazníky . Pro zdravotnickou firmu může zase zveřejnění jediného zdravotnického záznamu znamenat poškození pověsti v tisku a přísné pokuty na základě oblastních či státních předpisů. Je důležité rozpoznat úroveň rizika, které je pro společnost přijatelné – proto je nutné identifikovat nejdůležitější oblasti činnosti vaší firmy. Vytvořte seznam fyzického majetkuPrvním, a pravděpodobně nejjednodušším krokem při analýze zabezpečení, je identifikace majetku IT společnosti, včetně fyzického majetku, jako jsou notebooky a přenosná úložná zařízení. Jakmile víte, co musíte chránit, můžete doporučit příslušná řešení a procesy, včetně konfigurací systémů a sítě, správy oprav a metod upgradu hardwaru a softwaru. Vyhodnoťte své obchodní procesyDále analyzujte obchodní procesy z hlediska zabezpečení. „Organizace musí vědět, kde jsou data uložena a jak jsou interně i externě vyměňována,“ říká Michael Cobb, provozní ředitel konzultační firmy Cobweb Applications Ltd. se sídlem v Surrey ve Velké Británii, která je držitelem označení Microsoft Most Valuable Professional (MVP). Zaměstnanci mohou například k výměně souborů v rámci společnosti i mimo ni používat méně zabezpečené aplikace, například rychlé zasílání zpráv, nebo mohou ukládat důležitá data do notebooků bez použití šifrování. Takové činnosti vyžadují nové zásady vypracované oddělením IT, aby zaměstnanci neúmyslně neohrožovali citlivá podniková data. Objektivní vyhodnocení základních procesů – pomocí informací od týmů s více funkcemi – pomáhá určovat slabá a potenciálně problémová místa. Například kontrolujete proces ukončení pracovního poměru zaměstnance a zjistíte, že neexistuje mechanismus, jak zajistit, aby obchodní nebo personální manažer odeslal formuláře pro odvolání oprávnění pro přístup k systému a e-mailu. Tento postup můžete určit jako povinný – a vytvořit příslušný sled prací – a eliminovat tak dny, týdny či dokonce měsíce neoprávněného přístupu. Odstupňujte požadavky na zabezpečení podle důležitostiPo dokončení analýzy obchodních procesů a provedení nezbytných změn je čas na přiřazení priorit k požadavkům na zabezpečení. Základní systém číselného hodnocení od 1 do 3 (nízká, střední, vysoká úroveň) vám poskytne výchozí bod pro stanovení, které systémy a položky majetku jsou nejdůležitější. Vyhodnoťte dopad událostí vyplývajících z porušení zabezpečení (například síťový prostoj nebo finanční náklady) na této tříbodové škále. Výsledná tabulka by vám měla pomoci určit, které požadavky mají největší prioritu. Více způsobů vytvoření účinného plánu| • | Zaměřte se na události, ne na časovou osu. Ačkoli je často rozumné vytvořit si jedno-, dvou- či tříletý plán pro zabezpečení IT, je třeba si uvědomit, že požadavky na zabezpečení se stále mění. „Stále se objevují nové technologie a nová ohrožení,“ říká Cobb. Proto se zaměřte na zásady a postupy, které maximalizují flexibilitu a spolehlivost, a pravidelně plán kontrolujte. | | • | Definujte zodpovědnosti za zabezpečení v celé organizaci. Zahrňte je do popisů pracovních míst, aby byla správa zabezpečení reálná. Například prodejní manažer musí s sebou nosit notebook se záznamy zákazníků a dalšími citlivými daty. Tento zaměstnanec by měl být zodpovědný za ochranu dat – pomocí šifrování, ověřování a dalších metod. | | • | Vytvořte řadu kroků, které budou provedeny v případě problému se zabezpečením. Tento postup může zabránit panice mezi zaměstnanci. Po každém problému svolejte schůzku s manažery a nejdůležitějšími zaměstnanci zodpovědnými za zabezpečení a prodiskutujte, která opatření fungovala a která nikoli. | | • | Přiřaďte řešení k rizikům. Nejprve se zaměřte na oblasti s nejvyšším rizikem pro firmu. Například u finanční instituce může jít o nástroje, které vyhledávají v odchozích datech určité číselné řetězce, jako jsou čísla účtů a rodná čísla. U telefonického centra mohou aplikace blokující příchozí přílohy e-mailu zabránit škodlivému softwaru v přerušení důležitých operací. | | • | Vytvořte přístup zabezpečení, který bude flexibilní, ale bude jej možné prosadit. To znamená, že žádné zásady a technologie by neměly narušit produktivitu. Může být například nutné, aby někteří zaměstnanci používali přenosná paměťová zařízení flash, což zahrnuje riziko zabezpečení. Oddělení IT musí zajistit, aby tito zaměstnanci měli přístup pouze k datům potřebným pro jejich pracovní roli definovanou manažery. Dosažení rovnováhy mezi praktičností a zabezpečením je nesnadný úkol, zejména pokud se organizace rozvíjí a její infrastruktura IT je stále složitější. Technologie, například služba Active Directory systému Microsoft Windows Server 2003 , mohou pomoci při správě rolí a zodpovědností. | | • | Nakonec je třeba pravidelně monitorovat systémy a soubory protokolů. Tak můžete lépe identifikovat potenciální problémy a rychle a efektivně reagovat na změny. |
Ačkoli neexistuje jednoduchý způsob, jak vyřešit problémy se zabezpečením v dnešním obchodním prostřední,představují důkladný proces hodnocení a plán zabezpečení odpovídající potřebám podniku nejlepší způsob, jak snížit riziko. „Správné postupy zabezpečení nejsou nikdy náhodné,“ uzavírá Cobb. „Jsou výsledkem pečlivé a důkladné analýzy a zahrnují všechny části organizace.“ Samuel Greengard je spisovatel působící ve West Linn ve státě Oregon, který se specializuje na obchod a technologie. Pravidelně přispívá na web Centrum středně velkých firem společnosti Microsoft.
| |
