Problém je už v samotném slůvku optimalizovat a imperativu doby „Je třeba optimalizovat, ať už to znamená, co chce“. V různých oborech znamená optimalizace něco jiného (viz. tabulka významů), ale v korporátním prostředí se k tomuto slůvku často sedí synonyma typu ušetřit, propustit, zmenšit, redukovat vyplývající ze snahy zvýšit efektivitu snížením nákladů, prostě získat za méně peněz stejně (optimálně více) muziky.

Snad žádný soudný člověk smířený či dokonce nadšený se životem v konzumní společnosti nemůže nic mít proti zvyšování efektivity. Vždyť právě zvyšování efektivity cestou optimalizace vedlo k relativnímu blahobytu, ve kterém si dnes žijeme. Ovšem na aplikování optimalizace na oblast bezpečnosti lze beze zbytku aplikovat rčení dobrými úmysly je dlážděna cesta do pekel.

Peklo se otevře v okamžiku, když se budete snažit určit, stanovit nebo změřit kolik muziky (bezpečnosti) vám vaše bezpečnostní politika má přinést nebo přinesla. Odhlédneme-li od této drobné lapálie je proces optimalizace bezpečnostní politiky snadný:

  1. Naplánujte/upravte si měřitelné bezpečnostní cíle
  2. Ustavte/upravte bezpečnostní politiku, která vás má k těmto cílům dovést
  3. Nechte bezpečnostní politiku působit
  4. Změřte, do jaké míry se podařilo bezpečnostní cíle naplnit a jaké náklady vás to stálo
  5. Zamyslete se nad poměrem přínosy/náklady a zvětšete jej ať již snížením nákladů či zvýšením přínosů a opakujte cyklus od bodu 1.

 

Jednoduché, není-liž pravda? Dokud si neumíte stanovit smysluplná měřitelná kritéria stavu bezpečnosti (a umíte si to přiznat) vykašlete se na optimalizaci a zaměřte se na to, aby vaše bezpečnostní politika byla funkční ve dvou základních věcech.

  1. Jako prevence proti vzniku bezpečnostních incidentů
  2. Jako včasná a účinná detekce vzniklých bezpečnostních incidentů

Zdá se to samozřejmé?  Ano samozřejmě si to myslely mnohé namyšlené organizace. Případy úniků dat (u nás naposledy T-mobile /ukradena data 1,5 milionu zákazníků/,  ale známé jsou i bezpečnostní incidenty velkých bank /KB - unikla osobních data 45-ti tisíc zájemců o penzijní spoření, ČS – zcizena osobní data 2.5 miliónu klientů sporožira/) však dokazují, že to tak samozřejmé vůbec není.

Jak tedy zařídit, aby bezpečnostní politika byla co platná?  Musíte docílit, aby si ji zaměstnanci vzali za vlastní. Sebelépe naformulovaná bezpečnostní politika není účinná, pokud nezaktivizujete lidský faktor.

 

Jak na to? Dodržujte následující pravidla:

 1. Udržujte bezpečnostní politiku stručnou a srozumitelnou 

Méně je více.  Lepší deset dodržovaných pravidel než 150 nedodržovaných. Při psaní obecné bezpečnostní politiky škrtejte, škrtejte a zase škrtejte. Vyšla vám delší než dvě normované stránky A4? Škrtejte! Výsledek dejte přečíst svému nejjednoduššímu zaměstnanci. Nepochopil, o co jde? Bezpečnostní politiku přepracujte. Bezpečnostní politika není dokument, kterému má rozumět úzká skupinka zasvěcených, ale dokument, kterému mají porozumět všichni zaměstnanci.

2. Udržujte bezpečnostní politiku v povědomí zaměstnanců

Přístup tady to podepiš, že ses seznámil s bezpečnostní politikou a dáme ji do šuplíku, nefunguje. Její principy musí být neustále připomínány, neustále na očích. Co třeba minikvíz při každodenním přihlášení.

3. Bezpečnostní politiku viditelně vynucujte

Pravidla, která nejsou vynucována, nebývají ani dodržována. Proto všude kde to jde, nastavte technické vynucování pravidel. Kde to nejde, nastavte alespoň následnou kontrolu. Výsledky (pozitivní i negativní) kontroly komunikujte do firmy, zaměstnanci musí vědět, že dodržování politiky je sledováno.

4. Cvičení dělá mistra

Mnoho firem má ve své bezpečnostní politice zakotvenu povinnost nahlásit i podezření na bezpečnostní incident svému ISO nebo jiné kompetentní osobě. Když ale dojde na věc, skutek utek. Proč? Zaměstnanci  jednoduše nejsou (naštěstí) na bezpečnostní incident zvyklí a tak jej mnohdy ani neodhalí, a když ano, tak se zase ostýchají něco někam hlásit. Co kdyby se ukázalo, že jde o falešný poplach. Ta ostuda! Jak to zlomit? Trénink dělá mistra a připravenému štěstí přeje. Vyrobte občas falešný incident a proberte se zaměstnanci, jak a proč na něj měli reagovat. Nezapomeňte zdůraznit přesvědčení, že příště to bude lepší. Příště opakujte tak dlouho, až to opravdu bude lepší a poté pořád jen s menší intenzitou.

 

NETRAPTE SE, ŽE VAŠE BEZPEČNOSTNÍ POLITIKA NENÍ OPTIMALIZOVANÁ, STAČÍ, KDYŽ FUNGUJE JAK MÁ.

Použité pojmy a zkratky

Pojem/zkratka

Vysvětlení

Optimalizace

Hledání minima a maxima funkcí (matematika)
Vylepšování výpočetního systému z pohledu různých hledisek (informatika)
Zlepšování pozice stránky na výstupu vyhledávače (SEO)

SEO

Search Engine Optimization - Optimalizace pro vyhledávače

ISO

Information Security Officer

 

Luboš Číž, odborník na kybernetickou bezpečnost ze společnosti DCIT, kde zastává pozici Senior konzultanta