Jak zvýšit bezpečnost efektivní spoluprací napříč firmou?

Co dalšího můžete udělat po tom, co jste si vyjasnili vlastníky dat, zodpovědné osoby a potřebu dostupnosti a obnovy dat? Pokračujte tím, že si definujete řízení přístupů potřebné pro dané pozice.

Náborový proces nekončí podepsáním smlouvy

Pokud jste s IT našli společnou řeč a podařilo se vám dohodnout se na pravidlech fungování, určitě bude snadné dohodnout si i další postupy. Např. pro řízení přístupů (přidělování, změny nebo odebírání) ve vaší organizaci. Náborový proces totiž nekončí podepsáním smlouvy se zaměstnancem, ale pokračuje ještě několik dní po jeho nástupu do práce.

Informujte vaše IT oddělení včas

Je překvapivé, jak často si IT stěžuje, že nemá informace o nastupujících zaměstnancích s dostatečným předstihem. Sem tam se stane, že informaci o nastupujícím zaměstnanci na IT dostanou až s nástupem nového zaměstnance.

Jeho nadřízení nebo kolegové se brzy začnou zajímat, kde má počítač, mobil a další potřebné věci. Také se stává, že IT oddělení počítač a mobil pro nového zaměstnance nemá a musí ho pořídit. To může díky schvalovacímu kolečku trvat několik dní až týdnů.

Po celou tu dobu nový člen týmu sedí s rukama v klíně. V lepším případě studuje BOZP a další interní směrnice. A samozřejmě tam nesedí zdarma. Denní náklad na jeho mzdu vás mohou stát třeba 2 000 Kč. Jaký obrázek si nováček udělá o firmě, kam právě nastoupil a jak se bude stavět k produktivitě práce po této zkušenosti si domyslete sami.

Vzneste své požadavky s dostatečným předstihem

Přitom můžete těmto nepříjemnostem docela elegantně předejít. Opět je vaším cílem jen včas vznést požadavky na IT oddělení. Nového zaměstnance totiž někdo potřebuje a někdo ho vybral. Tito lidé by měli onu skutečnost předat dál.

Problém nastává, pokud nemáte ve vaší organizaci fungující systém rolí (včetně definovaných přístupových práv). Pak je potřeba začít od píky.

V rámci dělání si pořádku v datech jste zjistili, komu která data (informační systém nebo jeho část) patří. Respektive kdo je potřebuje ke své práci nejvíce (a definovali jste si potřebu dostupnosti). Tím jste určili tzv. vlastníky informačních systémů.

Lze předpokládat, že vlastníci budou mít největší zájem na tom, aby přístup do systému měli jen lidé, kteří ho potřebují a to v rozsahu nezbytném pro jejich práci.

Muž s notebookem posílá firemní zprávy e-mailem

V rámci řízení přístupů definujte jejich rozsah pro každou pozici

Logicky pak dojdeme k závěru, že vedoucí by měli znát role svých nových podřízených a definovat pro ně požadovaný rozsah přístupu pro jednotlivé pozice. Tento požadovaný rozsah potvrdí nebo upraví vlastníci jednotlivých informačních systémů (zde je potřeba dohoda a komunikace na obou stranách).

Přístup do systému dávejte jen těm lidem, kteří ho doopravdy potřebují. A to v rozsahu nezbytném pro jejich práci. Personální oddělení tak získá seznam definovaných přístupů u každé pozice (role). IT oddělení pak bude vědět, jaká práva má novým uživatelům nastavit.

Jak zprocesovat nástup nového zaměstnance?

  • Po přijetí nového pracovníka (podepsání pracovní smlouvy) personální oddělení nahlásí tuto informaci na IT oddělení, a to alespoň 7 dní předem.
  • Spolu s tím předá i požadavky na jeho vybavení a přístupy. Nebude-li si IT něčím jisté, dojde se ujistit na HR oddělení.

Díky této drobné komunikaci budou mít vaši ajťáci hned dostatek času na to vše připravit a zařídit. Nemluvě o tom, že vaše obliba u IT oddělení rázem stoupne. 😊

Spolupráce mezi odděleními povede k vyšší efektivitě vaší firmy

Kromě spolupráce a komunikace zvýšíte efektivitu vaší firmy také tím, že určíte osoby odpovědné za:

  1. definování požadovaných přístupů a vybavení pracovní pozice,
  2. definování vlastníků informačních systémů,
  3. nahlášení nového zaměstnance na IT oddělení,
  4. určit čas, ve kterém má IT připravit vše požadované.

To stejné platí i pro ostatní aktiva

Samozřejmě můžete celý výše uvedený postup použít i pro jiná aktiva, než jsou jen informační systémy. Podobně budete řešit také přístup do budov a kanceláří. Teď nám ale jde o zlepšení vztahu mezi IT a managementem.

Jak je to se změnou přístupových práv zaměstnanců?

Potřebujete někomu rozšířit nebo naopak omezit přístupová práva do jednotlivých systémů?

Postup bude probíhat podobně jako u zřízení přístupů. Nejdříve někdo zažádá o změnu. Pokud je to zaměstnanec, musí jeho žádost nejprve schválit nadřízený. Vlastník informačního systému ji schválí nebo neschválí a IT poté vše nastaví.

Žena v kanceláři sedící u stolu s notebookem zapisuje do bloku

Změna přístupových práv při přechodu na jinou pozici

Přístupy je potřeba přenastavit i když pracovník přechází na jinou pozici. Tyto úpravy provedete ke dni přestupu. Nové přístupy definujte na základě nové role. Staré a nepotřebné přístupy zakažte.

Kolik pracovních rolí máte?

V zájmu firmy i v zájmu jednotlivých vedoucích a personálního oddělení by mělo být, aby se počet pracovních pozic v organizaci nerovnal počtu zaměstnanců. (Protože na stejné pozici může pracovat několik zaměstnanců zároveň – např. účetní.) Jinak by to znamenalo absolutní chaos a bylo by složitější udržet celou organizaci v chodu.

Jak na řízení přístupů, když zaměstnanec odchází?

Odchod zaměstnance je tím zajímavější, čím méně informačních systémů má IT oddělení pod kontrolou. Pravda je taková, že IT nemívá vždy všechno pod kontrolou. Důvod je prostý. Jsou oblasti, kde IT „nepotřebují“.

Kupříkladu marketing nepotřebuje IT na to, aby spravovalo cloudový nástroj na posílání marketingových e-mailů nebo přístup k firemním účtům na sociálních sítích. Markeťáci si je zvládají obsluhovat sami. Proto IT často nemá ani tušení o tom, že se takové systémy ve firmě využívají.

Vymazat nebo zablokovat přístupy zaměstnance po jeho odchodu je pro IT oddělení tím snazší, čím více přístupů/identit spravuje pomocí centralizovaného nástroje. Rozhodně je to rychlejší, protože se není potřeba přihlašovat do několika různých prostředí. Vše vidí přehledně na jednom místě. Nemusí si odškrtávat seznam a nestane se tak, že některý systém vynechají.

Odchod dohodou je procesně zvládnutelný

Při podpisu dohody nebo přijetí výpovědi rozhodne nadřízený o datu ukončení přístupových práv zaměstnance. Ten se obvykle shoduje s datem posledního příchodu do práce.

Zprávu o odchodu zaměstnance a odebrání přístupových práv by pak mělo personální oddělení dát vědět IT oddělení, případně dalším osobám, které udělují přístupová práva k jednotlivým systémům.

Pro lepší přehlednost a rychlejší vyřízení formalit při nástupu nováčků a dalších změn v pracovních pozicích, si sepište výchozí seznam pro řízení přístupů:

  • seznam informačních systémů,
  • vlastníky informačních systémů,
  • technické správce těchto systémů.

Co náhlé ukončení pracovního poměru?

Chcete dát zaměstnanci výpověď a v ten samý okamžik jej odříznout od všech přístupů? Pak je nutné na tento fakt upozornit lidi, kteří řídí přístupy a definovat datum a čas takového náhlého odříznutí přístupů.

Je zřejmé, že taková informace by se neměla po firmě šířit.

Nejjednodušší způsob, jak toho docílíte je informovat nejmenší možný počet lidí. Tím jsme se vrátili k otázce „kolik systémů spravuje IT“?

Kolik systémů spravuje IT?

Pokud všechny, pak je to snadné – o výpovědi ví nadřízený budoucího odejitého zaměstnance, personální oddělení a vedoucí IT, který ve správný okamžik zajistí provedení odebrání přístupových práv.

Složky a systémy z počítače připojené na celosvětovou síť internet

Jak to vypadá v praxi?

Máte např. 10 různých správců systému a ještě k tomu nevíte, kam všude má budoucí propuštěný přístup. Pak vám nezbývá nic jiného, než všechny postupně oslovit a zjistit to vlastními silami.
Bonusová otázka pro vás: Dá se v tom případě ještě hovořit o tajemství?

Procesy.

(Ano, to slovo, co se v mnoha organizacích nevyslovuje; třeba jako Voldemortovo jméno v kouzelnickém světě Harryho Pottera.)

Procesy spojené s řízením přístupů není složité popsat a nejsou složité ani na zavedení. Naopak. Pomáhají v organizaci jasně definovat povinnosti a odpovědnosti (včetně časových požadavků na plnění).

Při jejich zavádění se vám ukážou skryté informační systémy, které v organizaci někdo používá. Zároveň se zaváděním začněte řešit také otázku ochrany systémů.

Například jak často je aktualizovaná a jak moc je bezpečná marketingová e-mailová databáze a kdo bude odpovědný za to, když z ní uniknou data?

To, co se zdá být na první pohled jasné (že o novém zaměstnanci bude vědět i ten, kdo má obstarat nový počítač), se v mnoha firmách neděje. Přitom je to otázkou několika jednoduchých kroků. Věnujte čas tomu, že si je detailně popíšete. Zároveň po konkrétních osobách vyžadujte dodržování sepsaného. Opět se vám to v budoucnu vrátí.

Nevíte si rady a chcete pomoci? Obraťte se na nás. Naši specialisté na IT bezpečnost vám rádi pomohou a nasměrují vás.

Táta a nadšenec. Pokud se nevěnuje informační bezpečnosti a IT bezpečnosti v práci, nejspíš ho najdete doma s rodinou. K IT bezpečnosti se dostal náhodou v roce 2010, od té doby se systematicky vzdělává a hledá nové podněty pro zlepšení zabezpečení zákazníků. Rád popularizuje kybernetickou bezpečnost na konferencích. Ve zbytcích volného času pomýšlí na Ironmana. Konzultant informační bezpečnosti MENZO, a.s.
Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů