english version Kontaktujte nás

Archiv novinekNOVINKY

Pojďte s námi měnit svět náboru!

Pojďte s námi měnit svět náboru!

Chceš pracovat na perspektivních pracovních pozicích? Rád/ráda hledáš nové přístupy s využitím sociálních sítí jako je Linkedin, Facebook nebo Twitter? Baví Tě nové technologie a mluvíš dobře anglicky? Pokud ano, toto je nabídka pro Tebe.

Více čtěte zde >>
Představení Michaely Ečerové

Představení Michaely Ečerové

Pokračujeme v představování klíčových členů našeho týmu. Michaela je naše odbornice na "lovení" analytiků do risku, crm, financí nebo collection. Co o sobě prozradila?
Více čtěte zde >>
Personální bezpečnost - Zaměstnanci jako bezpečnostní riziko

Personální bezpečnost - Zaměstnanci jako bezpečnostní riziko

Přinášíme vám odborný článek Ivany Spoustové, externí spolupracovnice Personal Connect.
Více čtěte zde >>
Rozhovor s Alexandrou Lemerovou v novém vydání Výjimečných žen

Rozhovor s Alexandrou Lemerovou v novém vydání Výjimečných žen

Přinášíme Vám nový rozhovor s Alexandrou Lemerovou z časopisu Výjimečné ženy. Chcete-li se o ní i o společnosti dozvědět více, podívejte se na něj!
Více čtěte zde >>

Novinky

Personální bezpečnost - Zaměstnanci jako bezpečnostní rizikoZpět

Personální bezpečnost - Zaměstnanci jako bezpečnostní riziko

Přinášíme vám odborný článek Ivany Spoustové, externí spolupracovnice Personal Connect.

Jak je možné snížit riziko úniku informací způsobené nedbalostí zaměstnanců? Kdy se zvyšuje riziko úmyslného poškození společnosti? Jak je tomu možné čelit?

 
Skutečnost, že jednání vlastních zaměstnanců představuje pro bezpečnost informací vyšší riziko než technologický útok zvenčí, je často připomínána. I na stránkách Data Security Management (viz [2]). Potvrzují to také studie. Globální výzkum společnosti Kaspersky (viz [2]) např. ukázal, že více než 80 % dotázaných firem zaznamenalo v roce 2012 únik informací zaviněný zaměstnanci. Čtenář může jen spekulovat, kolik dalších úniků zůstalo nezjištěno nebo nebylo reportováno. Studie dále konstatuje, že rozložení investic tomu absolutně neodpovídá. Do výzkumu nebyly zahrnuty české firmy, nicméně není důvod se domnívat, že poměry jsou zde odlišné. 
 
Cílem následujícího textu je shrnout základní rizikové situace a netechnologická opatření proti kompromitaci dat způsobené úmyslně i neúmyslně. Taková opatření, která by dle našeho soudu a zkušenosti neměla chybět v bezpečnostní koncepci větší organizace. 
 
Nechtěné zneužívání/poškozování společností
I když jsou provedena potřebná technologická opatření, zůstává možnost úniku citlivých informací způsobených nedbalostí, nepozorností nebo nevědomostí zaměstnanců. 
 
Tomu je možné čelit následujícími opatřeními:
  • řádné proškolení zaměstnanců
  • směrnice
  • etické kodexy
  • závazky mlčenlivosti
 
Ad a) V mnoha organizacích se můžeme setkat s tendencí přistupovat ke školení informační bezpečnosti zcela formálně. Dokonce to může mít až tu podobu, že se podepisují výkazy o účasti na školení, kterých se nový zaměstnanec ve skutečnosti nezúčastnil. O čím výše postaveného manažera se jedná (a čím je tudíž vyšší pravděpodobnost, že se bude jednat o osobu s přístupem k velmi citlivým informacím), tím vyšší je paradoxně riziko, že se školení vyhne. Je proto důležité, aby manažer odpovědný za bezpečnost informací dokázal prosadit účast na tomto typu školení jako striktní pravidlo. 
 
Pokud už bezpečnostní školení probíhá, je důležité nepodceňovat dva aspekty:
 
Prvním je seznamování i se zdánlivými samozřejmostmi. Školitel může např. pokládat za zcela jasné, že dokumenty obsahující klasifikované informace se nevyhazují do koše, nýbrž se vkládají do skartovačky. Ve skutečnosti ale takové návyky chybí i řadě zkušených manažerů. Je proto velmi užitečné, pokud si tvůrci školení namalují celý proces životního cyklu práce s různými dokumenty a informacemi a zkontrolují si, že školení obsahovalo všechny důležité body. 
 
Druhým je praktičnost. Školitel by se měl přesvědčit, že každý účastník opravdu umí správně ovládat všechna potřebná zařízení, ať už se jedná o skenery, skartovačky, čtečky čipových karet apod. Měl by se přesvědčit, že uživatel dokáže rychle najít potřebné kontakty (např. telefonní linku, kam ohlásit krádež smartphonu). Je totiž zapotřebí počítat s tím, že z hlediska zaměstnance nemusí mít informační bezpečnost vysokou prioritu a že pozornost věnovaná obsahu školení tomu bude odpovídat. Samozřejmostí by měl být výstupní test. 
 
V poslední době se poměrně často prosazují online školení. Jakkoli nezpochybňujeme jejich výhody, je třeba vnímat, že představují minimálně kompromis, protože není možné zajistit, že uživatel věnoval tématu dostatečnou pozornost, ani že test vyplňoval osobně. 
 
Ad b) Význam směrnic není nutné zdůrazňovat. Je však důležité upozornit na obvyklé nešvary. Prvním z nich je délka. Je zřejmé, že směrnici o pěti až deseti stranách nebude téměř nikdo číst. Dalším je přílišná nahuštěnost informací. Pro autory směrnic bývá totiž velmi lákavé dosáhnout snížení počtu znaků zhuštěným stylem, což má ovšem dopad na srozumitelnost. 
 
Dalším obvyklým nešvarem je používání odborných výrazů. I výrazy, které IT expert může pokládat za běžné a neodborné, mohou být ve skutečnosti pro podstatnou část uživatelů nesrozumitelné. Je proto užitečné vycházet ze zásady „schopnost příjemce pochopit odborný text je nižší, než předpokládáme, a to i když bereme v úvahu tuto poučku“. Nezapomínejme, že uživatel pravděpodobně nebude ochoten studovat odborný text, ani kdyby měl schopnosti mu nakonec porozumět. Chceme-li, aby se se směrnicí opravdu seznámil, musí být pro něj čtení snadné a v optimálním případě i zábavné. Proto doporučujeme tam, kde je to možné, zapojit do vytváření uživatelsky přívětivých směrnic marketingové oddělení. S jeho pomocí je možné využít příběhy, komiksy, výrazné a přehledné grafické prvky, video apod. Záleží jen na velikosti organizace, rozpočtu a kreativitě zúčastněných (viz. "Poznámka 1" dole). 
 
Povinnou součástí přípravy bezpečnostních směrnic by mělo být testování spočívající v tom, že uživatelé z různých skupin směrnici přečtou a poté jsou otestováni ze znalosti jejího obsahu. 
 
Ad c) a d) Rovněž etické kodexy mohou zaměstnance formovat správným směrem. Dále je to oblast pracovně právních dokumentů, které zavazují konkrétní zaměstnance k mlčenlivosti, a to jak v průběhu pracovního poměru, tak i po něm.
 
Málo společností stále využívá tzv. konkurenční doložku, kterou zavazuje zaměstnance při odchodu k tomu, že nenastoupí ke konkurenci. Tento závazek však znamená, že společnost bude po dobu nekonkurování zaměstnanci platit peněžité vyrovnání ve výši minimálně poloviny průměrného měsíčného výdělku. Proto nezbývá než s tímto opatřením zacházet mnohem střídměji, než by bylo z pohledu informační bezpečnosti žádoucí. 
 
Chtěné poškozování společností
Jakkoli jsou nedbalost, nepozornost, neznalost či laxnost zaměstnanců nepříjemné, obtížnější je čelit úmyslným narušením bezpečnosti informací, kdy zaměstnanec sleduje určitý zájem, nejčastěji pomstu nebo obohacení.
 
K tomu nejčastěji dochází v následujících situacích:
  • výpověď
  • pocit křivdy, nespravedlnosti, nedodržení slibů, podmínek
  • vážná osobní nebo rodinná situace
  • projevení osobních rysů, mezi nimiž hraje výraznou roli chamtivost
 
Výpověď
Výpověď zaměstnanci je téměř vždy velkou emoční zátěží na straně propouštějícího i propouštěného. V praxi se ukazuje, že jen málo manažerů je schopno zvládnout situaci „na úrovni“ a rozejít se se zaměstnancem tak, aby nevznikl pocit křivdy. A ten s sebou vždy nese riziko pomsty nebo pokusu o ni. 
 
Výsledkem může být jak narušení informační bezpečnosti v běžném smyslu toho slova (krádež firemní databáze zákazníků, neoprávněné získání mzdových dat a jejich zveřejnění, vymazání důležitých dat nebo jejich změna), tak ústní předávání důvěrných informací či šíření pomluv, což je něco, čemuž prakticky nelze zabránit.
 
Rizika související s výpovědí lze zmírnit několika způsoby:
  • Vhodným tréninkem manažerů, jak podobné situace zvládat, a vhodnými předpisy. To může zahrnovat nejen vlastní rozchod se zaměstnancem, ale také pomoc při hledání další práce (outplacement), zapojení do komunity bývalých kolegů apod. Zpravidla nebývá zvykem, aby útvary IT nebo informační bezpečnosti do podobných záležitostí zasahovaly, ale je důležité si uvědomovat, že mezi výpověďmi a informační bezpečností je úzká vazba. 
  • Technologickými a procesními opatřeními, která se netýkají jen výpovědí, ale celkového fungování společnosti. V jedné technologické firmě byla např. „zeštíhlena“ slovenská pobočka, což znamenalo odchod čtyř account manažerů. Když poslední den pracovního poměru odevzdávali notebooky, měly tyto noteboky přeformátované disky. V dalším kroku pak bylo zjištěno, že centrální zákaznická databáze nebyla aktualizována již více než rok. V podobných případech je zřejmé, že není problém jen ve zvládnutí výpovědi, ale v celkově nedostatečném řízení informačních rizik. 
 
V rámci informační bezpečnosti by měl existovat jasný postup, co dělat v případě propuštění zaměstnance, případně co dělat v případě riskantního rozchodu (viz Box 2). To může obsahovat nejrůznější záležitosti od omezení přístupu k některým datům až po okamžité odpojení přístupů a zablokování mobilních zařízení. Tyto záležitosti je zapotřebí řešit s právníkem včas (zejména jedná-li se o soukromé mobilní zařízení). Až taková situace nastane, nebude pro to dostatečný prostor. 
 
Pocit křivdy, nespravedlnosti, nedodržení slibů, podmínek…
Ve všech těchto případech je podstatné si uvědomovat, že nejde ani tak o objektivní skutečnost, jako spíše o rozpor mezi očekáváním (viz Box 3). To znamená, že i tam, kde formálně vzato nedošlo k žádné křivdě, může takový pocit vzniknout, čímž opět vzniká riziková situace. Od výpovědi se liší zejména tím, že se netýká jednoho zaměstnance, ale celé skupiny, která se může ve svých pocitech navzájem podporovat. Nebo zaměstnanci zůstávají v organizaci a nadále potřebují veškerá přístupová práva, což jim dává širší možnost působit škody. 
 
Klíčovou roli v takových případech zpravidla hraje přímý nadřízený. Tam, kde funguje formální i neformální komunikace, zájem o mimopracovní život zaměstnance a vztahy mají přátelskou dimenzi nebo alespoň dimenzi výrazné vzájemné úcty, je riziko výrazně nižší. 
 
O riziku můžeme hovořit i tam, kde nejsou nastavena jasná pravidla, existují jen velmi vágní popisy práce a očekávání obou stran se může lišit. Manažer odpovědný za informační bezpečnost by měl zbystřit zejména v situacích, kdy jsou pravidla nejasná a kdy po dlouhé době nastupuje manažer s výrazně jiným řídicím stylem než jeho předchůdce. 
 
Pokud se ve firmě provádějí pravidelná šetření spokojenosti zaměstnanců, měl by manažer informační bezpečnosti věnovat jejich výsledkům pozornost. Riziková místa lze identifikovat tak, že prudce klesla spokojenost celé organizační jednotky. 
 
Vážná rodinná nebo osobní situace
I zaměstnanec, který by za běžných okolností dodržoval pravidla, se může pod tlakem dopustit kriminálního jednání. Některé takové situace přitom firma může identifikovat relativně snadno (např. exekuce), u jiných je to obtížnější, nicméně možné (např. dítě zaměstnance má vážnou nemoc a potřebuje drahou léčbu) v dalších téměř nemožné (např. těhotná milenka). Navíc se dostáváme do oblasti, kde už jen samotné zjišťování situace může být neoprávněným zásahem do soukromí zaměstnance. 
 
Dlouhodobé charakterové rysy
To je oblast, která je k analýze poměrně komplikovaná. Vede se totiž mnoho debat o tom, zda lze sklony ke kriminálnímu jednání a chorobnou chamtivost, případně závistivost identifikovat v testech, nakolik jsou tyto testy spolehlivé a nakolik jsou tyto vlastnosti opravdu dlouhodobé. Diskuze jsou vedeny o tom, zda vysoce inteligentní lidé mohou takové testy oklamat. Nicméně určité standardizované typologie a standardizované psychologické nástroje existují. V tomto článku se spokojíme jen se stručným doporučením, že pokud je prováděno psychologické testování uchazečů, na některých pozicích je vhodné doplnit zadání pro psychologickou laboratoři o aspekty relevantní pro informační bezpečnost. 
 
Tím se dostáváme k otázce obranných opatření. Na rozdíl od neznalosti či nedbalosti totiž školení ani osvětové kampaně nepomáhají. Nicméně je tu stále možnost zavedení zpřísněného režimu jak ve smyslu technologickém, tak procesním. Zaměstnanec ve výpovědi může mít např. právo nahlížet do dat, ale bez možnosti mazat, měnit či kopírovat. Je možné pečlivěji monitorovat chování zaměstnanců v interních sítích, postupovat restriktivně při přidělování uživatelských práv apod. Nicméně skutečností zůstává, že nejúčinnějším prostředkem je řešení situace, tedy odstranění příčiny frustrace zaměstnanců, dosažení relativně přátelské dohody o rozchodu apod. 
 
Závěrem
Škody napáchané interními zaměstnanci bývají vyšší než útoky externí a manažeři informační bezpečnosti jsou si toho vesměs vědomi. Přesto však výše investic a míra úsilí nasměrovaných tímto směrem je většinou nepatrná ve srovnání s technologickými aspekty.
 
Doporučujeme proto úzkou spolupráci s útvary lidských zdrojů a pečlivé porovnávání investice nejen v tom smyslu, že budou porovnávány různé technologie, ale i ve smyslu srovnávání investic do bezpečnostních technologií s investicemi do školení a motivace zaměstnanců. Dále je podstatné si uvědomovat, že řada opatření, která jsou většinou prezentována výhradně jako záležitosti lidských zdrojů (např. outplacement), jsou zároveň opatřeními směřujícími k posílení informační bezpečnosti. 
 
 
Poznámka 1:
Což takhle interní reklamní kampaň?
Užitečným nástrojem zvýšení povědomí o zásadách informační bezpečnosti mohou být i interní komunikační kampaně. V některých organizacích jsou různé bezpečnostní zásady přehledně uvedeny na různých viditelných místech v prostorách firmy nebo na intranetu, to má ovšem tu nevýhodu, že uživatelé po určitém čase přestávají informaci vnímat. Jednorázová komunikační kampaň tuto nevýhodu překonává, zvláště je-li vedena zajímavým, neotřelým či dokonce vtipným způsobem.
 
Kampaň může zahrnovat následující komunikační kanály:
  • přímé oslovení e-mailem nebo dopisem
  • speciální intranetové stránky
  • bannery v jiných částech intranetu
  • drobný dárkový předmět, který obsahuje nebo zvýrazňuje sdělení
  • plakáty a nápisy v zasedacích místnostech, vstupních halách, ale i např. v kuchyňkách
  • drobné nálepky v místech, kde potenciálně může docházet k chybnému jednání, nápis u koše na papíry může např. upozorňovat, že do něj nepatří důvěrné dokumenty
  • různé stánky a velké výrazné předměty budící pozornost
  • speciální letáky, časopisy a tiskoviny vydávané u příležitosti kampaně
  • „guerilla marketing“ − tím jsou v tomto případě myšleny situace, kdy skupina maskovaných účastníků sehraje scénku, vzbudí rozruch a pozornost
  • „virál“ − vytváření obrázků nebo videí, které jsou pro uživatele tak zábavné, že je sami šíří dál (zpravidla obsahují vtip nebo mají sexuální podtext)
 
Využití těchto kanálů přesahuje možnosti firemního IT, případně útvaru informační bezpečnosti. Je tedy užitečné přizvat marketing nebo případně externí reklamní agenturu (v zahraničí dokonce existují komunikační agentury specializované právě na otázky informační bezpečnosti). Podmínkou úspěchu však je velmi úzká a hladká spolupráce mezi experty na informační bezpečnost a kreativci. Obvyklý postup, kdy je na začátku předáno zadání, nemusí stačit, protože pracovníci agentur mají tendenci tvrdit zákazníkovi, že problematiku pochopili i tam, kde tomu tak zjevně není. 
 
Poznámka 2
Pozor na sekretářky
Je zpravidla všeobecně známo, jak významné riziko mohou představovat odcházející manažeři a administrátoři IT. Naopak bývají podceňovány odchody asistentek. To je vážná chyba, která se nemusí vyplatit. V mnoha případech zná asistentka přístupové údaje svého nadřízeného a nezřídka je tomu dokonce tak, že sám nadřízený přesně neví, které údaje jeho asistentka zná a které již nikoli. Když k tomu přidáme skutečnost, že zvláště v případech osobních asistentek je pracovní vztah mnohdy spojen s určitou emotivní angažovaností a odchod může být nesen velmi nelibě, je zřejmé, že výpověď asistentce je téměř vždy významným bezpečnostním rizikem. Nadstandardní podmínky tedy mohou být racionální volbou i v případě, že důvodem propuštění byla nedbalost nebo neuspokojivý pracovní výkon. 
 
Poznámka 3
Psychologická smlouva je pojem, který označuje soubor vzájemných očekávání a povinností mezi pracovníky organizace a organizací. Tato očekávání se týkají hodnot a norem, požadovaného chování, pracovního výkonu, odměňování, povyšování, uplatňovaných zásad jednání s lidmi a vlastně všech aspektů fungování organizace a lidí v ní. 
 
Podstatné je zejména to, že ačkoli psychologická smlouva není písemně zachycena, obě strany ji chápou stejně a chovají se téměř tak, jako by se jednalo o smlouvu právně vymahatelnou. V případě, že ji jedna ze stran přestane respektovat, může počítat s hněvivou reakcí protistrany. Psychologická smlouva se může týkat relativních drobností (např. práva používat služební telefon ke vnitrostátním soukromým hovorům) i relativně zásadních záležitostí typu „povinného“ zvýšení platu po třech úspěšných projektech. 
 
Poznámka 4
Případová studie Colt
Výzkum ve slavné zbrojařské firmě Colt ukázal, že podstatná část zaměstnanců má tendenci důvěřovat neznámým lidem, pokud je kontaktují zdánlivě důvěryhodnými elektronickými kanály (např. e-mail s koncovkou známé firmy). Proto byla v roce 2012 realizována interní kampaň s cílem změnit chování v této oblasti. 
 
Základem komunikace byl příběh zloděje identity a jeho oběti. Zaměstnanci mohli týden po týdnu postupně sledovat, jak se útočník připravuje a jaké postupy a prostředky používá k získávání citlivých údajů tak dlouho, až postupně získá kontrolu nad všemi přístupovými právy a informačními zdroji oběti. Část příběhu byla zobrazena pomocí komiksových postaviček, ale uživatelé zároveň viděli do zápisků oběti, mohli číst její e-maily atd. 
 
Kampaň byla původně připravena tak, že obětí byla ženská postava, ale testování ukázalo, že zaměstnanci zbrojovky (většinou muži) mají problém se s ní ztotožnit. Proto byla provedena změna na mužskou postavu. 
 
 
Ivana Spoustová
Mgr. Ivana Spoustová vystudovala vzdělávání dospělých, během své 20leté kariéry působila na různých HR pozicích, od specialisty až po ředitele HR pro 8 zemí.
 
Publikováno v časopise Data Security Management 4/2014
http://www.tate.cz/cz/dsm/