ISMS: Na co nezapomenout před nástupem nového zaměstnance?

ISMS (Information Security Management System) doporučuje zavést různé procesy, které by měly společnosti pomoci se správným pojetím informační bezpečnosti. Nedefinuje přesné povinnosti, jimiž se doslovně řídit – jak tomu bývá u zákonů – ale spíše rámec, který je potřeba naplnit. Jakým způsobem, jakým procesem a s použitím jakého nástroje toho docílit, je jen a jen na vás a vaší společnosti.

Pro společnost, která potřebuje certifikaci pouze formálně, tedy pověstný „papír pro papír“, se může zdát efektivní použití šablony a rychlé zavedení řešení. Ostatním ale rychlost a zdánlivá jednoduchost takového kroku nepřinese očekávaný výsledek. Mnozí možná vůči špatně pojatému ISMS zatrpknou a tři písmenka I-S-O v nich budou vyvolávat spíše nechuť než pocit bezpečnosti.

Najít správnou cestu může být složité. Jako příklad z běžného života to dobře ilustruje nákup oblečení. V běžném životě občas také narazíte na obchod, kde vám hned první kalhoty zkrátka „sednou“, vybrali jste si správnou velikost, barva i střih vám sluší. Mnohem častěji byste však potřebovali nohavice prodloužit či zkrátit, povolit nebo zabrat pas… A co teprve, kdyby měly v obchodě kalhoty jen modré, ale vám by se ke zbytku obsahu vašeho šatníku více hodily černé! Nejlepším řešením by nakonec bylo zajít do krejčovství, kde by vás odborník změřil a ušil vám kalhoty na míru…

Stejně tak je to i se zavedením Information Security Managementu a ISMS šablonami. Proto jsme pro vás připravili sérii článků na téma ISMS a jak nejlépe celou oblast uchopit z pohledu nastavení, řízení a bezpečnosti. A především nabídneme rady, jak do celého procesu zahrnout ten nejdůležitější článek úspěšného ISMS: lidi, tedy vaše současné a také budoucí zaměstnance.

Liška v kurníku

Představte si videohru s výmluvným názvem „Liška v kurníku“. Cílem této hry je získat informace, know-how, znalosti a tak dále. Čím více, tím lépe.

Vy jste v pozici hráče. Vaší rolí je hrát nového zaměstnance. Prostředím hry je vaše společnost.

Jakou strategii hry zvolíte? Co, kde a jak můžete ve vaší společnosti snadno zjistit? Máte hned od začátku přístup k CRM nebo podobnému podnikovému systému obsahujícímu citlivá data vašich kolegů nebo zákazníků? Přizvali vás jako nováčka na důležitý projekt, abyste nezahálel a „nasál atmosféru“ nového pracovního prostředí? Máte k dispozici projektovou dokumentaci? Nemáte dvouměsíční výpovědní lhůtu a během následujících tří měsíců můžete svou působnost kdykoliv ukončit?

A nyní pomyslně zmáčkněte tlačítko PAUSE, přestaňte „hrát“ a zamyslete se. Jak dlouho by vám opravdu trvalo překonat všechny úrovně takovéto hry ve vaší firmě, abyste na jejím konci získali dostatek informací?

A pamatujte, o co horší a delší bude váš „hráčský“ zážitek, o to lépe máte ve firmě nastavené ISMS.

Ochraňte aktiva své společnosti:

Na co si je potřeba dát pozor?

Aktiva: Informace o vašem podnikání, klientech či zaměstnancích

Hrozba: Zneužití informací novým zaměstnancem

Zranitelnost: Volně přístupné systémy pro zaměstnance bez jasně dodržovaných rolí.

Chybějící role mentora pro nové zaměstnance.

Nedůsledné či chybějící prověřování před nástupem nových zaměstnanců.

Jak důležitá jsou pro vás tato aktiva?

Co se stane, pokud je někdo zneužije, předá konkurenci nebo část smaže?

Pravidlo „Dvakrát měř, jednou řež“

Když zavádíte nebo již máte ISO 27001 (ISMS) zavedené, logicky si odvodíte, že vaším cenným aktivem jsou zaměstnanci, tedy ti, kteří by v ideálním případě měli být hlavním hnacím motorem ISMS. Většinou není problém implementovat základní prvky ISMS do úvodního školení nových zaměstnanců, ale to je již krok číslo dvě v rovnici společnost–ISMS–zaměstnanci. Jaký je ten první? Prověření. Prověření potenciálního kandidáta před tím, než mu dáte přístupy do vašich informačních systémů, k vašim informacím, vašemu know-how. Prvotní prověření by mělo přijít v okamžiku zkoumání životopisu. V dnešní době sociálních sítí jde snadněji zkontrolovat (při dodržení účinné legislativy), zda dotyčný kandidát informace o své osobě nepřikrášluje. Druhou stranou mince jsou pak informace, které opomine (možná i záměrně) uvést. Netvrdím, že by vaše HR oddělení mělo trávit hodiny prověřováním jediného člověka, nicméně u zásadních rolí, které byste si měli ve společnosti definovat, je „dvakrát měř, jednou řež“ pravidlem, jež se rozhodně vyplatí dodržovat.

Definice zásadních rolí

Jaká pozice je pro firmu zásadní? Ředitel? Vyšší management? Manažerské role jsou samozřejmě důležité, ale z pohledu informační bezpečnosti tomu tak být nemusí. Zamyslete se, kdo ve skutečnosti ve vaší společnosti ví všechno? Kdo vlastní podnikové know-how? Kdo má přehled o tom, kde jsou uložená důležitá data? Kdo má přístup k informacím o vašich zákaznících? Je to IT, obchod, marketing, finance? Snažte se definovat, kdo je pro vás z hlediska bezpečnosti informací důležitý, a ideálně přidejte k dané roli dalšího člověka, aby osoba, která tuto práci vykonává, byla zastupitelná.

„Běžně se nepřiřazují vysoká oprávnění, ale delegují se separátní role na konkrétní činnost. Dnes již běžným krokem jsou silná oprávnění na vyžádání. Jednak pak vidíte, kdy (a na co) je nováček potřeboval, za druhé tušíte, jak přemýšlí (zdali vůbec toto oprávnění potřeboval), a v neposlední řadě tak máte logy jeho činnosti. Také vidíte, jak dotyčný postupuje, zda si poradí sám – byť tím překročí směrnice –, nebo zda se přijde zeptat.“

Ondřej Žáček, Security Consultant SoftwareOne Czech Republic

Černý scénář

Nyní si představte následující scénář. Na zmíněnou zástupnou pozici jste našli vhodného kandidáta. Prověřili jste si, co měla tato osoba napsáno v životopise, zavolali jste na číslo v něm uvedené a uchazeče jste přijali. Nový zaměstnanec po nástupu získá (samozřejmě ihned po školení na ISMS) veškeré přístupy jaké má i role, které má pomáhat. Během krátké doby se rozkouká, ví, kudy na toaletu, kde je bufet, ale také to, kde je seznam vašich zákazníků. Rovněž má přístup do interních platforem pro spolupráci, jako je například Microsoft Teams, kde uchováváte informace o projektech… A jednoho dne v rámci zkušební doby nečekaně skončí a rychle se „vypaří“. Se všemi údaji, které jste mu hned na začátku jeho pracovního poměru dali či mu k nim umožnili přístup. Jistě, učinili jste tak ve svém zájmu, aby se nový zaměstnanec naučil, co je potřeba, a po uplynutí zkušební doby mohl být efektivním členem týmu. Ale nesmíme zapomínat, jak velký vliv na náš život – pracovní i osobní – mají nové technologie a jak velké množství dat jejich používáním každodenně sdílíme či jejich prostřednictvím uchováváme. To, co jsme kdysi vídávali pouze v televizi, je nyní realitou: voláme z hodinek, tablet se nám vejde do kapsy u kalhot… Je zkrátka důležité nezapomínat na to, že nástupem nového zaměstnance vlastně do svého fungujícího, živého a jinak zvenku velmi chráněného pracovního organismu můžete teoreticky přizvat lišku (abych se vrátila k původní metafoře), která toho využije a nerušeně vykrade váš kurník.

Eliminace možných rizik

Jistě, je potřeba nebýt paranoidní, zároveň je ale klíčové znát možná rizika. Umět vybalancovat tyto váhy, kdy na jedné straně stojí bezpečnost informací a na druhé straně potřeba zaučení nového zaměstnance, není rozhodně jednoduché. A ano, pokud vás bude chtít někdo záměrně obelstít, tak či onak s velkou pravděpodobností uspěje. Nicméně je vhodné to takovýmto lidem neusnadňovat, zamyslet se, jestli u některých rolí není vhodnější důsledný pre-screening, a zjistit, kam všude nový zaměstnanec potřebuje opravdu plný přístup. Zda jej lze případně omezit či zda do některých systémů pro začátek nepostačí nahlížení za přítomnosti jiného již prověřeného zaměstnance.