Bezpečnost informačních technologií ve firmě ve vztahu k zaměstnancům

Forma a obsah dokumentů

Při vytváření dokumentů ve společnosti platí za základní pravidla dodržení jejich důvěryhodnosti, integrity a dostupnosti. V každé společnosti by tyto zmiňované pojmy měly být jasně definovány. Jedná se o vnitřní předpisy společnosti a vhodné definování těchto pojmů ve smlouvách, které společnost uzavírá ve vztahu ke třetím osobám.

Na tomto místě je vhodné zmínit například smlouvu o mlčenlivosti (tzv. „NDA – Non-Disclosure-Agreement“), která je v dnešní době již běžně využívána ve velkých nadnárodních společnostech k ochraně citlivých dat. Její vyhotovení přitom není nijak složité a poradit by si s ní měl každý právník.

Bezpečnost a spolehlivost jsou tedy pojmy, které je potřeba rozlišit a definovat ve smluvní dokumentaci, například i výše uvedenou formou doložky smluvní dokumentace, anebo samostatné smlouvy o mlčenlivosti.

Cílem společností v této oblasti by mělo být zejména dodržení důvěrnosti dat, jejich integrity a dostupnosti. Často je ve smluvní dokumentaci nebo i jiných firemních dokumentech definována správně otázka pravidel, nicméně chybí jasná představa o adresnosti, případně odpovědnosti dotčených osob a souvisejícího právního jednání. V této souvislosti je opět vhodné připomenout vnitřní směrnice společnosti. Tyto zásadní dokumenty by měly výše zmiňované otázky řešit. Řada společností k tomuto účelu využívá kromě standardních interních předpisů (organizační, případně pracovní řád), též například etický kodex (tzv. „Code-of-Conduct“).

V souvislosti s právní úpravou občanského zákoníku 89/2012 Sb. došlo rovněž k úpravě předsmluvní odpovědnosti. Proti původní právní úpravě přinesl „nový“ OZ v rámci ustanovení § 1728–1730 OZ do právního řádu České republiky poměrně podrobnou úpravu zakotvení tohoto institutu. Podle původní úpravy byla předsmluvní odpovědnost částečně dovozována pouze v judikatuře Nejvyššího soudu České republiky. Nyní nově zákonodárce stanovil jasná pravidla, jimiž pokryl základní oblasti, stejně tak jako vymezil zřetelné hranice z hlediska náhrady škody.

Institut předsmluvní odpovědnosti při respektu k zásadě autonomie vůle a kontraktační svobody navazuje na princip poctivosti, když požaduje, aby k sobě strany v rámci předsmluvního vyjednávání přistupovaly poctivě v souladu se základními zásadami občanského práva, jak určuje i citované ustanovení § 6 OZ, a vzájemně se v maximální míře informovaly o relevantních právních a skutkových okolnostech.

OZ tak pamatuje například na situace, kdy jedna strana vede předsmluvní vyjednávání, ačkoliv nemá skutečný záměr smlouvu uzavřít, popř. kdy strana odmítne bez spravedlivého důvodu uzavřít smlouvu v okamžiku, kdy se její uzavření jevilo jako vysoce pravděpodobné a druhá strana uzavření smlouvy důvodně očekávala (například těsně před podpisem).

Z uvedeného je patrné, že představa, dle které vůči druhé smluvní straně nemám žádnou povinnost do okamžiku, než s ní skutečně konkrétní smlouvu uzavřu, není přesná a postup v jejím duchu by se nemusel vyplatit. Jak již bylo naznačeno, úprava předsmluvní odpovědnosti má svoje racionální opodstatnění a je v souladu s obecnou koncepcí „nového“ občanského zákoníku, který klade větší důraz na to, aby každý jednal v právním styku poctivě (§ 6 OZ). V praxi to však může znamenat riziko pro smluvní stranu, která v průběhu vyjednávání z jakéhokoliv důvodu změní svůj názor a odmítne smlouvu uzavřít.

Výše uvedená odbočka do právní teorie má svoje opodstatnění i v elektronické komunikaci. Lze pouze doporučit, aby v rámci jakékoliv komunikace s obchodními partnery, případně klienty bylo počínáno obezřetně a v tomto směru byli zaměstnanci řádně poučeni. Vzhledem k tomu, že elektronická komunikace, která je dnes mezi podnikateli naprostou samozřejmostí, může splňovat parametry předsmluvního vyjednávání, je vhodné například doporučit, aby k obchodní elektronické korespondenci byly připojovány tzv. „disclaimery“, tedy krátká informace na závěr každého e-mailu, která vhodným způsobem upozorní protistranu na míru závaznosti určité komunikace, případně oprávnění daného pracovníka k zamýšlenému právnímu jednání.

Hlavní cíle při řízení firemní dokumentace

Zatímco v dobách minulých se hlavní činnost IT věnovala hlavně servisu technických požadavků, v dnešní době vysoké míry elektronizace se začíná orientovat i na služby s tím spojené, nezřídka závažného odborného charakteru, který není snadno pochopitelný ani pro laiky nebo odborníky ve vedení společnosti. Toho se dotýkají již zmíněné hlavní cíle, které by měly najít svoji reflexi ve vnitřních předpisech společností, jako je pracovní řád, podpisový řád a podobně. Pro správné fungování bezpečnostní politiky společnosti je vhodné zamyslet se nad níže uvedenými oblastmi.

Předjímání situace

V souvislosti s podepisováním dokumentů je velmi vhodné upravit vnitřní předpisy tak, aby nemohlo dojít k jejich zneužití. Například elektronický podpis má v souladu s novou úpravou občanského práva před soudem stejnou hodnotu, jako podpis na papírové listině. Nastavení procesů ve společnosti tak musí odpovídat základní zásadě prevence, zejména v oblasti pravomocí zaměstnanců a jejich dispozice s důvěrnými daty.

Vnitřní předpisy

Při definování vnitřních předpisů jsou důležitými faktory adresnost a odpovědnost. Definice důvěrných informací však nemusí spadat pod definici obchodního tajemství.

Zákoník práce

Z obchodního pohledu je tedy důležité dbát na jasné definování takových pojmů, jakými jsou utajení, diskrétnost a mlčenlivost. OZ pamatuje na tyto pojmy hned v několika ustanoveních. Ta se týkají zejména takových pojmů, jako je „obchodní tajemství“ (obsaženo přímo v zákoně), „důvěrné informace“ (které je vhodné určit interním předpisem), případně autorská práva a v neposlední řadě i ochrana osobních údajů.

IT bezpečnost

Nesmírná důležitost datové a informační bezpečnosti organizace vyplývá z dnes již běžně užívaných definic systémů ISO9001 a ISO 27000, přičemž nesmíme zapomenout na to, že v těchto systémech dochází ke vzájemnému doplňování se. Praktické uplatnění uvedených definic je v každé organizaci nezbytnou záležitostí.

Výše uvedené plyne ze snahy výrobce dosáhnout co nejvyšší jakosti daného výrobku, čímž očekává splnění všech představ a požadavků zákazníka. Dosažení splnění těchto očekávání je pro každého výrobce samozřejmostí z důvodu základního předpokladu zákazníka, který přirozeně očekává, že výrobnímu procesu ve všech jeho fázích bude věnována přiměřená pozornost.

Informační systém již v dnešní době představuje nezbytnou součást každého výrobního procesu. Informační systém neustále a nevyhnutelně naráží na různé negativní vlivy. Existence norem ISO 9000 a ISO 27000 je kupříkladu zaměřená na co největší minimalizaci těchto negativních vlivů.

Pod informační a datovou bezpečností rozumíme stav, který nastane při stanovené úrovni dosažitelnosti, spolehlivosti a integrity všech informací. Nesmíme přitom zapomenout na to, že pod výrazem systém nemyslíme jenom nějakou všeobecnou soustavu hardwarového a softwarového zázemí. Takovým systémem je možné nazvat pouze komplexní systém, který podporuje mnoho faktorů, jako je vývoj všech výrobků, tržní vztahy, vazby na zákazníka a dodavatele.

V případě, že společnost vlastní jakýkoli certifikát jakosti, pak v souvislosti s navázáním na tyto systémy kvality dochází k rozšíření jistých standardních postupů. Konkrétně se jedná o ty standardní postupy, které jsou nezbytnou podmínkou při certifikaci jakosti pro certifikát týkající se bezpečnosti. Propojenost těchto certifikací plyne z použití podobných pravidel.

Jak již bylo stručně zmiňováno výše, v původních konceptech představovaly informační bezpečnost především informační technologie. Velkou důležitost mělo všemožné zabezpečení informačních technologií před různými negativními vlivy, které na ně mohly působit z vnějšího, ale i vnitřního prostředí společnosti.

V současné době je tento původní koncept doplněn spíše o komplexní pohled, ve kterém je nevyhnutelným prvkem role uživatelů a jednotlivých procesů. Jak je patrné z výše uvedeného, pro funkčnost celého systému je nezbytné dosažení jakosti a zároveň robustnosti jednotlivých systémových procesů. Kvalitativně se celý proces posouvá od konceptu ochrany samotných technologií k původcům narušení bezpečnosti, tedy jejich jednotlivým uživatelům.

Při aktivitách spojených především s budováním a údržbou interních informačních nebo bezpečnostních systémů dochází v mnoha případech k problémům souvisejícím s odmítáním podřídit se byrokratickým metodám a postupům. Jde zejména o metody a postupy, jejichž existence přirozeně plyne z certifikačních procesů. Neochota postupovat v souladu s pokyny má za následek mimo jiné tu skutečnost, že uživatelé zmiňovaných standardů se často snaží dodržování nastavených interních pravidel nějakým způsobem vyhnout.

Na tomto místě je proto vhodné zmínit nezbytnost určitých ustanovení pracovní smlouvy, kterým nutně musí být podřízen každý zaměstnanec. Kvalitní pracovní smlouva má v sobě zakomponovaná všechna důležitá opatření, která souvisejí s budováním nejenom informační bezpečnosti společnosti. Na základě existence pracovní smlouvy potom dochází k jasně definované možnosti vymahatelnosti práva a ke stanovení odpovědnosti vzniklé při porušování dohodnutých a stanovených pravidel v případě, kdy dojde k protiprávnímu jednání (a to nezřídka s úmyslem na straně zaměstnance).

Bezpečnostní politika společnosti

Každá struktura bezpečnostní politiky společnosti by měla naplnit určité optimální podmínky. Při vytváření takové optimální struktury používá společnost aktivní pomoc interních specialistů. Tito specialisté požadované struktury bezpečnostní politiky organizace nesou plnu odpovědnost za celou tuto oblast. Nezbytná je také účast vrcholového vedení firmy.

Aby došlo k maximálnímu možnému zvýšení všech účinků opatření, která se týkají bezpečnosti, je v některých případech nevyhnutelné zařídit dohled externích auditorů, kteří jsou nezávislí. Jejich klíčovou úlohou je neustále zjišťovat, zda dochází k dodržování stanovených pravidel. Když společnost vytvoří optimálně fungující systém bezpečnosti, získá především uživatele, kteří se vyznačují kvalitním obeznámením s podmínkami. Tito uživatelé potom aktivně vytváří nová pravidla bezpečnostní politiky.

U mnoha společností v této souvislosti dochází k nevhodnému přístupu, který plyne z paranoidní snahy přehnaně šetřit náklady spojené s provozem společnosti. Důsledkem špatného přístupu bývá nedostatečné využívání externích specialistů. Některé společnosti se mylně domnívají, že není nezbytné využívat služby nezávislých specialistů nebo poradců. Organizace získávají pocit plné spokojenosti s dosaženým stavem.

Pravdou však zůstává, že zpětná vazba pocházející z nezávislého pohledu, je často nenahraditelná. Důsledkem takového přístupu nakonec bývá nedostatečná účinnost bezpečnostních opatření. Z tohoto důvodu nedoporučujeme podceňovat důležitost nezávislých expertů.

Další častou chybou je, když se vrcholové vedení společností snaží přesunout, nebo jinak řečeno delegovat, zodpovědnost za informační bezpečnost na jiné místo, ve většině případů na IT oddělení. V mnoha případech tento chybný krok znovu vede k vzniku nefunkčního a neúčinného systému.

Vedení společnosti má za hlavní úkol zabezpečit pravidelně se opakující odborná školení, která jsou určená pro ty zaměstnance, kteří se zabývají provozem a rozvojem technologií, přičemž tato školení podléhají pravidlům bezpečnostního auditu. Výsledkem školení pak má být vznik obecného povědomí uživatelů, které souvisí se vznikem rizik a možných bezpečnostních incidentů.

Na základě zmiňovaného povědomí potom dochází k celkovému zlepšení procesu obecné bezpečnosti. U uživatele, který je jasně obeznámený s možnými nástrahami v různých oblastech, například v sociálním inženýrství, dochází k mnohem lepší orientaci a schopnosti řešit problém vzniklý konkrétním cíleným útokem spojeným se snahou překonat bezpečnostní systém.

Další velkou výhodou kvalitně školeného uživatele bývá jeho optimální chování v čase, kdy se nenachází přímo v organizaci. Je mnohem více schopen střežit si své soukromí a bývá patřičně opatrný při výkonu svých soukromých aktivit. Na základě výše uvedených skutečností je možné konstatovat, že organizace dbající na kvalitní budováni a udržovaní bezpečnostního systému chrání nejen své záležitosti, ale také neméně důležité záležitosti svých pracovníků. Proto lze takové chování ve všeobecnosti považovat za žádoucí chování firmy vůči svému zaměstnanci.

Nesmíme zapomenout na nezastupitelnost vysoce kvalifikovaných lidí, kteří by ve společnosti rovněž neměli chybět. Tito lidé představují nezpochybnitelnou konkurenční výhodu v oblasti správy informačních technologií. Společnost se může pochlubit vysoce zajištěnou bezpečností informačních technologií právě v tom případě, kdy v ní za žádných okolností nechybí vysoce školení odborníci v celé IT oblasti. Za další nesmírně důležitou vlastnost těchto odborníků lze považovat jejich loajalitu vůči zaměstnavateli, který musí pociťovat, že se na své zaměstnance může ve všem spolehnout.

Doporučujeme