Pan ředitel nemá vždycky pravdu

Jestliže odpovědi respondentů v testu IT českých firem odhalily mnoho nedostatků, při osobních pohovorech s nimi vyšlo najevo, že realita je ještě drsnější.

20.05.2017

Řada pravidel, procedur a dokumentů, v jejichž existenci ředitelé doufali, ve skutečnosti neexistovala anebo byla dysfunkční. Také IT manažeři občas odpovídali srdnatěji, než by bylo odpovídalo skutečnému zajištění jejich segmentu.

Stav podnikového IT podle názoru respondentů a podle skutečnosti ověřené pohovorem

 

Nejčastější rozdíly mezi snem a skutečností...

...v oblasti organizace IT

Ředitelé věří, že jejich firmu chrání dostatečně efektivní předpisy. Obvykle ale jde jen o obecné směrnice určující pravidla použití výpočetní techniky, nastavení uživatelských účtů a způsob ukládání dat. Často chybí popis instalovaného software, úprava připojení do sítě a k internetu nebo pravidla provozu elektronické pošty. Když uživatel neví, co smí a nesmí dělat, odpovědné chování na něm lze jen stěží vymáhat.

Pouhá třetina respondentů se věnuje školením uživatelů v oblasti bezpečnosti informací, a i ta nedostatečně, vezmeme-li v úvahu rizika dnešního světa. Jen zcela výjimečně je pracovník proškolen hned při nástupu.

Více něž tři čtvrtiny pracovníků IT oddělení potvrdilo, že během posledních 3 měsíců museli obnovovat data po napadení kryptoviry. Více než polovina z nich přitom podvodný mail označila za velmi špatný podvrh.

Dobré předpisy, pravidelné školení a důsledné vymáhání pravidel jsou jedinou faktickou ochranou před hrozbami kybernetického prostoru. Srozumění s předpisy a sankcemi za jejich porušení by měli uživatelé vyjádřit i formálně, tj. podpisem nebo jiným způsobem s jasnou elektronickou stopou.

...v oblasti řízení IT

Řada respondentů deklarovala zpracovaný katalog služeb, o němž ale zaměstnanci vůbec nevěděli. Více než polovina IT manažerů nebyla schopna prokázat projednání rozsahu a kvality služeb s obchodem. Jen ve čtvrtině případů byly stanoveny kvalitativní parametry služeb a sledováno jejich dodržování.

Pokud se vám zdá, že katalog služeb není než byrokratickým karabáčem na pracovníky IT oddělení, musíme vás vyvést z omylu. Na jeho podobě se přece IT intenzivně podílí. Při sporech se na dohodnutá kritéria může odvolat. Stanovený rozsah služeb je také pádným argumentem do diskuse o škrtání v IT rozpočtu. Nad katalogem služeb by měly vznikat všechny dohody mezi obchodními složkami firmy (odběrateli), finančním vedením (interní plátci) a IT oddělením (poskytovatelé). Aby se pracovalo s platnými fakty, měl by se katalog aspoň jednou ročně aktualizovat.

Další z chimér manažerů jsou představy o dodavatelských vztazích. 75 % respondentů našeho testu odpovědělo, že kontroluje a vyhodnocuje dodávky služeb od externích dodavatelů. Při pohovorech ale vyšlo najevo, že každé druhé smlouvě chybí kvalitativní parametry dodávky, definice jejich měření a případných sankcí.

...v oblasti provozu IT

Velká propast mezi domněnkou a skutečností zeje pod tématem plánů obnovy (návody jak obnovit provoz IT systémů po havárii). Čtyřem z pěti plánů chybí popis předpokladů, ze kterých vycházejí, určení součinností a trvání jednotlivých kroků. Takový plán při havárii sotva pomůže.

Není třeba popisovat obnovu každého systému, který ve firmě najdete. O to víc byste se měli věnovat obnově systémů klíčových a plány sepsat tak, aby vám skutečně pomohly zvládnout kritickou, stresující situaci.

...v oblasti bezpečnosti IT

54 % respondentů uvedlo, že definuje svoje informační aktiva, základ informační bezpečnosti firmy. Skutečnost je ale i tu o poznání horší. Důležitá aktiva včetně jejich ohodnocení mělo popsáno jen asi 10 % firem. O čem pak mluvili ostatní? O seznamech hardware a software, bez ocenění a zahrnutí toho nejpodstatnějšího — firemních dat.

Nepříjemné probuzení ze snu o zajištěné bezpečnosti čeká drtivou většinu respondentů také v bodě ochrany osobních dat. Mnoho firem dosud nemá ani soupis dat, na něž se zákonná ochrana vztahuje. Požadavky nové směrnice GDPR pak zná asi jen 10% firem.

Zjistěte, jak je na tom vaše firma

Prezentace výsledků průzkumu