Bezpečnost jako uživatelský zážitek v pěti krocích

Písnička o IT, které by se k podnikovým uživatelům mělo chovat jako k zákazníkům je dnes již poněkud ohraná. A navíc tak docela neplatí, protože s pokračující digitalizací vztah IT-dodavatel, byznys-zákazník naráží na své limity. Obě strany si často musí být blíž a učit se chápat technologický pohled (a limity technologií) na jedné a byznysový pohled (a potřeby obchodu) na druhé straně. To ale neznamená že analogie byznys-zákazník již nemá co nabídnout. Jak upozorňuje analytik a viceprezident výzkumu Gartner Leigh McMullen, podstatou boje o zákazníky v digitálních obchodních modelech je zákaznický zážitek.

McMullen navrhuje, koncept zákaznické zkušenosti aplikovat v oblastech, kde by nás to možná ani nenapadlo – například v případě IT bezpečnosti. „Lidé odpovědní za bezpečnost chtějí mít věci maximálně pod kontrolou, lídři odpovědní za bezpečnost by ale měli zvážit že se části kontroly a jistoty vzdají výměnou za větší vliv,“ vysvětluje McMullen. „Bezpečnost by neměla ničit uživatelský zážitek, jenže právě to se často děje. Zákazníci – a to jsou v podstatě všichni ve vašem podniku, očekávají, že úsilí, které do něčeho vložili, bude odpovídat hodnotě jíž získají zpět. Pokud jejich očekávání zklamete, začnou vás jednoduše ignorovat.“ McMullen doporučuje se v případě zážitku v souvislosti s bezpečností zaměřit na nejvyšší vedení – to totiž, na rozdíl od řadových zaměstnanců, může být lepším a včasnějším indikátorem znechucení bezpečnostními pravidly a postupy na zároveň může pomoci s prosazením smysluplných a uživatelsky snesitelných bezpečnostních pravidel a politik, které umožní aby se podnik pohyboval rychleji vpřed. McMullen nabízí pět jednoduchých kroků, jejichž prostřednictvím může vedení IT bezpečnosti zásadně zlepšit vztah a komunikaci s nejvyšším vedením a zaměřit se na jejich zážitek:

Prostě s nimi mluvte o věcech, na kterých jim záleží – obavy z rizika, snaha se mu za každou cenu vyhnout patří mezi fenomény, které řadu organizací výrazně zpomalují. Lepší pochopení rizik, jejich dopadů a souvislostí tyto obavy pomáhá odbourat.

  • Pomáhejte jim při rozhodování pomocí operativně zaměřených hodnocení rizik – zhodnoťte reálná rizika na základě pohovorů s lidmi, kteří jsou v daném procesu zapojeni.
  • Naučte je se bránit – nejvyšší vedení nemá přímou kontrolu technologiemi pro řízení rizik a bezpečnost, v konečném důsledku je ale za incidenty odpovědné. Mají-li to riziko nést, měli by vědět, jak v případě incidentu vést účinnou a věcnou obranu.
  • Vynechejte technikálie. Má-li se nejvyšší vedení vaší organizace o něčem věcně a správně rozhodnout, nesmí se topit v technickém žargonu. Jeden ze způsobů jak se tomu vyhnout je, když se lidé odpovědní za řízení informační bezpečnosti dostatečně seznámí s obchodním modelem své organizace a jsou o bezpečnosti schopni hovořit ve vazbě na něj.
  • Posuňte se od projektového k produktovému managementu – toto je obecně platná poučka digitální ekonomiky a digitálních obchodních modelů, která zasahuje i do oblasti informační bezpečnosti. Projektové řízení stanovuje priority a finance pro aktivity. Je určeno kdy projekt začíná, jaké má fáze, implementační postup, akceptační testy, integraci a nasazení. Má začátek a konec. Taková ale bezpečnost není – ve skutečnosti se podobá spíše produktovému managementu, který je neustálý, průběžný, má vazbu na obchodní proces a IT funkce, které jej podporují. Například v pojišťovnictví je obchodním procesem nová pojistná smlouva, která v kontextu rizika a bezpečnosti znamená zapojení funkcí řízení přístupu, ochrany perimetru, řízení hrozeb a zranitelností, nakládání s citlivými daty – a z podstaty věci nemá obvykle stanovené „koncové“ datum.

Bezpečnosti jsme se v Inside věnovali před časem například v článcích a komentářích:

Další komentáře

Hlídejte si sedm aktuálních bezpečnostních trendů

Pragmatický přístup k riziku, renesance SOC a prioritizace bezpečnostních investic na základě frameworků pro zabezpečení dat patří mezi trendy, které by podle analytiků měli podnikoví ředitelé informační bezpečnosti (CISO, CSO) a společně s nimi i ředitelé IT (CIO) v letošním roce sledovat. Ochota přijmout určitou míru rizika znamená i ochotu akceptovat množné následky bezpečnostního incidentu. Příkladem, jak taková deklarace přijatelného rizika může vypadat je prohlášení které analytici „odchytili“ u nejmenovaného národního přepravce: „Tato organizace není ochotna akceptovat rizika,...

Podnikové databáze míří do cloudu, za tři roky jich tam bude 75 %

Do roku 2022 by tři čtvrtiny všech databází měly být nasazeny nebo přemigrovány na cloudové platformě, přičemž u pouhých 5 % bude uvažováno o jejich návratu zpět na lokální (on-premises) inf  ras     trukturu. Podle analytiků Gartneru to bude důsledek toho, jak jsou databáze využívány pro analytiku a jak roste SaaS model. „Z rozhovorů analytiků Gartneru s klienty vyplývá, že uživatelské organizace vyvíjejí a nasazují nové aplikace v cloudu a přesouvají tam stále rychleji také existující aktiva. Věříme, že tento...