Loni v prosinci se asi 60 lidí, pracovníků IT na americkém ministerstvu dopravy a jejich přátel, sešlo ve velké zasedačce svého úřadu ve Washingtonu, aby se rozloučili s Danem Matthewsem. Matthews pracoval jako CIO na ministerstvu necelé tři roky a nyní odcházel ke společnosti Lockheed Martin. John Flaherty, šéf kanceláře ministra dopravy Normana Minety, povstal, aby několika procítěnými slovy ocenil Matthewsovo působení. Ve svém projevu zdůraznil, že Matthews vždycky dokázal ministru Minetovi rychle přispěchat na pomoc, když mu přestal fungovat jeho BlackBerry.
Flaherty to nemyslel jako žert
Části přítomných Flahertyho poznámka připadla jako dokonale přesná ilustrace toho, proč se IT na federální úrovni pořád plácají na místě. Na CIO státních orgánů se prostě stále pohlíží jako na ty chlapíky, co opravují BlackBerry.
„Výkonní pracovníci na ministerstvu vědí, že CIO jsou pro organizace cenným přínosem – jenom nevědí, v čem ten přínos spočívá,“ napsal Matthews v e-mailu k této drobné události.
Pokud se domníváte, že by snad měl existovat nějaký zákon, který by řešil tento druh předpotopního přístupu, tak existuje. Tzv. Clinger-Cohenův zákon, přijatý ve vzácném okamžiku shody obou stran před deseti lety, nastínil kroky, jež měly postavit federální CIO do role stratégů, kteří mohou svým institucím pomáhat při formulování nových podnikových procesů směřujících ke zjednodušení operací, poskytování lepších veřejných služeb a snižování rizika katastrofálních selhání systému, jež bývají prověrkou důvěry občanů ve vládu – a čas od času je vystavují nebezpečí ohrožení života. Zákon, oficiálně známý jako „zákon o reformě řízení informačních technologií z roku 1996“ (a později přejmenovaný na Clinger-Cohenův zákon podle kongresmana Williama Clingera a senátora Williama Cohena, kteří jej prosadili), požadoval, aby se federální úřady při managementu IT řídily nejlepšími příkladem amerických (soukromých) firem. Požadoval, aby tyto vládní instituce najímaly CIO, zaváděly kontroly investic a stanovovaly cíle a způsoby měření výkonnosti, aby bylo možno vyhodnocovat pokrok. Zákon byl přivítán jako nástroj, který konečně ve federálních IT nastolí řád a pořádek.
„Opravdu jsme si mysleli, že je to v suchu,“ říká Paul Brubaker, jeden z hlavních autorů zákona, který tehdy pracoval pro Cohena jako šéf republikánského týmu. „Představovali jsme si, že změníme způsob, jak vláda řídí IT, a tím třeba změníme i vládu.“
To se evidentně nestalo.
Kořeny problému
Deset let poté, co prezident Clinton návrh podepsal a Clinger-Cohenův zákon vstoupil v platnost, federální IT systémy stále vykazují alarmující procento selhání. Například ze 16 IT projektů masivního pětadvacet let starého modernizačního programu Federálního úřadu pro letectví (Federal Aviation Administration, FAA) jich 13 překračuje rozpočet, a to v částkách od 1,1 milionu do 1,5 miliardy dolarů, jak uvádí Government Accountability Office (GAO, americká obdoba našeho NKÚ). Takzvaný Future Combat System americké armády – plně integrovaný systém sítí, jež mají dodávat informace v reálném čase na bojiště prostřednictvím senzorů, které přesně detekují polohu high-tech zbraně – by mohl přijít na částku o 130 miliard dolarů přesahující původní rozpočtový odhad z roku 2001, který hovořil o 70 miliardách. IT systémy ministerstva vnitra se ukázaly být natolik nezabezpečené, že jeden federální soudce v uplynulých třech letech opakovaně nařizoval, aby ministerstvo zavřelo všechny své přístupy na internet.
Od ledna 2004 do března 2006 GAO vydala celkem 98 zpráv o federálním IT managementu, přičemž téměř každá z těchto zpráv zjišťovala závažné manažerské nedostatky, které zvyšovaly riziko IT selhání.
Základní problém je, že ať jsou CIO jakkoliv talentovaní (a mnozí z nich skutečně jsou schopní a zkušení pracovníci, kteří nastoupili do federální správy po úspěšné kariéře v soukromém sektoru s ambicí uplatnit svou kvalifikaci při řešení společensky závažnějších problémů, než byly ty, jakými se zabývali ve světě byznysu), byli odsouzeni k nezdaru politickým a byrokratickým systémem, který se od doby, kdy Clinger-Cohenův zákon vstoupil v platnost, příliš nezměnil.
Bývalí federální CIO říkají, že Clinger-Cohenův zákon byl promyšleně sestaven, ale v praxi se rozložil. Jeho ustanovení bylo snadné obejít nebo prostě ignorovat, i vzhledem k absenci jakýchkoliv mechanismů k jeho prosazení. Například úhelný kámen zákona, který vytvářel pozici CIO ve vládních úřadech, brzy padl za oběť politickému manévrování, v jehož důsledku byla řada těchto CIO prakticky zbavena reálného vlivu na utváření politiky, tedy toho, v čem spočívá skutečná politická moc.
„Clinger-Cohenův zákon naprosto zmršili, aby se hodil do politické agendy obou vlád (Clintonovy i Bushovy), a tím se vytratil cíl, jímž bylo učinit z CIO strategického hráče v organizaci namísto toho, aby byl jen tím chlapíkem, za kterým jdete, když něco nefunguje,“ říká frustrovaný Brubaker. „A my teď máme úplně stejné základní problémy, jaké jsme měli před deseti lety.“
Abychom zjistili, o jaké problémy vlastně jde, oslovili jsme desítky současných i bývalých federálních CIO a vládních úředníků. Zjistili jsme, že se v podstatě jedná o čtyři věci: nedostatek pravomocí CIO zejména ve věci rozpočtů, kulturní a politická rezistenci, která brání tomu, aby se ujaly vhodné IT praktiky, špatnou disciplínu při řízení projektů a spousty papírování, které od CIO a jejich lidí vyžadují, aby trávili spousty času dokazováním, že dodržují příslušná nařízení.
Tyto problémy přitom neznamenají jen plýtvání silami a penězi. Jde doslova o život:
- Jak uvádí GAO, federální sítě jsou například zranitelnější vůči útokům hackerů a teroristů než před pěti lety.
- Loni v říjnu selhal systém kontroly letového provozu FAA na Loganově letišti v Bostonu a na radarových obrazovkách začal ukazovat falešné ikony letadel.
- Federální komunikační systémy se zhroutily také po hurikánu Katrina, čímž ztížily záchranné práce.
- Vojenským jednotkám v Iráku běžně docházejí důležité zásoby, protože selhávají systémy dodavatelského řetězce. GAO vyslovila obvinění, že „zásadní a dlouhodobé manažerské problémy ministerstva obrany související s podnikovými operacemi a systémy negativně ovlivnily ekonomiku, výkonnost a efektivitu operací ministerstva, a v některých případech měly dopad i na morálku našich bojových sil, které jsou vystaveny nebezpečí“.
„Konec konců to je bezpečnostní hrozba,“ říká John Reece, bývalý CIO IRS a nyní poradce federální vlády. „Jestliže se nedokážeme pohnout mimo rámec těch systémů, které máme dnes, zatímco naši nepřátelé vyrážejí do útoku s nejpokročilejšími technologiemi, tak prostě dojde k tomu, že nás zase totálně roznesou na kopytech.“
Nedostatek pravomocí CIO
V soukromém sektoru platí, že pokud CIO není podřízen CEO (nebo se alespoň nezúčastňuje porad vedení na této úrovni), IT strategie na tom bude špatně nebo se v lepším případě změní převážně v taktiku. Podle těch CIO, kteří se pokusili přenést své zkušenosti ze soukromého sektoru do vládních úřadů, většina CIO ve federálních úřadech jednoduše nemá pravomoci nebo přístup k těm úrovním vedení, které by potřebovali k tomu, aby mohli dělat svou práci jak se patří.
Steve Cooper, CIO Amerického červeného kříže a bývalý CIO u společnosti Corning, která se zabývá technologiemi, se rozhodl, že půjde pracovat pro federální vládu poté, co byl svědkem pádu newyorských dvojčat. Jako bývalý námořní důstojník měl zkušenosti se složitostmi vládního úřadu. V roce 2003 se stal prvním CIO ministerstva pro vnitřní bezpečnost (Department of Homeland Security, DHS). Narazil však na kulturu, která považovala CIO za technika, ne stratéga, který by mohl pomoci utvářet podnikové procesy své organizace.
Kongres a tehdejší Bushova administrativa si představovali, že DHS bude používat informační technologie ke shromažďování zpravodajských informací a jejich sdílení s dalšími federálními úřady s cílem koordinovanějšího potírání terorismu. Vzhledem k významné roli, jakou měly hrát IT, měl CIO této instituce podle všech předpokladů mít přímý přístup k ministrovi (ekvivalent CEO) a měl se zapojit do strategického rozhodování o IT rozpočtu ve výši 37 miliard dolarů. To se ale nestalo. Ve skutečnosti organizační tabulka ministerstva dokonce ani neuváděla pozici CIO mezi 29 nejvyššími vedoucími posty v úřadu. Od počátku Cooper zjišťoval, že je vyloučen z klíčových jednání o strategiích. A jeho rozpočtové požadavky – jako 39 milionů dolarů na síťové propojení agentur ministerstva – byly paušálně kráceny, v tomto případě o 28 milionů dolarů, na schůzkách za zavřenými dveřmi.
Tento problém přístupu a pravomocí stále existuje a dnes jej řeší současný CIO ministerstva Scott Charbo. Uvádí to generální inspektor DHS Richard Skinner. Ve své výroční zprávě o výsledcích managementu z loňského prosince konstatuje Skinner suše, že Charbo neměl pravomoci na to, aby mohl dělat svou práci. „Navzdory federálním zákonům a požadavkům není CIO členem týmu nejvyššího vedení s autoritou strategicky řídit celoresortní technologické prostředky a programy,“ napsal. (Oddělení ministerstva pro vztahy s veřejností na opakované žádosti o rozhovor s panem Charbo neodpovídalo.)
To, že vám šéf úřadu popřává sluchu, však ještě automaticky neznamená, že CIO bude mít pravomoci. Když John Reece z Internal Revenue Service, který dříve působil jako CIO u společnosti Time-Warner, v březnu 2001 přijal místo CIO „berňáku“, chtěl v první řadě vybavit 14 500 agentů IRS v terénu laptopy, aby přestali být přivázáni ke třem počítačům na svých psacích stolech, které potřebovali, aby se dostali do různých legacy systémů. Každý laptop sice stál o 300 dolarů víc než desktop, Reece ale argumentoval, že když se agentům umožní, aby trávili více času v terénu, zvýšené náklady se hravě vrátí v podobě vyšší produktivity. Reece dostal ve svém rozpočtu na finanční rok 2002 45 milionů dolarů na upgrady. Protože ale neměl kontrolu nad tím, na co jsou peníze použity, rozutíkaly se na platy dalších zaměstnanců, které jiní IT manažeři najímali k údržbě stávajících legacy systémů a oněch tří desktopů na osobu, které byly zapotřebí, aby se k těm systémům člověk dostal. A Reeceovi na laptopy nezbylo nic.
Pokud mají federální CIO mít šanci nějak zvrátit dosavadní nevalné výkony vlády v oblasti IT managementu, jejich úřady je musejí vybavit většími pravomocemi – zejména rozpočtovými, tvrdí to aspoň Joel Willemssen, který šéfuje divizi IT auditu v GAO. „Největším jednotlivým selháním vlády v oblasti IT je nedostatek pravomocí, které poskytuje CIO,“ říká.
Dalším aspektem je funkční období. Aby CIO mohl efektivně rozvíjet velké programy a dohlížet nad jejich implementací, musí na to mít čas. Doba, po kterou CIO zůstávají ve funkci, v posledních letech stále rostla až na průměr čtyř let a 11 měsíců, uvádí Zpráva o stavu CIO 2006. Průměrná doba, po kterou zůstává ve funkci federální CIO, činí dnes podle Willemssena dva roky. (Willemssen také říká, že nejlepší zkušenosti doporučují pro federální CIO funkční období v délce minimálně tří až pět let.) Důvody, proč je působení CIO tak krátkodobé, jsou četné, včetně znechucení z práce, kultury státní služby, která má za to, že odsloužit pro vlast dva roky je až až, a platu. (Federální CIO si nemůže vydělat víc než 133 000 dolarů ročně.) „Veškeré pozice a moc jsou vám nanic, když nemůžete řídit agendu IT, jak potřebujete,“ říká Dan Chenok, bývalý šéf odboru informační politiky a technologií v Úřadu pro řízení a rozpočet.
Problémem je politika
Když Clinger-Cohenův zákon v roce 1996 definoval roli federálního CIO, byla tato práce považována za kariérní pozici, o kterou se mohl ucházet kdokoliv. Bushova administrativa však začala do některých těchto pozic lidi jmenovat, přičemž u některých byl vyžadován souhlas Senátu.
Všichni prezidenti používají jmenování jako způsob, jak splatit politické dluhy, ale mnozí současní i bývalí federální CIO se domnívají, že vládní IT na tuto praxi značně doplácí, především proto, že tato práce vyžaduje velký objem specializovaných znalostí, pokud má být vykonávána efektivně. Dnes je 11 pozic federálních CIO obsazeno na základě jmenování (z několika desítek, které jich ve federální vládě jsou) a většinou se jedná o velké úřady typu DHS. Z oněch 11 je nyní pět pozic neobsazeno a tři z těch CIO, kteří byli jmenováni do zbývajících šesti, neměli při nástupu téměř žádné nebo vůbec žádné předchozí zkušenosti s řízením IT. Někteří IT odborníci tvrdí, že CIO jmenovaní na základě politických důvodů mají větší možnosti, protože jejich vztahy s Bílým domem znamenají, že jim špičky v exekutivě – rovněž jmenované na základě politických vazeb – mohou více věřit a mohou je více respektovat.
Mnozí federální CIO ale „off record“ říkají (otevřeně by se pod to nepodepsal nikdo), že proces jmenování vedl k odkladu mnoha důležitých IT projektů, neboť jmenovaní přicházeli s tím, že urychlí pracovní procesy na úřadu, aniž by přitom rozuměli řízení IT do té míry, do jaké mu rozumějí profesionální manažeři.
V roce 2001 například prezident Bush jmenoval Vickers Meadowsovou náměstkyní ministra pro administrativu a CIO na ministerstvu bytové výstavby a urbanistiky. Meadowsová neměla žádné předchozí zkušenosti s IT. Pracovala jako šéfka Bushovy administrativy, když byl guvernérem v Texasu, a později po jeho zvolení prezidentem vedla tým, který přebíral administrativu v Bílém domě. Meadowsová úřad opustila po necelých 18 měsících a z pozice CIO se stalo kariérní místo. Za dobu, kdy byla ve funkci, generální inspektor ministerstva vydal řadu kritických zpráv o praxi řízení IT na ministerstvu, včetně popisu špatných bezpečnostních kontrol, toho, že systémy byly vystaveny možnosti útoku, nebo že projekty IT systémů byly zahajovány, aniž byly připraveny plány architektury, definovány podnikové procesy a to, jak budou systémy fungovat. (Paní Meadowsová na žádosti časopisu CIO o vyjádření neodpověděla).
V roce 2003 Bush jmenoval Drew Ladnera do čela kanceláře CIO ministerstva financí, která měla IT rozpočet 2,6 miliardy dolarů. Ladner, tehdy čtyřiatřicetiletý podnikatel, který stál u zrodu dvou dotcomových firem, Clique.com a Ripcord Systems, pracoval na ministerstvu něco přes rok. Dnes již CIO ministerstva financí jmenován není. (Ladnera nebylo možno zastihnout.)
V roce 2004 Bush jmenoval Boba McFarlanda do funkce CIO ministerstva pro záležitosti veteránů. McFarland, který působil jako viceprezident pro vztahy s vládou u společnosti Dell Computer a pracoval na manažerských funkcích pro tohoto výrobce počítačů, neměl pro funkci CIO zkušenosti. Za McFarlanda se ministerstvo dále těžce potýkalo s otázkami řízení IT. Hodnocení jeho stupně zabezpečení, které vydává Kongres, kleslo z C v roce 2003 na F v roce 2004, v roce 2005 na této úrovni setrvalo.
McFarland, který z ministerstva odešel v dubnu, přesto tvrdí, že dokázal prosadit velké změny, které by kariérní CIO nikdy nemohl udělat. Například prý přesvědčil Kongres, aby CIO ministerstva pro veterány poskytl kontrolu nad celkovým IT rozpočtem této instituce ve výši 1,6 miliardy (původně McFarland kontroloval jen 50 milionů dolarů z této částky), a prosadil reorganizaci, jež měla podporu ministra Jamese Nicholsona, která CIO dává kontrolu nad veškerým personálem a technickým vybavením IT. Stovky kanceláří ministerstva pro veterány po celé zemi, jeho nemocnice a kliniky dříve kontrolovaly své vlastní IT rozpočty, personál a techniku. „Abyste mohli prosadit tyhle věci, musíte skutečně mít politické jmenování, které vám zajišťuje místo u stolu nejvyššího vedení,“ řekl McFarland. „Nemusím se starat o to, jaký další krok ve své kariéře udělám. Mohu prosazovat změny a nemusím si dělat starosti s tím, abych si nikoho nepoštval proti sobě a abych se všem zavděčil.“
Někteří CIO nicméně dostali pravomoc nad celým rozpočtem, přestože do funkce nebyli jmenováni. Například Zalmai Azmi, CIO FBI, který dostal kontrolu nad rozpočtem kanceláře loni. A co je podstatnější, GAO v jedné zprávě z roku 2005 konstatovala, že nejefektivněji pracující CIO ve vládních institucích mají předchozí zkušenosti z informačních technologií nebo příbuzných oborů a mnozí z nich pracovali jako CIO již dříve. Mnozí také mají odborné znalosti související s jejich agenturou, neboť již dříve pracovali buď v téže agentuře či v souvisejícím oboru.
Jak ale říká jeden vysoce postavený šéf IT, který pracuje pro významnou instituci (a trval na své anonymitě): „Tato administrativa nemá ráda kariérní úředníky. Tato averze bohužel příliš nezlepšuje šance vládních IT na úspěch.“
Vítejte v byrokracii
Clinger-Cohenův zákon měl zlepšit praxi řízení IT projektů tím, že požadoval od CIO, aby vyhodnotili, jaké kvalifikace mají k dispozici, určili, jaké IT kvalifikace potřebují, aby splnili rozhodující požadavky pro výkon činností svého úřadu, a pak zaplnili veškeré mezery, které takto zjistili, ať už tím, že by zaměstnance najali nebo vycvičili. To se nestalo. Podle současných a bývalých CIO, federálních inspektorů pro dozor a odborníků na projektové řízení federální projektoví manažeři běžně nedodržují některé i ty nejzákladnější postupy projektového řízení – jako provádění analýz návratnosti investic, vypracovávání důkladných obchodních případů nebo zřizování kanceláří projektového managementu –, což zvyšuje pravděpodobnost neúspěšnosti projektů.
Vládní Úřad pro řízení a rozpočet (Office of Management and Budget, OMB) se pokusil zavést určitou disciplínu, když v roce 2001 nařídil agenturám, aby začaly předkládat obchodní případy pro navrhované IT systémy. Tyto případy musely vykazovat návratnost investic, dokazovat, že jsou dodržovány správné postupy projektového managementu a zřetelně formulovat, jak daný systém napomůže jejich instituci, aby plnila své poslání. V roce 2005 OMB uváděla, že ze 1 200 obchodních případů, které dostala v tomto fiskálním roce, 621 projektů v celkové výši 22 miliard dolarů nesplňovalo její standardy. GAO ale v roce 2005 konstatovala, že OMB ani nevytvořila seznam projektů a jejich slabých míst, ani nevypracovala proces monitorování, s jehož pomocí by se dalo zjistit, zda agentury dosahují nějakých pokroků v řešení těchto slabých míst, čímž zřejmě nechala bez povšimnutí slabé projekty, které odčerpávaly z rozpočtu významné částky.
„Teď“, říká Bruce McConnell, bývalý IT úředník OMB v Clintonově administrativě a nyní prezident poradenské firmy McConnell International, „už se z obchodních případů stala především slohová cvičení, zejména pokud porovnáte objem zpráv s možnostmi OMB je prostudovat a vyjádřit se k nim. OMB by se měla zaměřit na výsledky a řídit na principu výjimky, tedy vyžadovat podrobné zprávy jen tam, kde se ví, že přetrvávají problémy.“
Důvody toho, že není dodržována základní disciplína projektového managementu, však nelze všechny připisovat neschopnosti, špatnému řízení nebo byrokracii. Například jedna z největších IT transformací ve vládních úřadech probíhá na ministerstvu obrany. Ministerstvo modernizuje své systémy business managementu, které „mají na triku“ provozní náklady ve výši 605 miliard dolarů ročně.
Část modernizací spočívá ve vytvoření ERP systému k propojení podnikových systémů ministerstva. Protože však ministerstvo obrany provozuje tolik systémů v tolika entitách, z nichž každá má svou vlastní organizační strukturu, řízení a vedení, snažit se uřídit celý projekt je pokus předem odsouzený k nezdaru, jak tvrdí Drew Miller, poradce Heartland Management Consulting Group, který pracoval jako programový manažer projektu v roce 2005. Miller dohlížel na vývoj požadavků na architekturu pro strategické plánování a rozpočtové systémy a politiku pro celý program. Miller má zkušenost, že kdykoliv se jakkoliv změnil nějaký back-end systém, bylo zapotřebí předělat rozhraní k dalším systémům, což zabíralo čas, který pak nebylo možné věnovat vývoji nových systémů. Protože tyto systémy (celkem 542 systémů z oblasti účetnictví a finančního managementu a 665 systémů z oblasti personalistiky) pokrývají celou strukturu ministerstva obrany, sladit nějak rozhodnutí o softwaru nebo o konfiguracích je prakticky nemožné.
Bylo by zapotřebí výkonného manažera na vrcholné úrovni, který by dělal rozhodnutí, jež se týkají celé instituce, myslí si Miller, zatímco GAO navrhla Kongresu, aby ustavil hlavního manažera pro modernizaci podnikových systémů ministerstva obrany. Tento manažer by měl funkční období nejméně sedm let, pracoval by v koordinaci s CIO a s dalšími špičkovými programovými manažery ministerstva a jeho cílem by bylo soustředit se na to, jak by se systémy měly integrovat na celopodnikové úrovni. Zároveň by působil jako styčný důstojník pro stovky IT programových manažerů.
Personalistické systémy ve federálních IT jsou také spletité. Způsoby najímání lidí jsou komplikovány pravidly a zákony starými desítky let, které brání CIO v tom, aby personální situaci rychle přizpůsobovali potřebám. Například na bezpečnostní prověrky, které musejí mít mnozí manažeři, programátoři i dodavatelé IT pro federální vládu, aby mohli pracovat na IT systémech, jež zpracovávají citlivé a utajované skutečnosti, čeká podle odhadu 300 000 federálních zaměstnanců a přes půl milionu dodavatelů. Získat prověrku přitom může trvat několik měsíců.
Zatím žádný z těchto problémů nebyl uspokojivě vyřešen.
Haldy papíru
Podobně jako CIO v soukromém sektoru si federální CIO stěžují, že nemají dost času, aby se mohli zaměřit na strategii. Alespoň v soukromém sektoru však CIO nemusejí všechny své činnosti vykazovat. Kongres a OMB, frustrovány nedostatkem pokroku a zodpovědnosti u velkých IT projektů, začaly v roce 2002 zvyšovat nároky na CIO v tom směru, aby dokumentovali prakticky všechno, co dělají.
Léčba však nakonec může být horší než nemoc sama. CIO jsou zahlceni už tím, že mají zajistit, aby programoví IT manažeři odevzdávali případové studie a tabulky návratnosti pro OMB, zatímco oni sami periodicky píší podrobné zprávy pro Kongres. A CSO jsou na tom často ještě hůř: tráví skoro polovinu své pracovní doby (v průměru 3,75 hodiny) tím, jak dokládají, že dodržují federální bezpečnostní požadavky – alespoň to uvádí přehled provedený systémovým integrátorem Intelligent Decisions. Výsledkem je, říkají výkonní IT pracovníci na ministerské úrovni, že se méně času vynakládá na vývoj bezpečných systémů.
Valná většina požadavků na toto papírování má svůj původ v zákoně o řízení federální informační bezpečnosti z roku 2002 (FISMA), který ve skutečnosti má jen velmi málo společného s měřením toho, jak bezpečné systémy jsou, tvrdí Bruce Brody, šéf informační bezpečnosti u společnosti Input, která se zabývá průzkumy trhu, a bývalý CSO ministerstva pro záležitosti veteránů a ministerstva energetiky. Zákon požaduje po institucích, aby podávaly čtvrtletní zprávy a vždy v září výroční zprávu Kongresu a OMB, v nichž by měly dokládat, že dodržují zákon – znovu a znovu dokládat, že každý systém je certifikován a akreditován, byla provedena inventura systémů a zaměstnanci byli proškoleni v otázkách bezpečnosti, mimo jiné. „Celé je to o psaní hlášení a počítání těchto hlášení,“ souhlasí Alan Paller, ředitel výzkumu v institutu SANAS. „Neměří to, zda systémy skutečně jsou bezpečné.“
Někteří CIO a CSO považují vládní požadavky čistě jen za cvičení v zaškrtávání kolonek – a tím si vysluhují od Kongresu ještě více negativní pozornosti. Není proto překvapivé, že pokud jde o dodržování FISMA, vláda v březnu od Kongresu dostala známku D+.
Karen Evans, administrátor e-governmentu na OMB a vrcholový pracovník Bushovy administrativy pro dohled nad vývojem IT, obhajuje čtvrtletní bezpečnostní hlášení jako způsob, jak říct CIO a CSO, na co se mají zaměřit. „Abyste mohli napsat tuto zprávu, musíte vědět, jaké služby poskytujete, jaká rizika to zahrnuje, jak řešíte řízení konfigurace a jak to souvisí s ostatními systémy a inventářem,“ říká Evans, bývalý CIO na ministerstvu energetiky. „Pokud nevíte, jak vypadá krajina jako celek, pak jen pořád hasíte požáry a nemáte možnost aktivně zvládat rizika.“
CIO argumentují, že představa o krajině již je dostatečně známá. Co potřebují, je čas, aby mohli urazit příslušnou cestu. Brody a Paller doporučují, aby OMB vytvořila lepší metodiku měření výkonu. Namísto toho, aby se dotazovala, zda některé kroky byly podniknuty, měla by se ptát, jak agentury provedly určité výkony, které by měly ve výsledku vést k bezpečnějším systémům, jako třeba jaké autentizační procesy CIO zavedli a jaké procesy agentury používají k monitorování systémů a tvorbě záplat, jak rychle se záplaty rozšiřují, jak často se mění hesla a jaké konvence se pro hesla používají.
"Ti, kteří sepisují požadavky, by měli naslouchat těm, kteří dělají tu práci,“ říká Brody. „Všichni chceme, aby naše systémy byly bezpečné. Ale,“ dodává,“vláda dnes není o nic bezpečnější, než byla před pěti lety – a tehdy bezpečná nebyla.“
Recept: Vedení, ne zákony
Axiomem ve Washingtonu je, že za tvorbu politiky je z 20 procent zodpovědný Kongres, dalších 80 procent spočívá na bedrech federálních institucí, kde se politika interpretuje a realizuje. Řešení, jak zlepšit vládní IT management, nespočívá ve větší míře legislativních opatření ani v přepracování Clinger-Cohenova zákona, říkají federální IT odborníci.
Stejně jako v soukromém sektoru řešení spočívá ve vedení. Jako červená nit se ve vší té kritice, která padá na adresu Clinger-Cohenova zákona, vine to, co CIO v soukromém sektoru také dobře znají: Je nezbytné, aby se o změny ve fungování organizací, což zahrnuje i fungování IT, zasazovalo nejvyšší vedení. Dobrým východiskem by mohlo být vedení ministerstev a Bílého domu jakožto nejvyššího místa, ze kterého je definována agenda, myslí si Paller. „Pokud propadají všichni žáci, není to problém žáků, ale učitele,“ říká. „A to znamená, že učitel se musí podívat, co dělá špatně.“
PŘEDPLATNÉ
ČLÁNKY DO MAILU