Pro podnikové experty na IT bezpečnost to znamená soustředit své hlavní úsilí na minimalizaci škod způsobených často bezhlavým surfováním zaměstnanců po webu. Silným nástrojem podporujícím toto úsilí je webový monitoring, tedy sledování přístupu uživatelů na web.
Problematika webového monitoringu je dnes řešena nejčastěji instalací softwaru na centrální gateway pro přístup do internetu, což je mnohem efektivnější varianta než instalace softwaru na jednotlivých klientech – jak z hlediska účinnosti, tak správy systému. Jednou z klíčových rolí webového monitoringu je zabránit importu škodlivých věcí do podniku.
Nicméně existuje i druhá, neméně důležitá role monitoringu, a tou je produktivita práce. Všichni víme, že nelze očekávat, že zaměstnanci tráví osm hodin v práci jen a pouze pracovními aktivitami. Otázkou spíše je, jakou dobu a po jakých webech v rámci svých nepracovních aktivit brouzdají. Těchto webů je stále více a například erotické stránky, které bývaly největším obsahovým tahákem na internetu, mají dnes velkou konkurencí.
Politika webového monitoringu
Úkolem pracovníků bezpečnosti je pak vymezit weby, na které je povolen přístup a na které ne. Jednou z možností je, že administrátor rozhodne a manuálně zakáže nežádané weby. To je ale vzhledem k obrovskému množství stránek velmi pracné, proto se doporučuje spolehnout se na software s databází tzv. kategorií – erotických stránek, sázení, on-line her, nakupování atd.
Jakou politiku zvolit při sledování webového přístupu? Obecně lze tyto přístupy rozdělit do dvou oblastí. První z nich – restriktivní – je příjemný pro bezpečnostní manažery, tj. zakázat všechny kategorie a pak postupně „povolovat šrouby“. Jedná se zřejmě o nejbezpečnější metodu, avšak klade velké nároky na IT pracovníky (zejména z velkých společností), kteří musí spoustě zaměstnanců vysvětlovat, proč nemají přístup na požadované stránky. A samozřejmě velké nároky na toho, kdo rozhoduje o přístupu na web. Často může tento přístup navíc po určitou dobu paralyzovat běžný provoz firmy.
Druhá metoda spočívá ve sběru informací o aktuálním přístupu zaměstnanců na web a po určité době sledování dojde k vyhodnocení a případně následným akcím. Výhodou tohoto řešení je fakt, že získáme reálný obrázek a relevantní data o dané problematice, a pak máme možnost uvážlivě rozhodnout o dalším postupu. Doporučuje se spíše než reagovat plošně raději zvolit adresnější přístup směrem k lidem, jejichž nepracovní brouzdání po webu překračuje akceptovatelnou míru.
Nepracovní brouzdání ano, či ne?
Podle naší zkušeností se v každé společnosti najde na každých 25 zaměstnanců minimálně jeden pracovník, který tráví šest a více hodin denně neproduktivní činností na webu. Ale pozor, nelze hodnotit člověka jen podle čísel dokumentujících jeho nepracovní činnost – stává se i to, že právě někdo z největších „brouzdalů“ mívá ve firmě nejlepší pracovní a výkonnostní výsledky!
Takže povolit nepracovní přístup k webu, či ne? Předně je nutno říci, že pracovník rozhodující o webovém přístupu by měl mít alespoň obecný technologický přehled o této problematice, protože zde nejsou důležitá až tak čísla jako spíše jejich interpretace. I když podle čísel daný pracovník strávil nepracovní aktivitou (například stahováním obsahu) značný čas na webu, neznamená, že se nemohl paralelně věnovat svým pracovním úkolům. Dalším faktem je, že pravidelné krátké nepracovní aktivity vedou k lepším výsledkům než osm hodin monotónní práce v kuse.
Proto se doporučuje na základě dat získaných z webového monitoringu citlivě posoudit každý jednotlivý případ a soustředit se spíše na eliminaci excesů – např. v případě, když někdo tráví více než polovinu pracovní doby na webu či věnuje svůj čas stránkám pro dospělé a obtěžuje tím své okolí apod.
Autor působí jako technický ředitel GFI Software.
PŘEDPLATNÉ
ČLÁNKY DO MAILU