Vytvořit dokument je pracné

Dokument je na první pohled nejjednodušší formou, jak pracovat s informací. Ve skutečnosti je ale formou velmi nákladnou. Studie ukázala, že při vytváření dokumentu:

• 10 – 20% času autor tráví volbou stylu, formátu, hlavičky a záhlaví
• 10 – 20% času stojí formátování a urovnávání
• 5 – 10% času autor řeší, kam a komu a jak dokument předat a v jakém typu dokumentu (PDF nebo jiný formát)

V součtu ¼ – ½ času, který se stráví přípravou dokumentu, neslouží k efektivní práci. Pochopitelně, čím je dokument kratší, tím je tento ztrátový čas významnější. Lidé mají proto tendenci do jednoho dokumentu dávat více informací pohromadě. Díky tomu jsou dokumenty dlouhé a komplikované.

Pracovat s dokumentem je také pracné

Užitečné informace, které jsou v dokumentu, chceme propojit s jinými informacemi. Propojení je ale komplikované, protože různé informace z dokumentu chceme propojit s jinými informacemi v jiných dokumentech. Dokument navíc často nemá své místo.

Dlouhé dokumenty lidé nemají čas a chuť číst. Díky tomu se k nim informace nedostanou a nepracují s nimi, jak by měli.

Efektivní náhrady: Práce s informacemi, ne s dokumenty

Jedinou efektivní cestou je snažit se co nejvíce pracovat s informacemi tam, kde jsou potřeba a nedávat je do dokumentů. To ale vyžaduje, aby lidé měli informace při ruce, když je potřebují. A i vytváření informací musí umožnit rychlé uložení stručných informací ve formě a v místě, která bude všem dostupná.

Informační management je cestou, jak se zbavit více než 3/4 dokumentů ve firmě.

Proč je dokument bezpečnostním rizikem

Dokument je velmi snadné ukrást – vyplývá to ze způsobu, jak se s dokumentem pracuje

• Aby bylo možné dokument otevřít, je celý stažený v počítači a v programu, který s ním pracuje. Celá informace je tedy u uživatele v počítači nebo v mobilu. Je tedy snadné celý dokument uložit někam jinam.
• Dokumenty obsahují informace ucelené. Tím, že dokument má mít svou vlastní vypovídací hodnotu, je v něm většinou informace komplexní. I jeden stažený dokument tak často obsahuje mnoho cenných informací i s vysvětlením, proč jsou cenné.
• Dokument si lidé velmi často posílají. Jeho pohyb a počet kopií je proto těžko kontrolovatelný.

Příkladem cenného dokumentu je např. seznam významných odběratelů produktu. V dokumentu je většinou nejenom seznam, ale i informace, který produkt odebírají. Pokud se tento dokument dostane mimo firmu, obsahuje nejenom seznam několika firem, ale i legendu, v čem je hodnota seznamu.

Zastaralé, neplatné nebo chybné dokumenty jsou rizikem

Dokument je často zastaralý. Tím, že jej lidé mohou mít uložený u sebe, nevšimnou si, že už není aktuální. Zastaralé informace stojí za mnoha problémy firem:

• Výrobek je vyroben podle starých nebo neplatných postupů. Často stačí, že jsou k němu přiloženy staré manuály nebo jiná dokumentace. Poškodí reputaci firmy, ale může být i nebezpečný
• Výrobek je předán na nesprávnou adresu, protože adresa nebyla aktualizována
• Je oslovován zákazník, který už o služby nestojí. Rizikem je i stížnost na nedodržení GDPR.
• Dva vyrobené moduly nespolupracují, protože jeden z týmů měl starší verzi dokumentace, než druhý.

Nástroje ochrany dokumentů jsou nákladné, většinou mnohem více, než náklady na efektivní informační management, který jejich počet zásadně omezí. Jaké způsoby se používají:

Systém správy dokumentů

DMS („Document Management System“) řídí přístupy k dokumentům. Jde o základní ochranu, kterou je možné zajistit, aby se k dokumentům dostali jen ti, kdo je skutečně potřebují.

DMS je zásadním zlepšením proti sdíleným diskům, protože umožňuje výrazně lepší ochranu, např. zamknout schválené dokumenty před úpravami nebo sledovat historii změn.

Nevýhodou DMS je náročná správa a riziko, že špatně umístěný dokument vidí lidé, kteří jej vidět nemají a naopak se k němu nedostanou ti, kdo potřebují.

Cloud není systém správy dokumentů

Je třeba zdůraznit, že cloud pro soubory – např. SharePoint nebo Google cloud jsou samy o sobě pouze technologie. Bez řádné správy jsou ještě nebezpečnější, než sdílené disky. Nejenom, že neposkytují ochranu, ale tím, že zvyšují dostupnost souborů přes Internet, jejich bezpečnost ještě zhorší.

Problém v tomto případě není v technologii samotné, ale v tom, že její použití je snadné a na první pohled usnadňuje práci. Chybí k ní ale zdůraznění, že bez odborné péče je pro firmu velmi nebezpečná. (O porušování GDPR ani nemluvě.)

Zámky v dokumentech

Citlivé dokumenty jejich autoři zamykají heslem.

Výhodou zámku je, že chrání dokument při zasílání nechráněnou cestou – typicky emailem. Je ochranou i v případě, že se dokument dostane k někomu, kdo by s ním neměl pracovat.

Nevýhodou je nutnost společně s dokumentem sdílet i heslo – klíč k dokumentu.

Ochrana je omezena i samotným uživatelem. Většina lidí používá dlouhodobě stejné heslo (třeba celý život), protože jinak je práce s dokumenty velmi náročná. Díky tomu oni sami, ale i jejich okolí už heslo znají a ztrácí tak smysl.

Kvalita zámků v současné generaci dokumentů už je pro běžné použití dostatečná. Nejslabším místem bude většinou člověk. Buď je heslo jednoduché, nebo po mnoho let stejné. Pokud uživatel bere hesla vážně, typicky není schopen po pár letech dokumenty otevřít (autor textu z vlastní zkušenosti ví, o čem mluví).

Pro individuální potřeby mohou být zámky dostačujícím řešením, pro jakékoli sdílení dokumentů jsou ale velmi nepraktické a z uvedených důvodů i nespolehlivé.

Kontrola pohybu dokumentů

Firmy, které ochranu berou vážně, kontrolují pohyb dokumentů po firmě pomocí metadat. V dokumentech je příznak, zda jde o důvěrné nebo tajné dokumenty a komunikační systémy hlídají, aby se takový dokument např. emailem nedostal ven.

Jde o řešení velmi nákladné, navíc jej lze snadno obejít vykopírováním obsahu jinam. Řešení proto pomůže proti neúmyslnému odeslání dokumentu např. mimo firmu, ale neochrání proti cílenému ukradení.

Náklady na samotnou technickou implementaci tohoto řešení jsou jen menší část celkové ceny. Větší část tvoří personální náklady na analýzu poplachů, řešení planých poplachů a případně dohledávání, zda hlášení bylo či nebylo oprávněné.

Vzhledem k tomu, že nakládání s dokumentem označeným utajením je komplikovanější, uživatelé se mu snaží vyhnout. V praxi tak příznak má jenom část dokumentů, která by si ho zasloužila. Dobře systém funguje u automaticky generovaných dokumentů nebo ve spolupráci s dalším systémem, který dokumenty automaticky značkuje.

Vzhledem k technické i finanční náročnosti je aktivní kontrola pohybu jednotlivých dokumentů dlouhodobě doménou pouze velkých firem. Nezbytností je samozřejmě i implementace další popsané techniky – kontroly všech cest, kudy se mohou dokumenty dostat ven.

Blokace USB portů a obecně cest jak dokument odeslat

Větší firmy často chrání dokumenty a soubory i tím, že uživatelé nemají možnost používat USB klíčenky a tak dokumenty nahrát na paměť, kterou si odnesou.

Účinnost ochrany USB portu samozřejmě závisí na schopnosti ochránit i všechny jiné možnosti, jak cenná data dostat z tzv. datového perimetru ven. Pokud blokuje firma USB, musí stejně striktně chránit i všechny ostatní způsoby, jak mohou data utéct, zejména email a webové stránky (nahrávání dat na jiný server).

Blokace USB je mezi pracovníky mimořádně neoblíbená. Zejména proto, že mnoho z nich má právo použít např. doma notebook i pro soukromé účely – např. pustit si film nebo napsat vlastní dopis. (Bezpečnostní manažeři teď poskakují na židli, je to oprávněné, ale realita taková je.)

Chránit ostatní kanály samozřejmě také lze, ale v prostředí spolupracujících firem je to často v podstatě nemožné. Mnoho pracovníků potřebuje sdílet dokumenty s kolegy z jiných firem a často i jednorázově někomu poslat dokumenty např. kvůli konzultaci nebo auditu.

Stejně jako v předchozím případě, je třeba počítat s nemalými náklady na službu i komplikacemi při jakékoli spolupráci.

Co je datový perimetr

Datový perimetr je prostor, ve kterém uživatelům dovolujeme s informacemi pracovat. Výchovou lidí a bezpečnostními opatřeními se snažíme zajistit, aby se do datového perimetru nikdo nepovolaný nedostal a samozřejmě, aby se informace z perimetru nemohly dostat ven.

Datový perimetr se lidé musí naučit obcházet

Pro mnoho lidí ve firmách, které blokují komunikační kanály, je komunikace s externími subjekty nezbytná. Výměna dokumentů je součástí běžné komunikace s dodavateli, zákazníky i státními institucemi. Nahrávání dokumentů na cizí servery je samozřejmostí zejména pro dodavatele větších firem.

Potřeba komunikace tak vede k tomu, že perimetr je velmi děravý. Buď udělají díry přímo správci, nebo si je – a to ještě nebezpečnější – vymýšlejí sami uživatelé.

Navzdory problémům je ochrana důležitá

Ochrana dat samozřejmě důležitá je. Pro některé typy firem – např. finanční instituce – jsou výše popsané způsoby nezbytné. Jejich případ je specifický tím, že mají velké množství dokumentů ve standardních procesech (např. schvalování hypotéky, založení účtu apod.). Díky tomu je možné i ochranu dokumentů automatizovat.

Pro menší firmy a zejména firmy, kde je práce různorodější, jsou uvedené postupy nevhodné. Skutečně efektivní cesty jsou (v pořadí podle důležitosti):

Chránit před přístupem zvenčí všechna místa, kde jsou data umístěna

Zahrnuje zejména firewally, ochranu přístupu ke cloudu, omezení přístupu jen k tomu, co lidé potřebují. A samozřejmě průběžnou kontrolu, kdo s čím pracuje.

Strukturovat informace tak, aby uživatel pracoval vždy s malým kouskem informace. Pak je odcizení většího celku velmi pracné

Pokud má uživatel možnost stáhnout třeba celý adresář projektových souborů, snadno vám odnese know-how o novém produktu. A třeba ne on, ale někdo, kdo se dostane k jeho přihlášení.

Výchova lidí, jak s informacemi pracovat

Porozumění rizikům i pravidlům bezpečného nakládání s přihlašovacími údaji je nezbytné pro bezpečné chování.

Uchovávání informací tak, aby se nedaly snadno odcizit

Zejména spolupráce mezi lidmi by měla být nastavena tak, aby informace zůstávaly chráněně. Prim v tomto hrají emaily. Pokud si uživatelé někdy předávají dokumenty emaily, rychle se emailové schránky stanou úložištěm mnoha dokumentů, které by měly mít kvalitní ochranu. Emailové schránky jsou přitom často prvním přístupovým bodem, kterým jsou data napadnuta.