Správa informací a dokumentů

Efektivní správa informací a dokumentů je nezbytným nástrojem ke spolupráci lidí i k bezpečnosti podnikání.

"Informace patří mezi to nejcennější, co firmy mají. Proto jejich využití i ochrana vyžaduje péči odpovídající jejich významu."

Hlavní cíle informačního managementu

Cílem informačního managementu je:

Význam sdílení informací

Pro firmy je důležité, aby uměly informace sdílet a současně si je uměly chránit. Prvním krokem je si pojmenovat, co jsou klíčové firemní informace. Kromě povinných údajů účetnictví a zaměstnanecké agendy jimi většinou jsou:

K důležitým informacím patří i manažerské informace, jejichž význam se často projeví až po letech

Bezpečná správa informací

Každá informace musí být uložena bezpečně, aby se k ní dostal jen ten, kdo má. Počínaje důležitými informacemi jako jsou podklady pro strategická rozhodnutí, až po ty běžné, jako je uložení náhradních klíčů a hesla nutná pro případ havárie. To všechno potřebuje své místo. AyMINE je připraven plnit požadavky ISO 27000 i GDPR a všechny informace důsledně chrání. Umožní i sledovat, kdo k citlivým údajům přistupoval.

S AyMINE můžete vytvořit pracovní prostor, kde máte všechny informace, jak potřebujete. Nic se neztratí, a kdo informaci potřebuje, ten ji najde. Bez problémů na mobilu. A rychle.

Cenné informace nepatří do dokumentů

Tvrzení v nadpisu je samozřejmě nadnesné. Mnoho informací jinde být nemůže – např. výkresová dokumentace. Přesto je ukládání v dokumentech – včetně těch sdíleních v cloudu – nebezpečné.

Dokument je častým způsobem, jak informace spravovat, ale bohužel se pro naprostou většinu informací nehodí. Jediným důvodem, proč jsou používány je, že firmy nemají potřebné nástroje pro efektivní správu.

"Dokument je bezpečnostním rizikem – snadno se krade a jeho odcizení je velmi obtížné odhalit."

Nevýhody dokumentů pro správu informací

Vytvořit dokument je pracné

Dokument je na první pohled nejjednodušší formou, jak pracovat s informací. Ve skutečnosti je ale formou velmi nákladnou. Studie ukázala, že při vytváření dokumentu:

  • 10 – 20% času autor tráví volbou stylu, formátu, hlavičky a záhlaví
  • 10 – 20% času stojí formátování a urovnávání
  • 5 – 10% času autor řeší, kam a komu a jak dokument předat a v jakém typu dokumentu (PDF nebo jiný formát)

V součtu ¼ – ½ času, který se stráví přípravou dokumentu, neslouží k efektivní práci. Pochopitelně, čím je dokument kratší, tím je tento ztrátový čas významnější. Lidé mají proto tendenci do jednoho dokumentu dávat více informací pohromadě. Díky tomu jsou dokumenty dlouhé a komplikované.

Pracovat s dokumentem je také pracné

Užitečné informace, které jsou v dokumentu, chceme propojit s jinými informacemi. Propojení je ale komplikované, protože různé informace z dokumentu chceme propojit s jinými informacemi v jiných dokumentech. Dokument navíc často nemá své místo.

Dlouhé dokumenty lidé nemají čas a chuť číst. Díky tomu se k nim informace nedostanou a nepracují s nimi, jak by měli.

Efektivní náhrady: Práce s informacemi, ne s dokumenty

Jedinou efektivní cestou je snažit se co nejvíce pracovat s informacemi tam, kde jsou potřeba a nedávat je do dokumentů. To ale vyžaduje, aby lidé měli informace při ruce, když je potřebují. A i vytváření informací musí umožnit rychlé uložení stručných informací ve formě a v místě, která bude všem dostupná.

Informační management je cestou, jak se zbavit více než 3/4 dokumentů ve firmě.

Proč je dokument bezpečnostním rizikem

Dokument je velmi snadné ukrást – vyplývá to ze způsobu, jak se s dokumentem pracuje

  • Aby bylo možné dokument otevřít, je celý stažený v počítači a v programu, který s ním pracuje. Celá informace je tedy u uživatele v počítači nebo v mobilu. Je tedy snadné celý dokument uložit někam jinam.
  • Dokumenty obsahují informace ucelené. Tím, že dokument má mít svou vlastní vypovídací hodnotu, je v něm většinou informace komplexní. I jeden stažený dokument tak často obsahuje mnoho cenných informací i s vysvětlením, proč jsou cenné.
  • Dokument si lidé velmi často posílají. Jeho pohyb a počet kopií je proto těžko kontrolovatelný.

Příkladem cenného dokumentu je např. seznam významných odběratelů produktu. V dokumentu je většinou nejenom seznam, ale i informace, který produkt odebírají. Pokud se tento dokument dostane mimo firmu, obsahuje nejenom seznam několika firem, ale i legendu, v čem je hodnota seznamu.

Zastaralé, neplatné nebo chybné dokumenty jsou rizikem

Dokument je často zastaralý. Tím, že jej lidé mohou mít uložený u sebe, nevšimnou si, že už není aktuální. Zastaralé informace stojí za mnoha problémy firem:

  • Výrobek je vyroben podle starých nebo neplatných postupů. Často stačí, že jsou k němu přiloženy staré manuály nebo jiná dokumentace. Poškodí reputaci firmy, ale může být i nebezpečný
  • Výrobek je předán na nesprávnou adresu, protože adresa nebyla aktualizována
  • Je oslovován zákazník, který už o služby nestojí. Rizikem je i stížnost na nedodržení GDPR.
  • Dva vyrobené moduly nespolupracují, protože jeden z týmů měl starší verzi dokumentace, než druhý.

Firmy, které si svých dat cení, často investují hodně do ochrany, aby lidé nemohli dokumenty ukrást. Nejlevnějším a mnohem méně obtěžujícím způsobem ale je informace do dokumentů vůbec nedávat.

Jak se chrání dokumenty

Nástroje ochrany dokumentů jsou nákladné, většinou mnohem více, než náklady na efektivní informační management, který jejich počet zásadně omezí. Jaké způsoby se používají:

Systém správy dokumentů

DMS („Document Management System“) řídí přístupy k dokumentům. Jde o základní ochranu, kterou je možné zajistit, aby se k dokumentům dostali jen ti, kdo je skutečně potřebují.

DMS je zásadním zlepšením proti sdíleným diskům, protože umožňuje výrazně lepší ochranu, např. zamknout schválené dokumenty před úpravami nebo sledovat historii změn.

Nevýhodou DMS je náročná správa a riziko, že špatně umístěný dokument vidí lidé, kteří jej vidět nemají a naopak se k němu nedostanou ti, kdo potřebují.

Cloud není systém správy dokumentů

Je třeba zdůraznit, že cloud pro soubory – např. SharePoint nebo Google cloud jsou samy o sobě pouze technologie. Bez řádné správy jsou ještě nebezpečnější, než sdílené disky. Nejenom, že neposkytují ochranu, ale tím, že zvyšují dostupnost souborů přes Internet, jejich bezpečnost ještě zhorší.

Problém v tomto případě není v technologii samotné, ale v tom, že její použití je snadné a na první pohled usnadňuje práci. Chybí k ní ale zdůraznění, že bez odborné péče je pro firmu velmi nebezpečná. (O porušování GDPR ani nemluvě.)

Zámky v dokumentech

Citlivé dokumenty jejich autoři zamykají heslem.

Výhodou zámku je, že chrání dokument při zasílání nechráněnou cestou – typicky emailem. Je ochranou i v případě, že se dokument dostane k někomu, kdo by s ním neměl pracovat.

Nevýhodou je nutnost společně s dokumentem sdílet i heslo – klíč k dokumentu.

Ochrana je omezena i samotným uživatelem. Většina lidí používá dlouhodobě stejné heslo (třeba celý život), protože jinak je práce s dokumenty velmi náročná. Díky tomu oni sami, ale i jejich okolí už heslo znají a ztrácí tak smysl.

Kvalita zámků v současné generaci dokumentů už je pro běžné použití dostatečná. Nejslabším místem bude většinou člověk. Buď je heslo jednoduché, nebo po mnoho let stejné. Pokud uživatel bere hesla vážně, typicky není schopen po pár letech dokumenty otevřít (autor textu z vlastní zkušenosti ví, o čem mluví).

Pro individuální potřeby mohou být zámky dostačujícím řešením, pro jakékoli sdílení dokumentů jsou ale velmi nepraktické a z uvedených důvodů i nespolehlivé.

Kontrola pohybu dokumentů

Firmy, které ochranu berou vážně, kontrolují pohyb dokumentů po firmě pomocí metadat. V dokumentech je příznak, zda jde o důvěrné nebo tajné dokumenty a komunikační systémy hlídají, aby se takový dokument např. emailem nedostal ven.

Jde o řešení velmi nákladné, navíc jej lze snadno obejít vykopírováním obsahu jinam. Řešení proto pomůže proti neúmyslnému odeslání dokumentu např. mimo firmu, ale neochrání proti cílenému ukradení.

Náklady na samotnou technickou implementaci tohoto řešení jsou jen menší část celkové ceny. Větší část tvoří personální náklady na analýzu poplachů, řešení planých poplachů a případně dohledávání, zda hlášení bylo či nebylo oprávněné.

Vzhledem k tomu, že nakládání s dokumentem označeným utajením je komplikovanější, uživatelé se mu snaží vyhnout. V praxi tak příznak má jenom část dokumentů, která by si ho zasloužila. Dobře systém funguje u automaticky generovaných dokumentů nebo ve spolupráci s dalším systémem, který dokumenty automaticky značkuje.

Vzhledem k technické i finanční náročnosti je aktivní kontrola pohybu jednotlivých dokumentů dlouhodobě doménou pouze velkých firem. Nezbytností je samozřejmě i implementace další popsané techniky – kontroly všech cest, kudy se mohou dokumenty dostat ven.

Blokace USB portů a obecně cest jak dokument odeslat

Větší firmy často chrání dokumenty a soubory i tím, že uživatelé nemají možnost používat USB klíčenky a tak dokumenty nahrát na paměť, kterou si odnesou.

Účinnost ochrany USB portu samozřejmě závisí na schopnosti ochránit i všechny jiné možnosti, jak cenná data dostat z tzv. datového perimetru ven. Pokud blokuje firma USB, musí stejně striktně chránit i všechny ostatní způsoby, jak mohou data utéct, zejména email a webové stránky (nahrávání dat na jiný server).

Blokace USB je mezi pracovníky mimořádně neoblíbená. Zejména proto, že mnoho z nich má právo použít např. doma notebook i pro soukromé účely – např. pustit si film nebo napsat vlastní dopis. (Bezpečnostní manažeři teď poskakují na židli, je to oprávněné, ale realita taková je.)

Chránit ostatní kanály samozřejmě také lze, ale v prostředí spolupracujících firem je to často v podstatě nemožné. Mnoho pracovníků potřebuje sdílet dokumenty s kolegy z jiných firem a často i jednorázově někomu poslat dokumenty např. kvůli konzultaci nebo auditu.

Stejně jako v předchozím případě, je třeba počítat s nemalými náklady na službu i komplikacemi při jakékoli spolupráci.

Co je datový perimetr

Datový perimetr je prostor, ve kterém uživatelům dovolujeme s informacemi pracovat. Výchovou lidí a bezpečnostními opatřeními se snažíme zajistit, aby se do datového perimetru nikdo nepovolaný nedostal a samozřejmě, aby se informace z perimetru nemohly dostat ven.

Datový perimetr se lidé musí naučit obcházet

Pro mnoho lidí ve firmách, které blokují komunikační kanály, je komunikace s externími subjekty nezbytná. Výměna dokumentů je součástí běžné komunikace s dodavateli, zákazníky i státními institucemi. Nahrávání dokumentů na cizí servery je samozřejmostí zejména pro dodavatele větších firem.

Potřeba komunikace tak vede k tomu, že perimetr je velmi děravý. Buď udělají díry přímo správci, nebo si je – a to ještě nebezpečnější – vymýšlejí sami uživatelé.

Navzdory problémům je ochrana důležitá

Ochrana dat samozřejmě důležitá je. Pro některé typy firem – např. finanční instituce – jsou výše popsané způsoby nezbytné. Jejich případ je specifický tím, že mají velké množství dokumentů ve standardních procesech (např. schvalování hypotéky, založení účtu apod.). Díky tomu je možné i ochranu dokumentů automatizovat.

Pro menší firmy a zejména firmy, kde je práce různorodější, jsou uvedené postupy nevhodné. Skutečně efektivní cesty jsou (v pořadí podle důležitosti):

  1. Chránit před přístupem zvenčí všechna místa, kde jsou data umístěna – Zahrnuje zejména firwally, ochranu přístupu ke cloudu, omezení přístup jen k tomu, co lidé potřebují. A samozřejmě průběžnou kontrolu, kdo s čím pracuje.
  2. Strukturovat informace tak, aby uživatel pracoval vždy s malým kouskem informace. Pak je odcizení většího celku velmi pracné – Pokud má uživatel možnost stáhnout třeba celý adresář projektových souborů, snadno vám odnese know-how o novém produktu. A třeba ne on, ale někdo, kdo se dostane k jeho přihlášení.
  3. Výchova lidí, jak s informacemi pracovat – Porozumění rizikům i pravidlům bezpečného nakládání s přihlašovacími údaji je nezbytné pro bezpečné chování.
  4. Uchovávání informací tak, aby se nedaly snadno odcizit – Zejména spolupráce mezi lidmi by měla být nastavena tak, aby informace zůstávaly chráněně. Prim v tomto hrají emaily. Pokud si uživatelé někdy předávají dokumenty emaily, rychle se emailové schránky stanou úložištěm mnoha dokumentů, které by měly mít kvalitní ochranu. Emailové schránky jsou přitom často prvním přístupovým bodem, kterým jsou data napadnuta.

Informační management musí řešit i uchování informací

Uschování důležitých informací má význam zejména pro plnění zákonných a smluvních povinností firmy. Povinnost uchovávat informace se ale nevztahuje pouze na dokumenty, ale na mnoho dalších informací. Např. záznamy o dodržování procesů a postupů dle systému kvality musí firmy uchovávat i 20 let.

Proč je systém řízení kvality strategickou informací

Systém řízení kvality je často opomíjenou hodnotou firmy. Přitom jeho ztráta nebo zanedbání může mít pro firmu dalekosáhlé důsledky.

Jak firmu ohrozil špatný systém řízení kvality

Zavedená firma dodávala produkty na světový trh prostřednictvím svého klíčového odběratele. Odběratel měl s firmou dlouhodobě dobré zkušenosti, ale v rámci pravidelných kontrol se rozhodl udělat i dodavatelské firmy audit.

V rámci auditu se ukázalo, že firma nemá dokumenty o dodržování standardů, které dokladovala. Nikdo se při auditu nezabýval tím, jestli jsou výrobky kvalitní nebo ne, protože kontrola kvality sledovala jejich kvality po celou dobu dodávek. K výrobkům a zejména k jejich vývoji ale chyběly dokumenty, které podle systému kvality měly existovat. Dodavatelská firma tak nesplnila svoje vlastní standardy a samozřejmě ani externí standardy, ke kterým se zavazovala – ISO 9001, ISO 61508, ISO 26262 a standardy zákazníka.

Důsledkem chybějící dokumentace bylo, že firma, i když uměla navrhnout i vyrábět kvalitní výrobky, byla vyřazena ze seznamu oprávněných dodavatelů („White List“) svého klíčového zákazníka. Dokud nebyla schopna prokázat, že nově vybudovala systém řízení kvality, nemohla se ucházet o nové zakázky. Dostala se doslova ze dne na den do problémů, které ohrožovaly její existenci

Nestačí směrnice, nutné jsou všechny doklady

Správa informací musí zajistit, že firma má k pro audit k dispozici nejenom systém řízení kvality, ale i všechny doklady, jak byl dodržován v minulých letech. Pro standardy vývoje i výroby jako např. ASPICE či ISO 26262 jsou nezbytné:

  • Plány projektu
  • Plány výroby
  • Plány, kontrol
  • Úkoly – kdy vznikly, kdo je plnit, kdo kontroloval
  • Zkoušky, testy a kontroly – jak byly naplánovány, kdo je vykonal a jak dopadly.
  • Kontrolní listy ze všech činností

Spisová služba není efektivní pro interní sdílení informací

Spisovka je samozřejmě důležitým systémem, který státní organizace mají ze zákona povinně. Spisovou službu si zřizuje i řada soukromých firem jakožto řešení pro archivaci dokumentů, protože tyto aplikace obsahují nástroje pro skladování dokumentů a dokladování, kdy co dorazilo.

Pro interní správu a práci s informacemi je ale třeba flexibilní systém, který umí uchovávat historii, ale současně podporuje nové verze, revize a další práce s dokumentem.

Pomoct s informačním managementem

Informační management chci řešit

Informační management není primárně otázka správného systému ale celé logiky práce s informacemi. Pomůžeme vám nastavit způsoby, jak s informacemi pracovat.

AyMINE vám umožní efektivní správu informací, můžete se s ním seznámit snadno. Nebudeme vám ale namlouvat, že jeho spuštěním vyřešíte problém dokumentů a jejich bezpečnosti. Stejně jako vám nepomůže neřízený SharePoint, Google Cloud nebo jiné prostředí bez řádného nastavení.

Naši odborníci vám umí s informačním managementem pomoci. Konzultací, kvalitně navrženým systémem i dlouhodobou pomocí.

Může vás zajímat

Dejte nám kontakt, ozveme se

Chcete se rovnou zeptat?

Volejte na tel. +420 605 203 938

nebo využijte další kontakty

www.aymine.com

Řízení projektů & úkolů – Porady – Interní komunikace – Intranet

Automatizace procesů a správy informací

Dodržování standardů a norem

PDQM © PDQM, s.r.o. 1997 – 2007 – 2023 Podmínky užití stránek;