Měly by firmy zakázat svým zaměstnancům po dobu dovolené přístup do systému?
Požadavek na omezení přístupu zaměstnanců do informačního systému v době dovolené se asi poprvé objevil v bankovním sektoru, a to v roce 1995, kdy ho formulovala FDIC.
Ve své zprávě pak uvedla, že cílem tohoto opatření je zabránit nebo alespoň znesnadnit páchání interních podvodů, či je přinejmenším včas odhalit.
Rozhodnutí to bylo celkem logické, protože ke spáchání některých podvodů je nutné vytvářet falešné záznamy a obcházet nejrůznější kontroly a to se v době nepřítomnosti na pracovišti dost dobře dělat nedá, a tak roste šance, že se takový podvod podaří včas odhalit.
Někteří manažeři jsou navíc přesvědčeni, že díky tomuto opatření by si i zaměstnanci mohli dovolenou více užít a načerpat nové síly, protože nebudou moci v době dovolené pracovat, což by se dalo lze považovat za takovou lehce pozitivní externalitu tohoto opatření.
Vzhledem k tomu, že většina firem umožňuje svým zaměstnancům pracovat z domova a přistupovat do systému bezpečným způsobem přes internet, je zřejmé, že jen zabránit fyzické přítomnosti zaměstnance na pracovišti ke splnění tohoto doporučení nestačí.
Vyvstává tedy otázka, jakým způsobem tento požadavek splnit. Jako nejjednodušší řešení se nabízí přístupy zaměstnance do systému po dobu dovolené zablokovat nebo jeho přístupy do systému alespoň monitorovat.
Je zřejmé, že v okamžiku, kdy dojde k detekci přístupu nebo k odblokování přístupů, tak došlo k porušení tohoto opatření. S rostoucím počtem přístupů do nejrůznějších systémů a používání vlastních zařízení pro pracovní účely v rámci programu BYOD to však může být problém.
Především proto, že je nutné mít plně automatizovaný proces blokování a odblokování přístupů anebo mít nasazeno nějaké SIEM řešení, které bude schopno detekovat, že k nežádoucímu přístupu do systému v době dovolené skutečně došlo.
Dále je nutné si uvědomit, že v okamžiku, kdy dojde během dovolené k přihlášení do systému pod účtem daného pracovníka, tak to může znamenat i to, že někdo jiný zná přihlašovací údaje daného pracovníka.
V poslední době se ozývají hlasy, že toto doporučení, týkající se zákazu přístupu do informačních systémů v době dovolených, by se mělo zavést i v jiných firmách než jsou jen finanční instituce.
Uvažují o tom např. i některé velké IT společnosti, což podle mne nemá moc smysl, protože vyjdeme-li ze známých případů, tak zjistíme, že IT zaměstnanci páchají podvody jinak, a toto opatření bude v jejich případech neúčinné a bude představovat jen zbytečnou byrokracii a zvýšení nákladů. Ovšem pokud by mělo být hlavním cílem tohoto opatření, aby si zaměstnanci dovolenou skutečně užili a zotavili se, tak proč ne.
A jak je to u vás? Má podle vás toto opatření smysl? Nestačilo by toto chování vyžadovat jen u zaměstnanců, kteří se nacházejí na určitých pozicích?
K článku “Měly by firmy zakázat svým zaměstnancům po dobu dovolené přístup do systému?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.