Ačkoliv se pracovní morálka Čechů za posledních pět let zlepšila, stále tráví v pracovní době téměř hodinu času tím, že si kontrolují sociální sítě, čtou soukromou poštu, prohlíží zpravodajské severy a multimédia, nakupují a porovnávají zboží v e-shopech, využívají on-line komunikátory typu Skype nebo hrají počítačové hry. Majitelé firem, manažeři i správci firemní výpočetní techniky musejí zvážit, jak velkou míru prokrastinace jsou u svých zaměstnanců ještě ochotni akceptovat. Podniky poměrně běžně využívají kamerové systémy pro ostrahu svých fyzických prostor. Stejně mohou postupovat i v případě provozovaných informačních technologií.

Podle Jana Kozáka, produktového manažera společnosti SODATSW, má sledování podnikových počítačů a sítí smysl zejména ze dvou důvodů. První souvisí s produktivitou a efektivitou práce. Hraní her, brouzdání na internetu nebo aktivity na sociálních sítích mohou výkon zaměstnance významně snížit. Druhý důvod je podstatně závažnější. Řada zaměstnanců pracuje s více či méně citlivými daty a zejména ti nespokojení se mohou nechat zlákat k jejich zneužití či zcizení.

V praxi ale může pořízení monitorovacích nástrojů vést i k zajímavým úsporám. Například ve strojírenské společnosti Karel Kaňák s jejich pomocí mimo jiné sledují vytížení programů. "Využíváme drahé sdílené licence a zjišťujeme, zda zaměstnanci s aplikací skutečně pracují, nebo ji mají pouze spuštěnou," říká Libor Vaculovič, správce IT v podniku. Díky automaticky generovaným reportům o navštívených webových stránkách lze rovněž identifikovat nespokojeného pracovníka, který se poohlíží po novém uplatnění.

jak postupovat při "lovu" nepoctivců

1. Seznamte zaměstnance s technickými i organizačními parametry monitorování. Upřednostněte formu směrnice, ale písemná podoba není podmínkou.
2. Surfování na internetu striktně nezakazujte nebo technicky neznemožňujte. Disciplínu zaměstnanců udržuje vědomí, že je na jejich on-line aktivity vidět.
3. Zaměřte se na takzvané privilegované pracovníky. Patří mezi ně zejména externí správci, administrátoři, ale i interní specialisté s nejvyššími právy. Z průzkumů vycházejí jako nejčastější původci škod.
4. Pokud to systém umožňuje, nastavte si automatická upozornění. Získáte okamžitý přehled o incidentech nebo „přešlapech“, bez nutnosti prohledávání záznamů událostí.
5. Máte-li podezření na nekalou činnost některého ze zaměstnanců, můžete jej sledovat mnohem detailněji. Tyto případy legislativa akceptuje.
6. Zaměřte se na práci uživatelů s citlivými daty. Know-how, zákonem chráněné informace a databáze klientů jsou typickými daty, která by neměla opouštět organizaci mimo běžné pracovní procesy.
7. Výkyvy ve využití systémů musí mít racionální vysvětlení. V opačném případě jde o podezřelou činnost.
8. Výstupy sledování pravidelně probírejte se správci IT a manažery organizačních jednotek. Zvýšíte tak možnost odhalení slabých míst i neefektivního nastavení infrastruktury nebo procesů.

Hledání souvislostí odhalí nepravost

Pohyb uživatelů na internetu zvládnou správci podnikové sítě zpravidla jednoduše omezit nebo sledovat. Stačí se informovat na možnosti nastavení proxy serveru nebo síťových zařízení.

Situace se ale komplikuje s rostoucím počtem zaměstnanců on-line, kteří navíc mohou disponovat různými stupni oprávnění. Na trhu však existují nástroje pro monitorování přístupu na internet, které dokážou tuto činnost do značné míry automatizovat. Lze je pořídit i ve formě služby a často bývají součástí jiných bezpečnostních řešení, zejména firewallů. Z tuzemských produktů lze uvést například webový filtr Kernun Clear Web.

Kontrola využití podnikové sítě ovšem neřeší všechny prohřešky, kterých se může nepoctivý zaměstnanec dopustit. Pouze zabrání uživatelům v přístupu k nežádoucím službám a obsahu. Lepší možnosti nabízí systémy označované zkratkou SIEM (Security Information and Event Management), které dokážou shromažďovat data ze serverů, firewallů, databází či počítačových stanic a hledat vzájemné vztahy mezi událostmi, jež se přihodily.

Když zaměstnanec použije u počítače přenosnou paměť flash, ještě není důvod ke znepokojení. Zbystřit je ale nutné ve chvíli, kdy se ukáže, že ve stejné době dotyčný vstoupil do zákaznické databáze a strávil v ní nějaký čas. Ani zde ale nemusí kontrola zafungovat. Když zaměstnanec odešle e-mailem zkomprimovaný soubor s údaji zákazníků, bude to program považovat za zcela regulérní aktivitu, neboť z pohledu techniky se tento úkon ničím neprovinil. Tyto nedostatky proto odstraňují nástroje a programy, které spadají do softwarové kategorie DLP - Data Loss Prevention neboli prevence ztráty dat.

Kategorie DLP je poměrně široká, protože technologicky se na odhalování potenciálních hrozeb podílí celá řada běžných i specializovaných řešení. Mezi ta standardní patří firewall nebo antivirový systém, které chrání firemní obsah především před vnějšími útoky.

K pokročilým patří nástroje pro detekci neobvyklých aktivit, jejichž součástí jsou také monitorovací systémy, obvykle označované zkratkou UAMS - User Activity Monitoring Software. Jak napovídá prostý překlad tohoto názvu, slouží k záznamu činností uživatelů. Monitorovací systémy lze nastavit na různou míru detailu. Běžně se využívají ke sledování pohybu na internetu nebo k vyhodnocování využití programů.

Martin Hnízdil, produktový manažer firmy truconneXion, doporučuje namísto monitorování všech oblastí a aktivit sledování konkrétního rizika. Obvykle v podniku existují určitá podezření na neefektivity a právě na ně se lze zaměřit. Podle slov Romana Kellnera, IT manažera strojírenské společnosti Mesa Parts, napomáhají výstupy provozovaného systému UAMS také ve chvíli, kdy firma nařkne zaměstnance ze zneužívání IT zdrojů a potřebuje důkazy, že opravdu došlo k porušení pravidel.

Samostatnou kategorii představují specializovaná řešení DLP, která dokážou citlivá data identifikovat, sledovat jejich pohyb a zabránit i případnému pokusu o zneužití. Až donedávna tyto systémy patřily do světa velkých organizací, ale stejně jako jiné technologie se šíří i do menších podniků. V tuzemsku se jim věnuje brněnská firma Safetica. Při používání řešení DLP existují ve firmě zpravidla hierarchie oprávnění, kterými příslušní manažeři povolují nebo zamítají manipulaci s daty. Například pokus o odeslání databáze zákazníků je dočasně zablokován a postoupen vyšší instanci. Kompletní ochranu před únikem citlivých dat lze pořídit zhruba od 15 tisíc korun měsíčně.

Ceny, dostupnost a efekty

Aplikace z kategorie DLP lze úspěšně používat i v prostředí malých a středních firem. Odborníci nicméně varují před volně dostupnými nástroji, které mohou obsahovat špionážní software, případně umožní sledování i nežádoucím osobám. Zkušební nebo funkčně omezené verze nabízejí i renomovaní výrobci. Cenové relace monitorovacích systémů začínají na několika stovkách korun za rok a počítač. Pro podniky tak nepředstavují žádnou významnou finanční zátěž. Z dlouhodobého pohledu považují náklady na monitorovací systém za zanedbatelné například IT manažeři Roman Kellner ze společnosti Mesa Parts a Radek Krejčí z firmy ZEZ SILKO.

Instalaci v menších podnicích zvládne podle slov Martina Hnízdila ze společnosti truconneXion i mírně pokročilý uživatel. Monitorovací aplikace navíc nijak neovlivňuje výkon počítače, na němž operuje. Z hlediska technického provedení lze volit mezi samostatnými aplikacemi pro každý počítač, centrálně spravovaným serverovým systémem s aplikacemi na koncových stanicích a cloudovými službami. Druhá uvedená možnost patří v tuzemsku mezi nejběžnější.

Samotným nákupem či pronajmutím softwaru ale náklady nekončí. Jakub Mahdal, ředitel společnosti Safetica, upozorňuje, že k celkovým nákladům je třeba přičíst čas zodpovědných pracovníků, kteří získané informace vyhodnotí. Automatické a inteligentní reportování nabízejí spíše dražší řešení. Jejich výhodou je podle Jakuba Mahdala nejen úspora času, ale i případné včasné odhalení slabých míst v organizaci.

Prosté monitorování produktivity zaměstnanců, které vede k usměrnění jejich činností a následnému zvýšení produktivity, lze rovněž vyčíslit. Podle Martina Hnízdila ze společnosti truconneXion se po instalaci sledovacího systému běžně zvýší pracovní produktivita v podniku o 30 procent. V běžném podniku, v němž zaměstnanci pracují za průměrnou mzdu, se příslušná investice může vrátit během jediného týdne. Výsledky monitorování nicméně obvykle vedou k dalším úsporám, zejména v oblasti nevyužívaných systémů.

Sledování a legislativa

Předtím, než se pustíte do odhalování digitálních nepravostí ve vlastní firmě, je nutné zjistit, zda je právo na vaší straně. Sledování činnosti zaměstnanců ošetřuje § 316 zákoníku práce. Ten říká, že zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky, včetně výpočetní a telekomunikační techniky. Dodržování zákazu lze přiměřeným způsobem kontrolovat. A právě otázka přiměřenosti patří k problematickým tématům.

"O všech monitorovacích nástrojích platí, že by měly být dodrženy zásady transparentnosti, informovanosti uživatelů a minimalizace množství sbíraných dat vzhledem k účelu sledování," objasňuje termín přiměřenost Jakub Mahdal z firmy Safetica. Výjimky, v nichž lze například snímat obrazovky počítačů, specifikuje také zákoník práce, konkrétně § 316.

Z dosavadní tuzemské soudní praxe lze vyvodit, že mezi přiměřené způsoby kontroly patří sledování adres navštívených na internetu, využívání chatu (ne čtení jeho obsahu), kontrola obsahu pevného disku a pracovní e-mailové schránky. Za nepřiměřené by tuzemské právo považovalo záznam stisku kláves (takzvané keyloggery) nebo ukládání kopií obrazovky. "Zaměstnavatel smí kdykoli monitorovat čas strávený na internetu a navštívené stránky, případně využívání programů. Ke kontrole vlastního obsahu e-mailů, jiné elektronické korespondence či externích paměťových médií smí přistoupit až na základě předchozího upozornění," říká advokát Jiří Matzner.

Provoz monitorovacího systému musí také splňovat požadavky zákona č. 101/2000 Sb. o ochraně osobních údajů. S Úřadem pro ochranu osobních údajů konzultovali nasazení monitorovacího systému například ve strojírenské společnosti Mesa Parts. V elektrotechnickém podniku ZEZ SILKO se právním konzultacím vyhnuli. Jimi provozované řešení sleduje výhradně vytížení počítačů a aplikací.

null

/Vyšlo v tištěné příloze HN Podnikání/