Bezpečnost: Sledování aktivit zaměstnanců na počítači
Poměrně často se v praxi setkávám se situací, kdy kolegové z IT oboru, správci, neví, že zaměstnanci mají právo na soukromí. Není tedy možné zaměstnance kontrolovat co dělají na počítačích kdykoli a jakkoli je napadne, ale má to svoje pravidla.
V moderním digitálním pracovním prostředí platí, že zaměstnavatel má právo zajistit, aby firemní počítače a sítě sloužily výkonu práce, a zároveň musí respektovat právo zaměstnance na soukromí. Každé osobní užití zařízení proto musí být výslovně povoleno – nejen ve vnitřní směrnici, ale i nadřízeným daného zaměstnance.
Pokud má zaměstnanec dokončeny všechny své úkoly, obvykle získává implicitní souhlas nadřízeného pro mimopracovní aktivity, například prohlížení nesouvisejících webových stránek či čtení emailů (skrze webmail). Jakékoli mimopracovní bez schválení však může být považováno za porušení interní směrnice a zákoníku práce.
Používání firemního e-mailu k soukromé korespondenci není standardně povoleno. Emailové schránky jsou majetkem zaměstnavatele a její obsah může být monitorován aniž by tím bylo porušeno listovního tajemství. Tento přístup umožňuje například v případě nepřítomnosti zaměstnance zpřístupnit poštu kolegům, aby mohli plynule navázat na jeho agendu.
Právní rámec (Zákoník práce § 316 a GDPR) vyžaduje, aby jakákoli kontrola byla předem oznámena a byla cílená a přiměřená účelu. Transparentní komunikace pravidel a vzájemná důvěra jsou klíčem k tomu, aby organizace ochránila své zdroje a zaměstnanci si zachovali pocit soukromí.
Z předchozích odstavců to tedy vypadá, že sledování není možné nějak podrobně a čistě teoreticky sledování s jakými soubory zaměstnanec pracoval a do jakých složek přistupoval by mohlo být považováno za narušení soukromí. V jisté míře a z dlouhodobého hlediska je to pravda. Existuje však jistá výjimka a tou je bezpečnost a týká se bezpečnostních nástrojů.
Bezpečnostní nástroje typu Endpoint Detection and Response/Extended Detection and Response (EDR/XDR) sledují aktivitu uživatelů velice podrobně a dalo by se to považovat za sledování nad rámec oprávněných zájmů zaměstnavatele a tedy narušením soukromí zaměstnanců. Nicméně fungování těchto nástrojů funguje jinak. Sbíraná data nejsou běžně k dispozici a správci se k nim dostanou až jedině v okamžiku vzniku bezpečnostní události kdy vidí pouze do omezené míry události které vzniku bezpečnostního incidentu předcházely. Tím je zajištěn kompromis mezi soukromím zaměstnance a bezpečností.
V rámci rizikově orientovaného přístupu k IT bezpečnosti bývá míra monitoringu přizpůsobena roli zaměstnance: běžný administrativní pracovník podléhá standardnímu sledování činností v nezbytném rozsahu (ověřování přístupu na pracovní aplikace, logování chyb), zatímco u účetních (Accountant), personálních (HR), správců IT, či jiných osob s přístupem k citlivým datům je vhodné uplatnit přísnější kontrolní mechanismy (detailní audit přihlašování, sledování změn v systémech, prohlížení aktivit na vyšších úrovních oprávnění). Tento diferencovaný přístup umožňuje rychle odhalit nezvyklé či podezřelé operace tam, kde by případný útok či zneužití způsobil největší škodu, aniž by se zbytečně zatěžovali všichni zaměstnanci stejnou mírou kontroly.
Odkazy