29 kwietnia 2010

Key-man exposure

Pod terminem "key-man exposure" kryje się jedna z ważniejszych zasad zarządzania - uniezależnienie się od osób "niezastąpionych".
W wielu firmach spotyka się sytuacje w których całość wiedzy na jakiś temat (na przykład na temat funkcjonowania sieci wewnętrznej czy kluczowej aplikacji) jest w posiadaniu pojedynczego pracownika i nikt poza taką osobą nie potrafi nic zmodyfikować czy naprawić.
Jest to bardzo poważne zagrożenia dla bezpieczeństwa. Nie tylko chodzi o sytuacje w których pracownik postanowi zrobić coś brzydkiego, tak jak na przykład były administrator sieci w San Francisco. Często problemy mogą pojawić się w dużo bardziej prozaicznych sytuacjach: urlopu za granicą, nagłej choroby, wypadku czy nawet uczestnictwa w kilkudniowym weselu najlepszego kolegi.
Jeśli coś akurat wtedy stanie się niedobrego to cała organizacja poznaje na czym polega przerwa w ciągłości funkcjonowania.

Powyższym zagadnieniem powinny zajmować się plany ciągłości funkcjonowania, lecz lepiej nawet nie doprowadzać do takiej sytuacji. Dla świętego spokoju tak ważnych osób należy je przekonać do podzielenia się wiedzą. przynajmniej taką jej ilością jaka jest niezbędna do reagowania na awarie. Podstawowe parametry konfiguracyjne, niezbędne instrukcje oraz hasła nie mogą być w posiadaniu wyłącznie jednego pracownika. Albo musi on wyznaczyć zastępcę, który będzie w stanie wykonać prace w niezbędnym zakresie, albo musi je zdeponować w bezpiecznym miejscu (np. na zasadach umów escrow czy też w wirtualnych (bądź fizycznych) sejfach).
Nie wolno igrać z losem, tam gdzie się można wcześniej zabezpieczyć, należy to zrobić. Od razu