IT dovednosti

Je rozumné či vůbec přípustné, aby řídící pracovníci a lidé zodpovědní za efektivní a bezpečné využívání informačních technologií "... nechali uživatele, ať se 'snaží'?

Jak v IT vzdělávání spolupracovníků

[Diskuse s většinou zákazníků a na většině vzdělávacích a  podobných akcí. Aktuálně jedna alarmující příručka pro informační bezpečnost.]

Klíčová otázka zní:

Je rozumné či vůbec přípustné, aby řídící pracovníci a lidé zodpovědní za efektivní a bezpečné využívání informačních technologií "... nechali uživatele, ať se 'snaží' ..."?

Když si takovou otázku položíte u obráběcího centra za pár miliónů €, resp. když si ji pokusíte v této situaci položit, tak se nejspíš zasmějete. Když se jedná o informace (!!!) v hodnotě několikanásobku ročního rozpočtu každé organizace, připadne nám (???) přijatelná a dokonce máme všichni tendenci na ni odpovědět "A jak jinak?"

Takže se pokusíme tuto protiotázku rozebrat a najít scénáře, u kterých nebude úplně jednoduché mávnout nad nimi rukou (pokud vám alespoň trošku záleží na produktivitě a konkurenceschopnosti vlastí či organizace, ve které působíte, o bezpečnosti nemluvě).

Certifikovaný systém

Byl jsem navštívit manažera pro systém řízení v jedné velké firmě. Mimo jiné jsem dostal letáček věnovaný informační bezpečnosti. Některým tématům se budeme věnovat jinde, co mě ale vyděsilo, byla zadní strana. Chápu, že pro většinu lidí je zbytečné rozlišovat co jsou data a co informace. Chápu, že se nikomu nechce přemýšlet nad tím, jestli jeho spolupracovníci mají dostatečné znalosti a dovednosti, aby samostatně zápasili s tím, jak by asi měli s IT "správně" pracovat. Chápu i to, že většina manažerů si myslí, že jejich práce je zabývat se tím, co přestane fungovat nebo "zajistit 'výcvik'" až v okamžiku, kdy podřízený (už nesnesitelně) otravuje s tím, že mu něco nejde. Jenže mít ve dvou po sobě následujících odstavcích naprostý protimluv, to s dá snést u akademických "analýz", nikoli v praxi ... také je pravda, že jeden z výkonných samostatných pracovníků této firmy označil veškeré pokyny a informace z vedení za "blábol", o který se nikdo nestará, protože "... co si nedomluvíš osobně, nemáš ...".

Co si člověk má myslet o následujícím textu (je doslovný, žádné úpravy; "výše uvedené" jsou základní dovednosti v oblasti IT-gramotnosti ... byť ne se všemi - v daném letáku uvedenými - lze souhlasit):

"Mám-li pocit, že ne všechno z výše uvedeného ovládám a je pro mne obtížné se to naučit samostudiem či metodou pokusů a omylů, pak je na mém nadřízeném, aby dal požadavek na moje vzdělávání adresovaný příslušným personalistům, kteří zorganizují patřičný výcvik.
Jeden z principů našeho systému 
Managementu informační bezpečnosti'Co není výslovně povoleno, je zakázáno!'"

Komentář

  • S principem uvedeným na konci ("... zakázáno!") bez výhrad souhlasím. Nakonec jedno z tradičních doporučení zní, že co uživatel nezbytně nepotřebuje, neměl by mít dostupné. Ergonomie dokonce považuje např. zobrazení takového údaje za chybu. Tzn. pro standardního uživatele je na začátku naprosto všechno zakázané a povoluje se mu (ať už na úrovni obecného programového vybavení nebo v rámci podnikového informačního systému) pouze to, co je nastaveno šablonou pro přidělované role (je celkem důležité, aby fungovala správa rolí a každá role je přidělována pouze na určitý čas, pokud v ní člověk setrvává, musí se obnovit, to stejné platí pro každou změnu zařazení člověka do rolí nebo jakoukoli úpravu jeho vlastností - pokaždé musí zodpovědní manažeři / vlastníci procesů potvrdit, že daný člověk je ve svých rolích aktivní).
  • S celkovým významem "zuřivě" nesouhlasím - jednak je to logický nesmysl, jednak to demonstruje některé velmi nebezpečné nešvary v oblasti IT a zejména péče manažerů o své týmy, jejich produktivitu a dovednosti.
  • Většina uživatelů žádný takový (výše uvedený) "pocit" nemá a mít nebude. Jsou rádi, že jsou rádi a že je nikdo neotravuje.
  • Manažeři jsou také rádi, že je nikdo neotravuje.
  • Lidé od IT nejsou rádi, protože je "pořád někdo otravuje", ale "dá se to vydržet".
  • Naprostá většina uživatelů používá IT velmi neefektivně. Kdo by měl být zodpovědný za to, aby se to změnilo?
  • Přístup (asi IT) ve stylu "... a co všechno jsi už vyzkoušel?" je pro mne natolik nepředstavitelný, že se tím nejsem schopen zabývat.
  • Opravdu je přípustné, aby byl v provozu člověk, který nezvládá (pokud budeme vycházet z toho, že se o to skutečně jedná) elementární dovednosti?! Má být ponechán sám sobě? Kdy a kdo má zajistit základní způsobilost v oblasti IT? Co už není základní způsobilost? Kdo a kdy se má postarat o specifické dovednosti potřebné pro konkrétní pracoviště? Jak zajistit adaptaci dovedností běžných uživatelů na systémový rozvoj IT (např. nové verze systémů)?

Jak pracovat s IT - je potřeba zvyšovat IT-gramotnost?

Hlavní možnosti jsou:

  • Běžný scénář
    Lidé vědí, co mají dělat (znají svoji práci) a jakou "rámcovou" znalost standardních aplikací zhruba potřebují. Předpokládáme, že by měli být schopni sami přijít na to, jaký je (asi ne "optimální", většinou dostačuje) "přijatelný" způsob použití, pokud musí udělat něco, co ještě nedělali (tzn. není žádoucí, aby se daným problémem a způsobem použití zabýval někdo jiný, lidé nepotřebují odbornou podporu v této oblasti). Proto je vyhovující (dostačující), když (víceméně sami) v případě potřeby využijí odpovídajícího veřejného vzdělávání. Akceptujeme stav, že se nikdo zodpovědně nesnaží systematicky zvyšovat jejich produktivitu (mezní náklady - prostě se to nevyplatí).
  • Mimořádná výjimka
    Kvalitní odborník ve své profesi. Dostatečně inteligentní, aby si uvědomil, že musí být efektivnější způsob využívání obvyklých aplikací (než "cestou nejmenšího odporu"). Chápe, že když místo tisícinásobného plýtvání 2 minutami na neefektivní postup věnuje 10 minut do toho najít, jak ty 2 minuty ušetřit, tak se mu to vyplatí. V jednodušších situacích to platí. U složitějších požadavků se to ovšem může zvrtnout. když prostě není prostor na získání dostatečně komplexní znalosti prostředí a možností, tak se řešení hledá těžko. A docela často to dopadne tak, že přestane hledat zjednodušení i u těch triviálních problémů - zejména když to po něm nikdo nechce. Rozumné řešení je mít možnost konzultovat technické aspekty s někým, kdo se nebude bránit pochopení odborné stránky problému a přitom bude mít dostatečně komplexní a systémový přehled o možnostech technologií.
  • Pracovat a nehrát si
    Pro jinou skupinu lidí (převážnou většinu administrativních pracovníků ve většině organizací) je vrcholně nežádoucí, aby se sami snažili zjistit, co standardní (kancelářské) aplikace umí (sem patří i obecné veřejné vzdělávací programy). A ještě mnohem méně žádoucí je, aby svěřené administrativní práce prováděli způsobem, který jim samotným připadne vyhovující. Je nutno jim velmi konkrétně a jednoznačně sdělit, jak mají dělat svoji práci s využitím připravených a ověřených nástrojů a postupů (zaškolit, vycvičit, naučit). Odpovídající prostředí musí připravit zodpovědný manažer ve spolupráci s technicky a metodicky erudovanými spolupracovníky. Tedy musí důkladně znát skutečné (!) potřeby uživatelů. 
16. 01. 2011 Petr Opletal