Úvaha vychází z diskusí se zákazníky a účastníly vzdělávacích akcí. Bezprostředním podnětem je alarmující příručka pro informační bezpečnost jedné poměrně velké stavební firmy.
Jak v IT vzdělávání spolupracovníků
Klíčová otázka zní:
Je rozumné či vůbec přípustné, aby řídící pracovníci a lidé zodpovědní za efektivní a bezpečné využívání informačních technologií "... nechali uživatele, ať se 'snaží' ..."?
Když si takovou otázku položíte u obráběcího centra za pár miliónů €, resp. když si ji pokusíte v této situaci položit, tak se nejspíš zasmějete. Když se jedná o informace v hodnotě několikanásobku ročního rozpočtu každé organizace, připadne nám přijatelná a dokonce máme tendenci na ni odpovědět "A jak jinak?"
Pokusíme se tuto protiotázku rozebrat a najít scénáře, u kterých nebude úplně jednoduché mávnout nad nimi rukou (pokud vám alespoň trošku záleží na vlastní produktivitě či konkurenceschopnosti organizace, ve které působíte, o bezpečnosti nemluvě).
Certifikovaný systém
Byl jsem navštívit manažera pro systém řízení v jedné velké firmě. Mimo jiné jsem dostal letáček věnovaný informační bezpečnosti. Některým tématům se budeme věnovat jinde, co mě ale vyděsilo, byla zadní strana. Chápu, že pro většinu lidí je zbytečné rozlišovat co jsou data a co informace. Chápu, že se nikomu nechce přemýšlet nad tím, jestli jeho spolupracovníci mají dostatečné znalosti a dovednosti, aby samostatně zápasili s tím, jak by asi měli IT "správně" používat. Chápu i to, že většina manažerů si je jistá, že jejich práce je zabývat se tím, co přestane fungovat nebo "zajistit výcvik" až v okamžiku, kdy podřízený (už nesnesitelně) otravuje s tím, že mu něco nejde. Jenže mít ve dvou po sobě následujících odstavcích naprostý protimluv, to s dá snést u akademických "analýz", nikoli v praxi ... také je pravda, že jeden z výkonných samostatných pracovníků této firmy označil veškeré pokyny a informace z vedení za "blábol", o který se nikdo nestará, protože "... co si nedomluvíš osobně, nemáš ...".
Co si člověk má myslet o následujícím textu (je doslovný, žádné úpravy; v textu "výše uvedené" jsou běžné základní dovednosti IT-gramotnosti ... byť ne se všemi - v daném letáku uvedenými - nutno souhlasit):
"Mám-li pocit, že ne všechno z výše uvedeného ovládám a je pro mne obtížné se to naučit samostudiem či metodou pokusů a omylů, pak je na mém nadřízeném, aby dal požadavek na moje vzdělávání adresovaný příslušným personalistům, kteří zorganizují patřičný výcvik.
Jeden z principů našeho systému Managementu informační bezpečnosti: 'Co není výslovně povoleno, je zakázáno!'"
Komentář
- S principem uvedeným na konci ("... zakázáno!") bez výhrad souhlasím. Nakonec jedno z tradičních doporučení zní, že co uživatel nezbytně nepotřebuje, neměl by mít dostupné. Ergonomie dokonce považuje např. zobrazení takového údaje za chybu. Tzn. pro standardního uživatele je na začátku naprosto všechno zakázané a povoluje se mu (ať už na úrovni obecného programového vybavení nebo v rámci podnikového informačního systému) pouze to, co je nastaveno šablonou pro přidělované role (je celkem důležité, aby fungovala správa rolí a každá role je přidělována pouze na určitý čas, pokud v ní člověk setrvává, musí se obnovit, to stejné platí pro každou změnu zařazení člověka do rolí nebo jakoukoli úpravu jeho vlastností - pokaždé musí zodpovědní manažeři / vlastníci procesů potvrdit, že daný člověk je ve svých rolích aktivní).
- S celkovým významem "zuřivě" nesouhlasím - jednak je to logický nesmysl, jednak to demonstruje některé velmi nebezpečné nešvary v oblasti IT a zejména péče manažerů o své týmy, jejich produktivitu a dovednosti.
- Většina uživatelů žádný takový (výše uvedený) "pocit" nemá a mít nebude. Jsou rádi, že jsou rádi a že je nikdo neotravuje.
- Manažeři jsou také rádi, že je nikdo neotravuje.
- Lidé od IT nejsou rádi, protože je "pořád někdo otravuje", ale "dá se to vydržet".
- Naprostá většina uživatelů používá IT velmi neefektivně. Kdo by měl být zodpovědný za to, aby se to změnilo?
- Přístup (asi IT) ve stylu "... a co všechno jsi už vyzkoušel?" je pro mne natolik nepředstavitelný, že se tím nejsem schopen zabývat.
- Opravdu je přípustné, aby byl v provozu člověk, který nezvládá (pokud budeme vycházet z toho, že se o to skutečně jedná) elementární dovednosti?! Má být ponechán sám sobě? Kdy a kdo má zajistit základní způsobilost v oblasti IT? Co už není základní způsobilost? Kdo a kdy se má postarat o specifické dovednosti potřebné pro konkrétní pracoviště? Jak zajistit adaptaci dovedností běžných uživatelů na systémový rozvoj IT (např. nové verze systémů)?
Jak pracovat s IT
Je vůbec potřeba zvyšovat IT-gramotnost? Obvyklé přístupy jsou:
- Běžný scénář
Lidé vědí, co mají dělat (znají svoji práci) a jakou "rámcovou" znalost standardních aplikací zhruba potřebují. Předpokládáme, že by měli být schopni sami přijít na to, jaký je "přijatelný" způsob použití. Asi ne "optimální". I pokud musí dělat něco, co neznají (tzn. není nutné, aby se daným problémem a způsobem použití zabýval někdo jiný, lidé nepotřebují odbornou podporu v této oblasti). Proto je vyhovující (dostačující), když (víceméně sami) v případě potřeby využijí odpovídajícího veřejného vzdělávání. Akceptujeme stav, že se nikdo zodpovědně nesnaží systematicky zvyšovat jejich produktivitu (předpokládáme, že se to vzhledem k mezním nákladům prostě nevyplatí - což není příliš pravděpotobné).
- Mimořádná výjimka
Kvalitní odborník ve své profesi. Dostatečně inteligentní, aby si uvědomil, že musí být efektivnější způsob využívání obvyklých aplikací (než "cestou nejmenšího odporu"). Chápe, že když místo tisícinásobného plýtvání 2 minutami na neefektivní postup věnuje 10 minut do toho najít, jak ty 2 minuty ušetřit, tak se mu to vyplatí. V jednodušších situacích to platí. U složitějších požadavků se to ovšem může zvrtnout. Když není prostor na získání dostatečného pochopení prostředí a možností, tak se řešení hledá těžko. A docela často to dopadne tak, že přestane hledat zjednodušení i u těch triviálních problémů - zejména když to po něm nikdo nechce. Rozumné řešení je mít možnost konzultovat technické aspekty s někým, kdo se nebude bránit pochopení odborné stránky problému a přitom bude mít dostatečně komplexní a systémový přehled o možnostech technologií.
- Pracovat a nehrát si
Pro jinou skupinu lidí (převážnou většinu administrativních pracovníků ve většině organizací) je vrcholně nežádoucí, aby se sami snažili zjistit, co standardní (kancelářské) aplikace umí (sem patří i obecné veřejné vzdělávací programy). Ještě mnohem méně žádoucí je, aby svěřené administrativní práce prováděli způsobem, který jim samotným připadne vyhovující. Je nutno jim velmi konkrétně a jednoznačně vysvětlit a předvést, jak mají dělat svoji práci s využitím připravených a ověřených nástrojů a postupů (zaškolit, vycvičit, naučit, kontrolovat, rozvíjet). Odpovídající prostředí musí připravit zodpovědný manažer s technicky a metodicky erudovanou podporou. Především musí důkladně znát skutečné potřeby uživatelů.