Van ennek értelme?

Egy új – az első pillantásra meglepőnek és sokak számára értelmetlennek tűnő – jelenség kezd elterjedni az utóbbi időben: Egyre több takarítással foglalkozó vállalkozás hirdeti magáról, hogy ő „biztonságosan takarít”! (Sőt! Ezt tanúsíttatni is akarja.)

Mi is lehet ez a "biztonságos takarítás"?

Valószínűleg nem az, hogy takarítás közben nem törnek össze semmit! (Hiszen ez a "normál" a takarításnak is alapkövetelménye.) Itt valami egészen másról van szó.

Sok vállalat, pénzintézet, vagy - általában - a bizalmas adatokkal foglalkozó szervezetek számára nagyon fontos az információi biztonságának szigorú védelme, legyen szó a számítógépes hálózaton tárolt adatokról, vagy akár papíralapú iratokról, vagy az üzleti titkaik bármilyen formájáról.

Ők mindent megtesznek azért, hogy ezekhez a "titkokhoz" csak az ott dolgozó, jogosult felhasználók férhessenek hozzá, más pedig még csak a közelébe se férhessen a bizalmas adatoknak, ill. az azokat feldolgozó gépeknek.
Ennek érdekében alkalmaznak drága technikai eszközöket, bonyolult "bürokratikus" szabályokat és a személyi kontroll változatos - néha megalázó - formáit.

Munka után viszont minden alkalmazott hazamegy, és akkor jönnek a takarítók kitakarítani az irodákat. Az ő mozgásukat, tevékenységüket - valljuk be őszintén - sokkal kisebb kontroll kíséri. (Tessék csak belegondolni: a takarító néni olyan helyiségekbe is bemehet, ahova az igazgatót is csak "kísérettel" engedjük be - pl. szerverterem.) Tehát, az (esetleg) jól felépített biztonsági rendszerünknek a takarítás biztos, hogy gyenge pontja.

Veszélyes PÉLDÁK!

Gondoljuk csak el, hogyha például valaki észrevétlenül be szeretne jutni egy ilyen, szigorúan védett irodába, akkor a takarítóvállalat dolgozójaként általában erre sokkal könnyebb a lehetősége. Akár felveteti magát alkalmazottnak a takarítócéghez, és megszervezi, hogy az adott vállalathoz kimenő csapatba osszák be. Akár sikeresen meg is környékezhet egy adott takarítócégnél dolgozó takarítót bizonyos, takarítás közben elvégzendő feladatokra.

Bármelyik ellen nehéz védekezni, és csak szigorú eljárások szigorú és tudatos betartásával lehet.

Másik probléma lehet a takarítás közbeni odafigyelés a bekapcsolva maradt működő berendezésekre. Például egy este a takarítónő jön, és a falon lévő egyik konnektorból kihúz egy csatlakozót, hogy szabad konnektort biztosítson a porszívó számára. Majd a porszívózás befejeztével ezt rendesen vissza is dugja. Képzeljük el, mi történne, ha ez az átmenetileg kihúzott dugó pl. egy kórház intenzív osztályán a lélegeztető gép csatlakozója lenne, vagy épp egy szerverszobában egy folyamatos külső szolgáltatást biztosító szerveré!

Biztonság márpedig legyen MINDIG!

Fontos tehát ezeknek a biztonságot szigorúan kiépítő és működtető vállalatoknak, hogy a munkavégzés közben működő biztonsági szint a takarítás alatt is megmaradjon.

A takarítást végezheti belső személyzet, akiknél a belső szabályzatokban elő lehet írni követelményeket, de a gyakorlati tapasztalatok alapján - a "rejtett munkavégzésükből" adódóan - ezek a szabályok kevéssé térnek ki a biztonság kérdéseire. Ezeket a szabályozási hiányosságokat - többé-kevésbé - sikeresen pótolja a szervezethez való lojalitásuk megléte.

De a takarítók manapság már általában külsősök, és így a vállalat belső szabályzatai és előírásai rájuk nem vonatkoznak! Ilyenkor az adott vállalat magától a takarító cégtől várja el (kénytelen elvárni), hogy az ne csak a takarítás szakszerűségét garantálja, hanem a teljes működése során az ő (mint a takarító ügyfele) információinak védelmét, biztonságát is. Ugye közben nem felejtettük el, hogy olyan takarítókról beszélünk, akik állítják magukról, hogy "biztonságosan takarítanak".

De még mindig nem tudom, hogy az ígért biztonságos takarítás mit jelent!

Mit, milyen garanciát várjon el a megrendelő, illetve milyen garanciát tud nyújtani egy takarítóvállalat arra,

• hogy a takarítás közben minden "szakszerűen" történik,
• semmilyen berendezésben vagy működésében semmilyen kár vagy fennakadás nem keletkezik,
• a takarítás során vagy következtében senki illetéktelen semmilyen bizalmas információhoz nem férhet hozzá, illetve annak még a lehetőségét sem hozta létre?

Ha a megbízó oldaláról nézzük, akkor az a kérdés, hogy mi ad minderre elégséges garanciát? A tényleg biztonságos takarítást igénylő vállalatoknak valóban a biztonságra, és nem álpapírokra van szükségük. Hiszen egy „gikszer” számukra milliókba, vagy akár a létükbe is kerülhet. Egy ellopott információ sokkal veszélyesebb lehet, mint bármely (pl. kézzelfogható) ellopott tárgy. Elsősorban azért, mert eltűnése nem vehető észre, nem hiányzik sehol, és sokszor csak a hatását észleljük a vele való visszaélés után.

Hogyan tudnak tehát meggyőződni arról, és ezek után főképp megbízni abban, hogy a kiválasztott és megbízott takarítócég valóban a kívánt biztonságot garantálja számukra? Nem egyszerű a kérdés, mert igazában sok biztonságot és biztonságos takarítást igénylő vállalat nem is tudja, hogy ezt hogyan kell megvalósítani. Ezért a követelmények sem egyértelműek, és az elvárások is csak - valljuk be -, a biztonság nehezen megfogható és mérhető eredményére vonatkoznak, a megvalósítás módjára szakértelem hiányában alig.

A megbízhatóságot előzetesen két dolog garantálhatja: tanúsító audit vagy beszállítói audit végrehajtása.

Általános gyakorlat a takarítóvállalat tanúsítottságának a kérése. Ez azt jelenti, hogy a megfelelőség és megbízhatóság vizsgálata áthárul teljes mértékben a tanúsítóra. (Fontos megjegyzés: ez akkor működik jól, ha hiszünk-hihetünk az adott tanúsító állításában, a tanúsítvány értékében! De ez egy másik történet.)
Tanúsítottság esetén "áttanulmányozhatjuk" az irányítási rendszerük kézikönyvéből a biztonságról alkotott elképzeléseiket és a megvalósítás módozatait. (Közérthető a nyelvezete és a szakmai helyességet a tanúsító "garantálja".)

Azonban itt is előjön még az a dilemma, hogy milyen tanúsítást követeljünk meg? A „biztonsági takarítás” folyamatára kiépített minőségirányítási rendszer tanúsítását, vagy inkább a takarító vállalat információbiztonsági irányítási rendszerének tanúsítását?

Tulajdonképpen mindegy, mert mindkét tanúsított rendszerben "megjeleníthető a probléma", de "elegánsabb" az információbiztonsági irányítási rendszer - ha már biztonsági kérdéseket akarunk megoldani.

További - talán a legszigorúbb követelmény - ha a megrendelő saját maga kíván meggyőződni a takarítást végző vállalat működéséről, folyamatairól, és ezek miatt saját maga egy ún. beszállítói auditot tart. Ekkor saját munkatársai, de inkább megbízott külső szakértői végzik azt a szigorú átvilágítást, aminek követelményeit maga a megbízó határozza meg.

Ez a metódus akkor (is) alkalmazható, ha a takarító vállaltnak nincs tanúsított rendszere. A megbízó nem szeretné a jövőben sem "kiképezni" a munkatársait a biztonságos takarítás "rejtelmeire" - azért használ külső szakértőket. Illetve a végén (szintén a szakértők segítségével) olyan szerződéshez jut, amelyben a megbízó oldalról a követelmények, a takarító oldalról a feladatok pontosan meghatározottak.

Nem szabad elfelejteni.

Amennyiben (valós) garanciát akarunk kapni a takarítás elvégzése mellett a biztonsági követelmények betartására is, akkor az a takarító cégre is számos plusz feladatot ró. Igen! Nem szabad figyelmen kívül hagyni, hogy többe kerül, mint a "normál" takarítás. Erre szokták mondani: valamit-valamiért.

Továbbá arról sem szabad megfeledkezni, hogy ezek a feladatok szakmailag igen sokrétűek (megbízó és megbízott oldalról is). Szükség van általános őrzés-védelmi, személyi és HR biztonsági, munkaszervezési és egyéb ellenőrzési, valamint informatikai ismertekre, és mindezek konkrét szituációkban történő alkalmazására is. Az ehhez való felkészülés során javasolt olyan tanácsadó, szakértő kiválasztása, akinek ezeken a területeken gyakorlati ismerete és számos tapasztalata is van.

Ne szégyelljük, hogy az olyan hétköznapi területen, mint a takarítás (biztonsági) szakembereket veszünk igénybe.

Dr. Horváth Zsolt