Page 1

Slabá místa firemní IT bezpečnosti GFI Software

Centrum Paraple vyřeší svou IT bezpečnost přechodem na GFI Unlimited

GDPR v praxi ADATA míří mezi největší výrobce SSD Jak vést správně mítink

To nej z Professional Computingu


Obsah Téma Slabá místa firemní IT bezpečnosti GDPR v praxi

1 8

Případová studie Centrum Paraple vyřeší svou IT bezpečnost přechodem na GFI Unlimited

4

ÚVODNÍK

Rozhovor ADATA míří mezi největší výrobce SSD Marketing

Jak vést správně mítink

12 16

Milí

čtenáři, č

ervencové vydání Toho nejlepšího z Professional Computingu s sebou přináší opět plno zajímavých článků. Hned v úvodním textu se s námi můžete díky kolegyni Michale Benešovské podívat na zoubek slabým místům ve firemní IT bezpečnosti. Díky tomuto článku určitě najdete hned několik pochybení ve své firmě. Druhou v pořadí je případová studie společnosti GFI, jejíž řešení pomohlo nejen optimalizovat e-mailovou komunikaci, ale zasloužilo se také o zvýšení bezpečnosti sítě a dat v pražském Centru Paraple, které je zaměřeno na přímou osobní pomoc vozíčkářům.

V dalším textu se můžete dozvědět o tom, zda a do jaké míry byla státní správa připravena na aplikaci pravidel zajišťujících soulad s nařízením GDPR. Kromě státní správy se nám však podařilo úspěšně oslovit i některé banky, nemocnice, zdravotní pojišťovny, e-shopy či vysoké školy. Předposledním kouskem této „skládačky“ je rozhovor s CEO společnosti ADATA, v němž se dozvíte o aktuální pozici tohoto výrobce na trhu i o směru, jímž se ADATA vydává. Pokud si přečtete rozhovor až do konce, můžete dokonce společnost poznat z úplně nového pohledu.

Závěrečný part patří několika stručným radám, jimiž by se měli řídit zejména vedoucí pracovníci, kteří nejčastěji řídí pracovní mítinky. Zjistíte, jak byste se měli v této roli správně chovat, ale i to, že je zapotřebí se na ni patřičně připravit a vše správně naplánovat.

Toto číslo je obzvláště nabité čtivými články, tak si je patřičně užijte. Příjemné čtení! Jakub Špaček spacek@dcd.cz

Professional Computing To nej z Professional Computingu Vyšlo 13. 7. 2018

IČ: 25560701 ředitel: Karel Rumler www.dcd.cz

Redakce: Jakub Špaček, spacek@dcd.cz

Vydavatel: DCD Publishing Lublaňská 21, 120 00 Praha 2

Adresa redakce: Lublaňská 21, 120 00 Praha 2 tel.: 224 936 895, fax: 224 936 908 www.procomputing.cz

Grafika a sazba: Radek Štěpánek, stepanek@dcd.cz © DCD Publishing, s. r. o.


Téma

autor: Michala Benešovská

Slabá místa firemní IT bezpečnosti IT bezpečnost je jedním z nejdůležitějších témat posledních několika let. Bezpečnostní nástroje a mechanismy se neustále vyvíjejí, výrobci dodávají stále důmyslnější řešení, přičemž pro eliminaci hrozeb často stačí dodržovat ta nejzákladnější pravidla (ta, na která si vzpomeneme, když už je pozdě). Navzdory tomu se vyskytují incidenty, jako byly například ransomware WannaCry nebo masivní únik dat Equifaxu, které dokládají, že přístup některých firem k IT bezpečnosti je přinejlepším vlažný.

D

enně se dozvídáme o únicích dat, nových typech malwaru a  dalších škodlivých prvků, které mohou ohrozit správné fungování firemní IT infrastruktury. Většina interních IT oddělení řeší spíše 100krát za  den nefungující tiskárnu, než aby zde ajťáci s  úsměvem na  tváři přednášeli svým kolegům, jak nenaletět na  phishingový e-mail a  jak nakládat s  firemními IT

zdroji. Projděte si pět největších hrozeb pro současné firemní IT, které jsou často důsledkem nedostatečných opatření ze strany společnosti.

Člověk jako hrozba Nebudeme chodit okolo horké kaše – nejslabším článkem IT bezpečnosti (nejen) ve firmě jsou uživatelé, tedy lidé,

zaměstnanci. Není to nijak šokující odhalení, že? Phishingové maily, klikání na podezřelé odkazy, kompromitace pracovních mailů známá jako BEC (business e-mail compromise), ledabyle zvolená hesla ke kritickým aplikacím a službám, neoprávněné nakládání s  daty, přechovávání firemních dat na  veřejných úložištích, používání soukromého e-mailu k posílání důležitých pracovních

1


Téma dokumentů, zavirované flashky, BYOD a s tím ruku v ruce přicházející shadow IT, procházení rizikových stránek… A to je jen zlomek toho, co se běžně ve  firmách děje. Pro zaměstnavatele jde o složitou situaci – zaměstnanci jsou pro ně největší bezpečnostní hrozbou, přitom je však existence a chod společnosti na těchto lidech přímo závislá. Jak z  toho ven? Zcela klíčové je zaměstnance důkladně a  kontinuálně vzdělávat v  oblasti kyberbezpečnosti. Samozřejmě je zde řada nástrah – uživatelé, kteří jsou zvyklí dělat věci určitým způsobem (například „nosit si práci domů“ na  flashce atp.), budou mít jistě námitky k  prosazování a  vynucování bezpečnostních politik, přesto je zapotřebí, aby všichni pochopili, že jsou aktivními články celkové IT bezpečnosti a na její integritu mají přímý vliv.

Heslo jako pradávné zlo

2

Volba hesla je nekonečný boj. Najdete řadu návodů, jak má/nemá heslo vypadat, co s čím kombinovat a  podle čeho tak, abyste si zapamatovali zběsilé 12místné kombinace velkých a  malých písmen, čísel a speciálních znaků. Ve firemní síti a  u  aplikací a  služeb, které

zaměstnanci využívají, by se neměla opakovat stejná kombinace a hesla by se neměla překrývat s  těmi, která uživatelé používají i pro soukromé služby. Často se ve  firmách zavádí bezpečnostní politika, jejíž součástí je výměna hesla každých 30-60 dnů (přestože je tento systém cílem kritiky a  jeho účinnost je sporná). Zajistit, aby mezi sebou zaměstnanci nesdíleli svá hesla, je také nadlidský úkol. Někdy pomohou drobné a nenásilné změny – pro začátek například stačí zaměstnancům vysvětlit, že mít sepsané přístupové údaje k  firemním zařízením a  aplikacím na  lepícím papírku umístěném na  monitoru není v souladu se zásadami firemní bezpečnosti. Ideální je pak nabídnout schůdnou alternativu – například na počítače instalovat správce hesel. Na  nedostatečnost modelu přihlašovací jméno + heslo upozorňují bezpečnostní experti už několik let. Praktika, která potenciálním útočníkům ztěžuje snadný průnik do  důležitého systému nebo služby, je dvoufaktorová autentizace, jež by měla být ve  firmách standardem. Není přitom zapotřebí obávat se zdržování se zadáváním dalších ověřovacích kódů a jiných komplikací – přicházejí systémy, které 2FA usnadňují a  umožňují využívat například firemní

čipové karty nebo jednoduché aplikace v telefonu.

Aktualizace? Ne, děkujeme! Veškerý používaný software musí být pravidelně updatován. Aktualizace vycházejí pravidelně, ale také v reakci na  právě odhalené bezpečnostní hrozby. Proto je ideální sledovat, zda jsou k dispozici updaty pro všechny nástroje, systémy a aplikace. Z nějakého důvodu se u  nás dobře zažilo ignorování či dokonce deaktivování aktualizací, což dnes představuje podstatně větší riziko než kdy dříve. Aktualizace zařízení ve  firemní síti je samozřejmě komplikovanější a  náročnější, běžní zaměstnanci by při správném nastavení neměli mít oprávnění provádět změny aktualizací. Aktualizace v rozsáhlejších strukturách často doprovázejí „vedlejší efekty“ – mohou ovlivnit chod dalších částí a  přidružených systémů. Proto je žádoucí provádět aktualizace tak, aby nebyl ohrožen chod důležitých aplikací, tedy ideálně by updatu mělo předcházet testování a měl by probíhat postupně. V bezpečnosti se začal objevovat také zajímavý trend – útočníci mají v hledáčku


Téma přímo bezpečnostní produkty a jejich slabá místa – ta se snaží zneužít, aby se dostali do  firemních zařízení a  sítí. Očekává se, že aktivity útočníků budou stále důraznější, předpokládá se, že se silněji zaměří na kompromitaci antivirových nástrojů.

Třetí strana, špatná strana V dnešní době ale už pro firmy nemusí představovat riziko jen slabý článek v  jejich vlastní IT bezpečnosti, ohrozit je může také incident či nedostatek na  straně jejich obchodního partnera. Společnost může mít vše v  souladu s legislativou, důmyslné vnitřní bezpečnostní politiky, nejmodernější nástroje a  software, skvěle vyškolené zaměstnance, ale přesto může prostřednictvím třetí strany dojít k  nepříjemnému incidentu. Segmentace sítě a  dedikované servery pro dodavatele a  obchodní partnery jsou zárukou toho, že se případné incidenty oddělí od důležité sítě, jejíž výpadek by mohl ohrozit provoz a  fungování celé společnosti. Pokud není takové řešení pro společnost možné, je na  místě si s  obchodními partnery na toto téma promluvit a domluvit si podmínky vzájemné spolupráce. Je

důležité se ujistit, že všichni dodavatelé a další spolupracující berou bezpečnost vážně.

BYOD: Přineste si problémy Možnost přinést si do práce vlastní zařízení a  na  něm odbavovat veškerou činnost je neuvěřitelně oblíbená, a  to napříč segmenty i  zaměřením společností. Tento režim s sebou přináší řadu výhod – zaměstnanci si mohou zvolit zařízení, které jim vyhovuje, firma šetří zdroje na pořízení nového vybavení, lidé jsou více flexibilní… Co jsou tedy nástrahy a nedostatky tak skvěle znějícího BYOD? Na svém zařízení mohou mít zaměstnanci cokoliv – mají zde samozřejmě svůj soukromý obsah, ale také často softwarové vybavení a  nástroje, jejichž původ nemusí být vždycky legální. Součástí některých aplikací mohou být rizikové prvky, nad nimiž nemá zaměstnavatel žádnou kontrolu. V  případě, že je firma nakloněna BYOD, neměla by nechávat ochranu donesených zařízení jen v  rukách zaměstnanců. Je často propastný rozdíl mezi úrovní zabezpečení firemních zařízení a  těch, která si přinesou zaměstnanci. Bezpečnostní politiky pro BYOD by měly být důsled-

ně dodržovány a vynucovány. Součástí opatření by měla být například virtuální VPN pro přístup do  firemní sítě nebo dvoufaktorová autentizace u  všech používaných aplikací. Zaměstnanci svá zařízení také často přenášejí, vyvstává zde tedy i riziko odcizení, přičemž jsou zde často uložena důležitá firemní data. V  některých firmách jsou kvůli tomu využívány nástroje, které oddělují firemní data od  soukromého obsahu. Data, která patří firmě, pak mohou být šifrována a v případě odcizení zařízení také na  dálku odstraněna.

Zodpovědnost na konec Pro dlouhodobou udržitelnost vysoké úrovně firemní IT bezpečnosti je zásadní, aby byli všichni zaměstnanci obeznámeni se zásadami bezpečného využívání firemních IT zdrojů. Je zapotřebí, aby si koncoví uživatelé uvědomovali svůj vliv na celkovou bezpečnost a byli seznámeni s  tím, jaké následky může jejich nedbalost mít. Dodržování správných postupů a  zásad může značně zvýšit schopnost společnosti čelit nejnovějším kybernetickým hrozbám.

3


4

Případová studie


GFI Software

Centrum Paraple je obecně prospěšná společnost, která pomáhá vozíčkářům s poškozením míchy a jejich rodinám hledat cestu dál. Po úrazu nebo onemocnění, které poškodilo míchu, po pobytu v nemocnici a pobytu v rehabilitačním centru představuje Centrum Paraple odrazový můstek do života, jak fyzického, tak především psychického. A nejen to, centrum slouží i jako možnost načerpat nové síly, zkušenosti či poradit s novou životní situací.

O

dhaduje se, že v České republice je 8 000 až 9 000 vozíčkářů, přičemž ročně je Centrum Paraple v  pražských Malešicích schopné pomoci zhruba 1  400 lidem s  pohybovým postižením. Primárně je centrum zaměřeno na  přímou osobní pomoc prostřednictvím třítýdenních pobytů, ale dokáže také poskytovat pomoc na  dálku, např. po  telefonu. Hlavním cílem pracovníků v Centru Paraple je odbourat u  jejich klientů nejrůznější psychické bariéry a  posílit samostatnost. V  centru pracuje cca 80 zaměstnanců, z  nich většina poskytuje terapii, přímou pomoc a péči včetně osobní asistence, dále oddělení PR a fundraisingu, které pomáhá na činnost centra zajistit zdroje, informovat o jeho službách veřejnost a budoucí možné klienty a jejich blízké, činnost centra podporují také administrativní pracovníci. Zaměstnanci využívají k  zajištění svých pracovních a  komunikačních ak-

GFI Unlimited je model předplatného poskytujícího malým a středně velkým firmám (SMB) přístup ke  kompletnímu portfoliu řešení pro ochranu podnikových sítí a  komunikačního softwaru za výhodnou cenu. Jednotné předplatné, dostupné většině SMB společností, nabízí přístup ke  kompletnímu softwarovému portfoliu, jež aktuálně zahrnuje 12 softwarových řešení v  plné verzi pro zajištění ochrany podnikových sítí a  podnikové komunikace, které využívají tisíce organizací z  celého světa. K aktuálnímu portfoliu budou postupně

tivit moderní technologie. Společnost dříve provozovala MS Exchange na SBS Serveru 2003, které nebylo vyhovující a  bylo i  drahé. Jedním z  akutních problémů bylo velké množství spamu, které se muselo řešit externí službou nadřazenou nad Microsoft Exchange. Postupem času také – v souladu s moderními pracovními trendy – začaly některé profese fungovat i  z  domácích kanceláří, takže nastala nutnost podporovat uživatele s  potřebou vzdáleného přístupu do  systému Centra přes VPN síť.

Řešení a přínosy Společnost Gaia Connections, dodavatel IT řešení pro Centrum Paraple, nabídla nejdříve řešení Kerio Connect s lepší ochranou proti spamu, což hmatatelně pomohlo při odbourávání nevyžádané pošty. Uživatelé zároveň začali využívat groupwarové funkce Connectu včetně

přidávány další produkty. GFI Unlimited zahrnuje produkty GFI OneGuard, GFI OneConnect, GFI LanGuard, GFI WebMonitor, GFI Archiver, GFI MailEssentials, GFI FaxMaker, GFI EndPointSecurity, GFI EventsManager, Kerio Connect, Kerio Control a Kerio Operator. Společnost Gaia Connections je na trhu nepřetržitě od roku 1990, zaměřuje se na  komplexní správu IT včetně dodávek hardwaru a softwaru převážně stálým smluvním zákazníkům. Klade důraz na  individuální přístup, prioritou je zabezpečení a ochrana dat.

například sdílených kalendářů, chatovacích možností apod. Kerio Connect se díky integrovanému antiviru, vestavěné archivační funkci a automatické záloze ukázalo vhodnou alternativou konkurenčního Microsoft Exchange. Další výhodou řešení je jeho multiplatformita, kdy může běžet na MS Windows, Linuxu i MacOS a na počítačových i mobilních zařízeních. V souvislosti s potřebou zabezpečené VPN sítě doporučila firma Gaia Connections na základě zkušeností u jiných společností instalovat řešení Kerio Control. To umožnilo navíc vytvořit bezpečný Wi-Fi přístup pro hosty oddělený od vnitřní Wi-Fi sítě pro pracovníky a zabezpečení proti webovým útokům, což je důležité s ohledem na citlivá data, které centrum schraňuje a zpřísněným regulačním požadavkům typu GDPR. Řešení dokonale vyhovovalo jak z pohledu uživatelského, tak i z pohledu administrátorského díky přátelskému rozhraní a  jednoduchému nastavení řešení Kerio.

Případová studie

Centrum Paraple vyřeší svou IT bezpečnost přechodem na GFI Unlimited

Návrat k osvědčenému řešení V  roce 2015 ale došlo v  souvislosti se změnami na  manažerské úrovni Centra Paraple také ke změně IT strategie a Kerio Control bylo nahrazeno jiným, méně sofistikovaným řešením. To z  pohledu bezpečnosti ani funkčnosti nebylo ideální a  navíc poklesla úroveň podpory ze strany nového dodatele. Proto bylo v polovině roku 2017 rozhodnuto o  návratu k  původnímu řešení Kerio Control i  původnímu dodavateli Gaia Connections.

5


6

Případová studie


Případová studie Ukázalo se, že funkčnost řešení Kerio je širší a kvalitnější a zároveň umožňuje efektivnější a  komfortnější práci administrátorům. Do  budoucna se zvažuje použití Kerio Control Statistics k vyhodnocování stavu ochrany a jejímu následnému vylepšování. „Pokud se týká řešení Kerio Control, rádi jsme se vrátili k něčemu, co dobře fungovalo,“ řekl Jan Dolínek, manažer fundraisingu v  Centru Paraple. „Ještě důležitější ale pro nás byl fakt, že společně s  řešením se vrátil také jeho dodavatel, Gaia Connections, který na nás působí jako důvěryhodný, technicky ostřílený poradce, na kterého se můžeme vždy spolehnout.“

Budoucnost: GFI Unlimited Dalším důležitým krokem k posílení IT bezpečnosti bude pro Centrum Paraple přechod na  nový licenční model GFI Unlimited, který umožní využívat až 12 produktů GFI Software za  jedno předplatné. Proces migrace na GFI Unlimited zrealizuje firma Gaia Connections ve třetím čtvrtletí roku 2018.

Od GFI Unlimited si společnost slibuje přístup k  dalším řešením, díky nimž ještě posílí své komunikační a  bezpečnostní možnosti související s  rostoucím počtem ransomwarových útoků či zvyšujícími se nároky na ochranu osobních údajů. Zejména pak bude mít zájem o  produkty GFI LanGuard pro automatizované zajištění softwarových aktualizací, GFI EndPointSecurity pro ochranu koncových bodů a  GFI Archiver pro pokročilou archivaci elektronické pošty a  přiložených souborů. „Protože jsme v  naší společnosti s provozem řešení Kerio Control a Kerio Connect maximálně spokojeni, vítáme nabídku GFI Software výhodně rozšířit ochranu IT infrastrukturu o  další nástroje. I  u  nás vnímáme stále složitější situaci v  oblasti kybernetické bezpečnosti a  zvyšující se regulatorní požadavky na  ochranu dat. GFI Unlimited v  kombinaci s  kvalitními službami Gaia Connections jsou přesně tou nabídkou, která nám pomůže omezit čas spojený s řešením případných technických problémů a o to více ho věnovat našim klientům,“ dodal Dolínek.

Fakta o případové studii

Jméno klienta: Centrum Paraple Hlavní požadavky: zajištění e-mailové komunikace s dostatečným spam filtrem; umožnění připojení přes VPN; výhodná cena; zajištění ochrany před ransomwarem a dalšími hrozbami; usnadnění kompatibility s  pravidly GDPR. Řešení: GFI Unlimited Hlavní přínosy řešení: dvanáct řešení od  jednoho dodavatele za jedno předplatné; zajištění bezpečnosti sítě i dat; automatizované zajištění softwarových aktualizací; pokročilá archivace elektronické pošty a přiložených souborů; spolehlivý a  osvědčený dodavatel Gaia Connections.

7


téma

autor: Jakub Špaček

8


GDPR v praxi Konec letošního května se nesl ve znamení GDPR, tedy nařízení o ochraně osobních údajů. Naše redakce se proto rozhodla, že se na tuto problematiku podívá trochu odlišným způsobem. Na následujících řádcích se nebudeme zaobírat tím, jak správně implementovat jednotlivá opatření, aby vaší organizaci zajistila soulad s GDPR. Zaměříme se na to, jak se s touto otázkou vypořádaly orgány státní správy a velké organizace.

Nikdo nevěděl, jak na to Implementace GDPR dala velkému množství firem zabrat. I  přes náročnost a  komplikace spojené se zaváděním těchto opatření ani jeden z námi oslovených subjektů nijak zvlášť nehanil GDPR jako takové. Maximálně si stěžovali na  nedostatečnou připravenost příslušných orgánů při výkladu českého překladu nařízení. Dalším bodem, na  nějž si některé organizace stěžovaly, pak byla absence podpory státních orgánů. Moravskoslezský kraj například v  tomto ohledu otevřeně vyjádřil svou nespokojenost: „Po určitou dobu (cca do poloviny loňského roku) jsme věřili, že budou na  úrovni státu učiněny nezbytné kroky pro jednotnou implementaci GDPR ve veřejné sféře. Pak jsme však usoudili, že se musíme spolehnout sami na sebe a, jak se ukázalo, bylo to správné rozhodnutí – aktivizace ústředních orgánů proběhla mnohem později než za  5 minut 12. Koneckonců stále nebyl schválen nový zákon o  ochraně osobních údajů, který by např. pro veřejnou správu mohl modifikovat některé povinnosti či výši případných sankcí.“ Nedostatečná opora místních orgánů značně zkomplikovala život nejedné organizaci. GDPR, které se v  posledních měsících řeší doslova na poslední chvíli,

přitom bylo ve své finální podobě známo už od 24. května 2016, kdy po schválení Evropským parlamentem vstoupilo v  platnost. I  tak trvalo české legislativě přinejmenším rok a půl, než vydala metodiku posouzení vlivu zpracování dle čl. 35 nařízení. Ta podle informací od České průmyslové zdravotní pojišťovny vyšla až v  únoru letošního roku, a to pouze jako návrh. Následovalo vydání její značné modifikace, které však vyšlo 1. června 2018, tedy až týden po  datu účinnosti GDPR, kdy už měly být všechny organizace připraveny. Nedostatečná podpora ze strany státní správy naznačila přinejmenším dvě věci. Zaprvé v otázce GDPR neměl ještě donedávna zcela jasno ani příslušný kontrolní orgán, tedy ÚOOÚ, a  zadruhé se můžeme podle dostupných informací domnívat, že to nebude (alespoň ze začátku) s kontrolováním až tak horké. Nedostatek pomoci od nadřízených orgánů územní samosprávy pocítili například na  Plzeňsku. Naštěstí si však tamní krajský úřad dokázal poradit: „V počátcích příprav jsme pociťovali nedostatek metodické podpory a věci nepřispělo ani zdržení v procesu schvalování národní legislativy. Navíc od nás požadovaly pomoc nejenom naše příspěvkové organizace, ale i obce, zejména ty malé. Metodika pro veřejnou správu pak byla s  předstihem před účinností Obecného nařízení zveřejněna a  i  díky vzájemné spolupráci s  ostatními krajskými úřady jsme přípravu zvládli.“ Jasně se k  nedostatku informací vyjádřila také tisková mluvčí České průmyslové zdravotní pojišťovny Elenka Mazurová: „Nebylo včas k dispozici dostatek fundovaných zdrojů, metodik a  jednoznačných postupů, kterých by se všechny organizace mohly držet a  které by jednoduchou formou pomohly GDPR implementovat stejným způsobem ve všech organizacích v České republice. Existovalo velké množství nabídek poradenských společností a ne

všechny se nám jevily jako cenově adekvátní a dostatečně fundované.“

GDPR? Za kolik? Rozdílnost jednotlivých nabídek poradenských společností jsme mohli vidět i v rozdílu přibližných vyčíslených nákladů organizací, které jsme oslovili. Nejlépe najdeme případné rozdíly na  organizacích podobného typu a velikosti. Ke znázornění nám poslouží kraje. Z celkem čtrnácti krajů jsme v šesti případech dostali přibližné vyčíslení nákladů na implementaci GDPR. Přičemž rozdíly mezi jednotlivými náklady byly diametrálně odlišné. Tyto stěží zanedbatelné odchylky si však lze relativně jednoduše vysvětlit. Každý úřad své náklady totiž vyčísloval trochu

téma

P

okud nakládáte s osobními údaji, musely přípravy na  GDPR zasáhnout i  vás. Pak musíte uznat, že implementace nejrůznějších opatření ani zdaleka nepřipomínala procházku růžovou zahradou. Jestli tomu tak bylo i  u  organizací, které disponují snad největším počtem soukromých údajů, které jsme kdy komu svěřili, jsme se rozhodli ověřit prostřednictvím několika krátkých otázek, jež jsme kladli firmám ze sektorů bankovnictví, e-shopů, zdravotnictví, ale i subjektům veřejné správy.

Náklady na GDPR Kraj

Náklady [Kč]

Hlavní město Praha

cca 8 000 000

Jihomoravský

378 000

Pardubický

612 260

Zlínský

1 965 040

Plzeňský

165 000

Liberecký

přes 100 000

odlišně. Například Zlínský kraj se téměř vyšplhal na částku dvou milionů korun za  celkovou implementaci pravidel pro GDPR, nicméně pro porovnání může posloužit například Plzeňský kraj, který sice analýzu vykonanou externí firmou vyčíslil na  pouhých 165  000 korun, ale vůbec nezapočítal čas a od toho odvíjející se finance na mzdy zaměstnanců kraje: „Přípravy si samozřejmě vyžádaly čas našich zaměstnanců, ale nepřistoupili jsme

9


téma

k navyšování pracovních míst. Finanční prostředky jsme vynaložili na specializované vzdělávání zaměstnanců přímo zapojených do dané problematiky a na pořízení rozdílové analýzy.“ K  poněkud odlišným částkám se dostali zástupci hlavního města, čemuž se ale opět nemůžeme divit, protože spravovali hned několik městských částí: „Vysoutěžili jsme společnost, která vytvořila nejen analýzu, ale pomohla nám identifikovat i veškeré procesy, kdy úřad pracuje s  osobními údaji. Tuto společnost se nám podařilo vysoutěžit za  4,5 milionu korun. Další veřejné zakázky byly pro pomoc městským částem a dalším městským organizacím. Celkem jsme za  pomoc s  GDPR zaplatili kolem osmi milionů korun.“ Vyčíslení celkových nákladů veřejných útvarů je sice působivé, ale ani zdaleka nedosahuje výše, které musely zaplatit organizace velikosti Googlu nebo Facebooku. Pro představu jedna z  největších českých bank, která se však svou velikostí ani zdaleka neblíží Googlu, ve  spojitosti s  GDPR utratila nemalou částku: „Samotná implementace podobných regulačních směrnic je pro nás z  procesního hlediska standardem, jakkoli náklady spojené s regulací GDPR, které se v případě České spořitelny pohybují v řádech desítek miliónů korun, pro nás pochopitelně nebyly úplně zanedbatelné.“ O  poznání lépe na  tom pak byli profesně mladší konkurenti České spořitelny jako například Airbank: „Protože na trhu fungujeme teprve něco přes šest let, máme výhodu, že pracujeme s  moderními technologiemi, díky kterým jsme mohli změny implementovat snadněji. Navíc klienty v našich systémech nevedeme pod rodnými čísly, jak to bývá někdy zvykem, ale při příchodu klienta do  banky přidělujeme vlastní jedinečná klientská čísla, což nám také velmi ulehčilo práci.“

GDPR nejde vyřešit „krabičkou“

10

Tato problematika se výrazně liší od předchozích nařízení a  zákonů. Na rozdíl od zavádění EET šlo u GDPR o  daleko rozsáhlejší problém. Nedal se totiž vyřešit pouhým zakoupením „krabičky“, jak jsme my Češi zvyklí, ale museli jsme se zamyslet nad svými pracovními postupy, a proto se nedalo vše jen tak odbýt. Jen se sami podívejte, co

vše musela podniknout například pražská Nemocnice Na Homolce: „Nemocnice prošla vstupní analýzou, byl popsán aktuální stav zpracovávaných osobních údajů a  probíhalo prověřování souladu operací s  požadavky obecného nařízení a  definicí nápravných organizačně technických opatření. Výsledkem byla definice více jak 120 dílčích konkrétních opatření, které organizace musela zajistit, aby došlo k naplnění potřeb nařízení a  k  jejich souladu. Došlo k  novelizacím řady vnitropodnikových směrnic a  nastavení nových postupů, především stran komunikace mezi zdravotnickými organizacemi, lékaři a pacienty. Zároveň proběhlo základní školení uživatelů, aby se zaměstnanci seznámili s  potřebami, požadavky a nařízeními GDPR.“ Mezi bezpočet organizací, které spravují naše osobní údaje, spadají mimo jiné i  dopravní podniky. Ani tento typ podniku však nebyl požadavků na bezpečnost vlastněných osobních údajů zproštěn. Například Dopravní podnik města Brna, který se celou záležitostí intenzivně zabýval už od loňského podzimu, si s  problematikou GDPR poradil takto: „Byla oslovena všechna oddělení podniku, aby se zjistilo, jaké kategorie osobních údajů a  v  jakém rozsahu zpracovávají. Kromě toho jsme si jasně definovali účel zpracování ze zákonných důvodů nebo zajištění souhlasu. Zabezpečení osobních údajů – bezpečnostní, technické a  organizační směrnice S15 a  její revize, aby měli zaměstnanci jako zpracovatelé povědomí o  Obecném nařízením GDPR. Vedení společnosti DPMB muselo také jmenovat pověřence pro ochranu osobních údajů. Naši zákazníci byli informováni prostřednictvím webových stránek v sekci O nás - ochrana osobních údajů.“ Jak již bylo výše zmíněno, na  implementaci GDPR neexistuje žádný jednoduchý pracovní postup. Vše se vždy odvíjí od počáteční analýzy, podle které pak musejí konkrétní subjekty vyřešit dané slabiny. Podobně postupovalo i statutární město Ostrava: „Na začátku jsme museli zhodnotit aktuální stav a  jeho soulad s  obecným nařízením na  ochranu osobních údajů. Museli jsme zmapovat veškeré agendy zpracovávání osobních údajů, posoudit možná rizika, proškolit zaměstnance, upravit stávající smlouvy se zpracovateli osobních údajů, zpracovat nově souhlasy se zpracováním

osobních údajů dle obecného nařízení, vytvořit vnitřní metodiky aj.“ Velmi diskutovaná je ochrana osobních údajů v nemocnicích a u obvodních lékařů. Všeobecná fakultní nemocnice v  Praze se však nijak výrazně nelišila od  ostatních zmiňovaných organizací: „Problematice GDPR jsme se začali věnovat v  dostatečném předstihu. Díky tomu jsme zvládli pro tak velkou organizaci sami a  efektivně uřídit celou mapovací část. Pracoval na  tom více jak rok GDPR tým, složený z  projektových manažerů, IT specialistů, právníků. Dohromady pět lidí (na  částečné úvazky). Byla také samozřejmě nutná součinnost všech pracovišť, kterých se GDPR týká. Obecně, přesně kvantifikovat lidské nebo finanční zdroje je složité.“ Důležité je také uvědomit si, že shoda s  nařízením GDPR není pouze jednorázovým úkonem, kdy si stačí stanovit určitá pravidla, podle nichž se budete neustále řídit. Navíc vydáním interní firemní vyhlášky se nic nezmění. Zaměstnanci si budou stejně pracovat po svém. Pokud chcete ve  své firmě dosáhnout jakékoliv změny, musíte sáhnout k  nejslabším článkům celého řetězu zpracovávání osobních údajů, tedy k lidem. Softwarové nástroje totiž vždy udělají jen to, co po  nich chceme. Když budeme postupovat podle vnitřních předpisů, budou data ve  větším bezpečí. Informace, jak správně nakládat s  daty, se však musí dostat ke každému a ideálně díky školení. To pochopila například Vysoká škola báňská – Technická univerzita v Ostravě: „Pro jednotlivé součásti VŠB-TUO jsme stanovili garanty pro oblast ochrany osobních údajů, kterým jsme poskytli školení. Školení k  této problematice jsme poskytli přibližně 200 zaměstnancům. V  současnosti pracujeme na  tom, abychom dostáli povinnosti informovat subjekty údajů o tom, jaké osobní údaje budeme zpracovávat a k jakým účelům.“

Proč GDPR? Naše zákony nestačí? Na českém trhu panuje také velmi vášnivá diskuze o tom, zda bylo GDPR vůbec zapotřebí. Naše stávající legislativa na ochranu osobních údajů, tedy Zákon o kybernetické bezpečnosti, na řadu prvků obsažených v GDPR pamatuje. Bohužel však penalizační možnosti tohoto zákona nepředstavovaly dostatečně velký


Někteří byli připraveni U některých subjektů však účinnost GDPR neměla až tak razantní dopad, protože vždy záleží na  účelu, za  jakým jsou data uchovávána a  zpracovávána. Jedna z  největších zdravotních pojišťoven u nás, Všeobecná zdravotní pojišťovna, tak nemusela mnohé procesy měnit: „Je potřeba si uvědomit, že VZP zpracovává osobní údaje většinou v rámci své úřední agendy. Diskutované novinky, jako je mj. právo na  výmaz osobních údajů a  právo na  přenositelnost údajů, se tak u  nás projeví minimálně, neboť ke  zpracování osobních údajů dochází převážně na  základě zákona. Ten, kdo dodržuje platný zákon o ochraně osobních údajů, nebude muset s  výjimkou

podrobnější evidence, případného ohlašování bezpečnostních incidentů a jmenování pověřence pro ochranu osobních údajů, dělat mnoho navíc.“ Mnohé se nezměnilo ani u  jedné z  největších firem na  světě – Googlu, který se již dlouhodobě kybernetickou bezpečností a ochranou osobních údajů zabývá: „V loňském roce jsme se zavázali řídit se novým evropským Obecným nařízením o  ochraně osobních údajů (GDPR), a to u všech služeb, které v Evropské unii poskytujeme. Více než osmnáct měsíců jsme se věnovali konkrétním opatřením, jak tento předpis naplnit. Všechna popsaná opatření však navazují na to, na čem už několik let pracujeme s národními úřady na ochranu osobních dat, a  snažíme se, aby tato opatření odpovídala jejich požadavkům. A  to je zvýšit transparentnost, možnost volby a  dát uživateli větší kontrolu. Spustili jsme Hlavní panel Google v  roce 2009, Stáhněte si svá data v  roce 2011, Můj účet v  roce 2015, Moje aktivita v  roce 2016, Kontrola zabezpečení v roce 2017. To jsou všechno kontrolní nástroje pro jednotlivé naše služby, kde si může uživatel nastavit úroveň soukromí, jakou požaduje.“

Pomůže GDPR něčemu? Nařízení GDPR podle mnohých balancuje na hraně mezi tím, zda je užitečné, či představuje příliš velkou byrokratickou a  technologickou zátěž pro bezpočet společností. Všechny organizace, které jsme ve  svém malém průzkumu napříč českým trhem oslovili, berou GDPR jako nástroj pro ochranu dat svých občanů, zaměstnanců, zákazníků, studentů či pacientů. Ani jeden z těchto subjektů nepochyboval o funkčnosti tohoto nařízení a o jeho primárním účelu, což můžeme brát jako dostatečný signál k tomu, abychom řekli, že by mělo GDPR znamenat určitý pokrok směrem k  dokonale zabezpečeným a nezneužívaným osobním údajům. Bohužel však tento zákon dává lidem do  rukou také zbraň, která může být velmi nebezpečná. A nejen Fakultní nemocnice Královské Vinohrady se obává jejího zneužití: „V oblasti zdravotnictví je dle našeho názoru ochrana osobních údajů dlouhodobě na  vysoké úrovni. Jednoznačným přínosem je zvyšování právního povědomí pracovníků FNKV o  činnostech, které běžně vykonávají

při své pracovní náplni. Dalším přínosem bylo odstranění duplicitních a pomocných evidencí, které přetrvávaly „ze zvyku“. Přítěží je naopak zvýšení administrativní zátěže a  obava ze šikanózního jednání ze strany stěžovatelů, kteří nyní mají k dispozici velmi silný právní titul.“ Ztrátu jistých výhod přináší GDPR pro e-shopy. Ty mohou kvůli ztrátě řady kontaktů ze svých databází přijít o  miliony korun v  tržbách. I  když řada z  těchto e-shopů postupovala vždy dle platných zákonů, nyní se obává, že by GDPR mohlo mít negativní dopad nejen na ně, ale i na jejich zákazníky. Své pochyby vyjádřil i  jeden z  největších e-shopů na českém trhu Alza.cz: „Domníváme se, že se nakupování v e-shopech a  e-mailingový marketing změnily bohužel v  neprospěch zákazníka. Bez aktuálně téměř každodenního odklikávání souhlasů se zpracováním osobních dat hrozí, že nebude moci využít funkcionality e-shopů v celé šíři, na jaké byl dříve zvyklý – konkrétně jde např. o  nabídky slev či personalizaci webu dle zákazníkových nákupních zvyklostí.“

téma

pomyslný motivační bič, který by přiměl především velké organizace k činu. Jednoduše pro ně bylo výhodnější, aby zaplatily případnou pokutu v  řádu desítek tisíc korun, než aby investovaly miliony do  implementace nejrůznějších bezpečnostních opatření. GDPR však hrozí pokutami ve  výši 100  000 eur, případně až 4 % celkového ročního obratu společnosti. Taková výše pokut může být pro řadu firem likvidační, což je také jeden z důvodů, proč začalo být GDPR tak „populární“. Veřejné organizace, jako jsou například vysoké školy, si však v  dodržování litery zákona nemohou vybírat, který zákon dodrží a  který ne. Přesně tak na tom je i Vysoké učení technické v  Brně: „Jako veřejná vysoká škola samozřejmě zpracováváme významné množství osobních údajů o našich studentech, absolventech či zaměstnancích univerzity, nicméně z velké části jde o údaje, které musíme povinně evidovat ze zákona. I  před GDPR však VUT aplikovalo pravidla ochrany osobních údajů. Bohužel obzvláště je v České republice výklad nařízení poměrně ‚absolutizován‘ a již několik měsíců před začátkem platnosti probíhala dramatická prezentace možných dopadů případného nedodržení pravidel. Nepochybně se jedná o další byrokratické zatížení již tak administrativně velmi exponovaného systému. Na  druhé straně ochranu osobních údajů chápeme jako nedílnou součást povinností každého vedoucího pracovníka, podobně jako je tomu např. v  oblasti bezpečnosti práce či ochrany zdraví při práci.“

Příležitost vs. přítěž Na hodnocení GDPR jako takového je příliš brzy. To je bez pochyb. K podobnému závěru došla také drtivá většina našich respondentů. Zároveň se však velmi často shodli i na závěru, že bude GDPR přínosem. Za  všechny mluví vyjádření tiskového mluvčího Všeobecné fakultní nemocnice v Praze Filipa Brože: „GDPR jsme uchopili nejen jako povinnost, ale také jako příležitost – snažili jsme se jednotlivé fáze projektu dělat tak, aby z  nich pak profitovaly další oblasti jako např. efektivnější fungovaní nemocnice, kvalitnější poskytovaní léčebné péče a  lepší plnění práv subjektů osobních údajů. Významné také je, že jsme zmapovali administrativní i  klinickou část natolik detailně, že výstup bude možné v budoucnosti využít jako vstup pro implementaci Zákona o kybernetické bezpečnosti.“ Zdalipak bude mít nakonec nařízení GDPR pozitivní dopad na  bezpečnost osobních údajů, uvažovat nemusíme. Tento závěr je jasný. Ano. Jak si s  ním však poradí české organizace a zda pro ně bude mít pozitivní efekt, to nám ukáže až čas.

11


Rozhovor

autor: Jakub Špaček

12


ADATA míří mezi největší výrobce SSD Na co se ADATA letos zaměřuje, a to v lokálním i globálním měřítku? Shalley Chen: Letos jsme se rozhodli vydat třemi hlavními směry, kdy ten první představuje značka XPG zahrnující naše herní produkty a druhý zase SSD, kde se velmi rychle vyvíjíme ať už technologicky, či objemem prodeje. Mezi největší novinky patří zavedení nové generace SSD s  technologií 96vrstvých flash pamětí. Celkově by pak v  segmentu SSD měla vzrůst poptávka, a to díky jejich konstantním cenám. Další klíčovou oblast pro nás představuje mobilní příslušenství. I když jsme v  tomto ohledu známí především díky našim powerbankám, kterých nabízíme širokou škálu, máme v  portfoliu i jiné produkty. Patří sem například naše flash disky OTG (on the go), které jsou k  dispozici i  s  konektorem Lightning pro produkty z  rodiny Apple. Dále stojí za  zmínku bezdrátové i  drátové nabíječky, ať už klasické do  zásuvky, nebo do auta. Jaroslav Bednář: Mezi našimi produkty ze segmentu mobilního příslušenství nenajdete pouze běžné powerbanky. Například model D8000L je outdoorová powerbanka s  LED osvětlením, které může být použito nejen jako malá baterka pro osobní užití ve stanech apod., ale také například jako světlo na kole. A své powerbanky se snažíme i nadále inovovat. Jaké trendy se objevují na  trhu s DRAM nebo flash pamětěmi? Shalley Chen: Trh s paměťmi DRAM by měl podle našich nejnovějších průzkumů zachovávat stabilní cenu, případně můžeme očekávat její velmi nízký pokles v rozmezí od dvou do pěti procent. Ale výhled se týká pouze třetího čtvrtletí letošního roku, závěrečný kvartál roku je totiž ještě nejistý. Může se stát, že některý z dodavatelů nebude mít potřebnou skladovou kapacitu, a pak by mohla cena stoupat.

Pokud jde o trh s paměťmi typu flash, pak opět zmíním technologii nové generace SSD s  96 vrstvami. Do  celkového stavu trhu se rozhodně promítne i květnové vydání SSD společnosti Micron, která představila první 3D NAND paměť se zápisem typu QLC navazujícím na  předcházející generaci – technologii TLC. To bude mít pro trh s SSD jasný důsledek – při snížení nákladů na výrobu bude cena SSD i nadále klesat. Jaroslav Bednář: Sledujeme chování hlavních výrobců a podle něj by měl přijít mírný pokles ceny u disků o kapacitách 120 a  240 GB. Dramatický pokles ceny u těchto disků jsme už však zaznamenali a  žádný podobný neočekáváme. Momentálně roste popularita SSD s vyššími kapacitami, a proto se hodláme zaměřit na disky o objemu dat od 500 GB. V druhém pololetí letošního roku budou tyto disky patřit mezi naše klíčové produkty, nehledě na to, zda půjde o disky pro B2B nebo B2C. Jakou pozici zaujímáte na  českém trhu, případně i ve východní Evropě? Shalley Chen: Před několika lety jsme zde zaznamenali klesající tendence, ale nyní se vracíme zase na  výsluní. Podařilo se nám tento klesající trend zastavit a  také vylepšit povědomí o  značce ADATA. Díky tomu na  místních trzích rok od roku posilujeme své pozice. Konkrétně meziročně rosteme v  průměru o  20 %. Tento nárůst mají „na  svědomí“ naše hlavní produkty, tedy SSD, operační paměti a  powerbanky. Třeba na  českém trhu s  powerbankami jsme již zaujali druhou pozici, na  což jsme patřičně hrdí, protože zde působí opravdu mnoho výrobců. Také připravujeme stále více aktivit, jejichž prostřednictvím bychom se rádi zviditelnili. Můžeme prozradit, že na  českém trhu sice výrazně posilujeme, ale rosteme i  v  celé východní Evropě. Na  českém trhu zaujímáme podle

počtu prodaných SSD pozici číslo čtyři, což bychom letos také rádi překonali, a usadili se mezi třemi největšími výrobci SSD. U  našich polských sousedů jsme dokonce leaderem trhu s SSD. Podařilo se nám zde předčít přední výrobce jako Samsung nebo Kingston a momentálně jsme z  první příčky sesadili i  WD, s  níž zde máme vyrovnané statistiky. Takto se nám daří také díky tomu, že máme mnoho zástupců po celé východní Evropě – na Balkánu, v Maďarsku, v Rumunsku.

Rozhovor

Společnost ADATA je řadě koncových zákazníků známá především jako prodejce cenově atraktivního IT příslušenství. To však není zdaleka vše, co má ADATA v portfoliu. O směrech, kterými se nyní společnost vydává, jsme mluvili s osobou nejpovolanější – prezidentkou společnosti Shalley Chen. Otázky týkající se konkrétně českého trhu zodpověděl Jaroslav Bednář, country manager v ADATA pro český a slovenský trh.

Proč tak rychle rostete? Co je vaším tajemstvím k úspěchu? Jaroslav Bednář: Je to tím, že od vedení dostáváme zvláštní podmínky a zároveň i speciální podporu. Díky tomu můžeme podnikat nejrůznější podpůrné marketingové činnosti, abychom naši značku zviditelnili. Navíc vyrábíme kvalitní produkty, díky nimž nám lidé opět začínají věřit. Před několika lety jsme byli totiž bráni jen jako low-endová značka, ale nyní už tomu tak není, což už naštěstí naši zákazníci vědí. Vloni jsme navíc rozběhli gamingovou značku XPG, s  níž jsme začali od úplného začátku. Produkujeme stále nové produkty, což nám na trhu nabízí nové možnosti a zároveň také přináší další tržby. Klíčem k  našemu úspěchu tedy byla kombinace těchto prvků – marketing a  kvalitní produkty za  příznivou cenu. Proč jste se rozhodli proniknout do herního segmentu se svou novou značkou XPG? Shalley Chen: Tuto naši značku jsme začali prosazovat relativně nedávno a k tomuto rozhodnutí jsme došli hlavně kvůli tomu, že v  gamingovém odvětví vidíme obrovskou příležitost. Přece jen jde o jeden z  nejrychleji rostoucích segmentů v IT a k našemu rozhodnutí pro zaměření se na  gaming přispěl také rozvoj elektronických sportů, které slaví úspěchy

13


14 Rozhovor


Konkurence je v tomto segmentu obrovská (obzvláště v  herním příslušenství), jak se vám zde daří? Shalley Chen: Ano, to máte pravdu, konkurence je v  gamingu opravdu velká. Naše značka XPG nachází své využití především u operačních pamětí, kde jsme díky našim technologickým vylepšením své konkurenty dokonce předčili. Jsme před Corsairem, G.SKILL i  před Kingstonem. Konkrétním příkladem je naše operační paměť SPECTRIX D80, která kromě RGB osvětlení, jímž je dnešní herní svět protkán, disponuje především unikátním chladícím systémem. Ten využívá kombinace chlazení vzduchem a  tekutinou. Díky tomuto výkonnému chlazení jsme schopni operační paměť jednodušeji naplnit co možná nejvyšším výkonem. Pokud jde o  herní příslušen-

ství, tam je konkurence opravdu tvrdá, obzvláště u trhu s  klávesnicemi a  myšmi. U  XPG se soustředíme především na  prodej operačních pamětí a  SSD, kde udáváme trendy a  kde se snažíme do gamingového segmentu přidat něco nového. Máme samozřejmě také běžné operační paměti s RGB, ale stále přicházíme s novými technologiemi. Mimo orientace na  koncové zákazníky najdeme vaše produkty i v průmyslu. Jakou pozici na trhu zajímají vaše B2B produkty? Shalley Chen: B2B segment je specifický. Na  rozdíl od  zbytku našeho portfolia pochází významná část odběratelů našich produktů z Tchaj-wanu. Ale i zde se snažíme proniknout na evropský trh, protože zde vidíme obrovský potenciál. Letos jsme dokonce v Německu založili pobočku, která by se měla zaměřit právě na  podporu B2B segmentu. Průmyslové produkty dodáváme kromě Evropy a  Tchaj-wanu také do  Japonska, Číny, ale i do Spojených států. Jaroslav Bednář: V  tomto segmentu představujeme významného hráče na  trhu, ale není to tak vidět, protože naše produkty se neprodávají prostřednictvím běžných dealerů. Partneři musejí najít speciální tender, kam lze dodat například serverové operační paměti nebo průmyslové karty. Rádi bychom ale byli známí nejen jako výrobce pro koncové

zákazníky, ale také díky svým úspěchům v průmyslu. Kromě těchto klasických segmentů se však ADATA zajímá také o  elektromotory nebo také o LED osvětlení. Proniknou tyto produkty i na evropský trh? Shalley Chen: V tomto ohledu vás nejspíše nepotěším, protože tyto segmenty jsou určeny především pro asijský trh, konkrétně pro Čínu a Tchaj-wan. U elektromotorů není zrovna jasné, zda se někdy v budoucnu ocitnou na evropském, potažmo českém trhu, ale zatím to tak nevypadá. Obdobně tomu tak je i u LED osvětlení. Jaroslav Bednář: ADATA je opravdu obrovskou společností a  my tady v  Evropě známe jen některé její části. Do každého trhu se však nevyplatí investovat potřebné zdroje. Firmy musejí vždy zvážit, zda může být riziko vstupu na  nový trh vyváženo případným ziskem. Například v Evropě jsme zažili největší boom s LED osvětlením před několika lety, ale i když je nyní ADATA jedním z největších celosvětových výrobců LED, nevyplatí se jí investovat obrovské částky do marketingu a propagace svých produktů jenom proto, aby pak na evropském trhu získala malý tržní podíl. Takhle naše firemní politika nefunguje.

Rozhovor

snad ve všech státech světa. Dokonce se diskutuje i  o  tom, že by mohl být e-sport zařazen mezi olympijské disciplíny. Ještě nevíme jistě, zda se tohoto milníku dočkáme, ale vše zatím vypadá nadějně. V  mnoha zemích a  dokonce i  na  Tchaj-wanu už jsou počítačové hry běžně uznávaným sportem. Trh táhne především zájem mladší generace, která touží po  výkonných a  zároveň i  designově velmi dobře zpracovaných herních produktech. Tohle jsou dva hlavní parametry, po nichž se dnešní hráči poohlížejí – výkon a vzhled.

15


Marketing

autor: Jakub Ĺ paÄ?ek

16


Jak vést správně mítink

K

aždý správný mítink by se měl řídit několika pravidly, jejichž dodržování si vezme na starost vedoucí porady, který by měl být v ideálním případě zároveň i nadřízeným všech přítomných. Porada by měla mít kromě vedoucího také jasnou strukturu. Měla by se skládat z šesti částí: debata a rozhodování; sliby; požadavky; dokazování; informování; sdílení vlastních poznatků. Největší prostor by se měl přitom věnovat shodně částem požadavky a sliby, o  něco menší, ale stále významný prostor by měla dostat rozhodovací část a ty ostatní by se měly shodně podělit o zbývající čas. Většinou se při poradách ztrácí drahocenný čas informováním a dokazováním, což při tvorbě společného projektu většinou nemá takový význam.

Pozitivní přístup Přistupujte k poradám pozitivně. Neměli byste svým zaměstnancům naznačovat či dokonce napřímo říkat, že vás porady nebaví, že nic nového nepřinesou nebo

že je to pro vás naprostá ztráta času. Pokud tomu tak opravdu je, musíte s tím něco udělat. Rezignování na  kvalitu mítinků nikomu neprospívá. Pokud budete své porady pravidelně shazovat, určitě se znelíbí i  vašim podřízeným, kteří tak pouze zkopírují váš přístup. V  takovém případě by bylo lepší porady úplně zrušit. Ušetřili byste si spoustu času na jiné činnosti.

k němuž byste měli během porady dojít, nedohodnete, riskujete, že se vám může vše zhroutit jako domeček z  karet. Lidé začnou odbíhat od  tématu a  za  pár minut se vám seriózní firemní porada změní na hospodské tlachání u půllitru piva. Každý může rozvádět myšlenku svého předchůdce, ale to podstatné se vám jednoduše vyřešit nepodaří, a  to právě kvůli neurčenému účelu.

Nedelegujte vedení – buďte vůdcem

Pozvat jen ty, jichž se téma týká

Když už změníte svůj přístup, měli byste si také uvědomit, že je důležité, abyste porady vedli vy osobně. Určitě nepřenášejte tuto pravomoc na nikoho jiného, protože váš zástupce nemusí mít k  poradě, případně i  k  celé vaší firmě stejný přístup jako vy. Kdežto vy se v této pozici určitě budete snažit všechno stihnout v  co nejkratší době a  pokud možno co nejefektivněji.

Stejně jako mítink musí mít jasný účel, mělo by být rovněž zřejmé, kdo se jej bude účastnit a kdo ne. K  tomu nám poslouží právě zmíněný předchozí bod, v  němž jsme si určili důvod porady. Od toho také můžeme odvodit, pro koho má tato porada význam a pro koho nikoliv. Je jasné, že porada o novém vzhledu webu se bude dotýkat především vedení a grafického oddělení, které vedení přednese své návrhy, popřípadě by k  tomu měl co říct i  správce webu z  pohledu funkčnosti. Rozhodně by takto zvolená porada nepřinesla žádné ovoce obchodníkovi, jehož by tak zbytečně okrádala o  čas, který mohl věnovat úplně jiným záležitostem.

Jasný účel Každý mítink by měl mít jasně definovaný účel jako třeba: Navrhnout vzhled webu. Pokud se nad konkrétním cílem,

Marketing

Týmová spolupráce je pro úspěch snad každého projektu klíčová. K tomu, aby se zaměstnanci dokázali domluvit na patřičném rozdělení rolí, slouží porady, nebo také počeštěně mítinky (z anglického meeting). Jistě nemusíte dlouho pátrat v paměti, abyste si vzpomněli na některé porady, které nejenže nebyly produktivní, ale ve finále ještě uškodily. Proto přicházíme s několika radami, jak tuto potíž vyřešit.

Plánovat Plánování je důležitou berličkou, o níž se budete moci během porady opřít. Nestačí jen naplánovat poradu tak, aby všem jejím účastníkům ladila s  harmonogramem. To je málo. Vy si musíte rozvrhnout celou poradu tak, aby vám vystačil vytyčený čas (ten by neměl být o moc delší než hodina – pozn. red.). Ideální by bylo rozvrhnout si veškeré části programu s  pětiminutovou tolerancí. Pak získáte prostor pro manévrování mezi jednotlivými částmi mítinku. Pokud skončíte o  nějakou dobu dříve, určitě se na  vás

17


Marketing

Samozřejmě se nevyplácí ukončovat plodnou debatu, která by mohla vyřešit celý problém, v takovém případě je vhodné zkontrolovat kalendáře přítomných a  oznámit, že se porada o  pár minut protáhne, aby na  to byli přítomní připraveni. Rovněž je úlohou vedoucího porady usměrnit konverzaci tak, aby se vše zbytečně neprodlužovalo. Pokud tedy někdo mluví úplně „mimo mísu“, „utněte“ to hned v  zárodku. Obdobně byste měli ukončit řeč jednotlivce, který vlastně nic neřekl (typické pro politiky a  marketingové vedoucí). Pamatujte si, že v tomto ohledu jste diktátor a žádná diskuze o ničem se nepřipouští.

Zpestřete si program nikdo nebude zlobit. V opačném případě však tato situace hrozí. Plánování se pojí rovněž s frekvencí porad. Ta by měla být pokud možno pravidelná. Vše však záleží na  konkrétním tématu. Některé projekty si zasluhují častější porady než jiné. Dokážete si asi představit, že novináři v  deníku se budou scházet denně, kdežto programátory by takové scházení stálo příliš mnoho cenného času. Když si nebudete mít na poradě co konstruktivního říct, raději ji zrušte.

Obsah o den dřív S řádným plánováním vám pomůže i tento bod seznamu. Již máme určený hlavní účel porady i její účastníky. K dokonalému plánování bychom se měli dostat právě díky tomu, že obešleme všechny účastníky a  zeptáme se jich, co budou chtít na poradě zmínit. Ideální by bylo je oslovit pár dní, nejpozději však den před poradou. Dotyční se nad problematikou zamyslí a přijdou s konstruktivními připomínkami a nápady, které by mohly celý projekt posunout zase dál.

Dochvilnost je výsadou králů

18

Pamatujte si, že dochvilní musíte být nejen na jednání se svými obchodními partnery, ale také na interních mítincích. Pokud nebudete dodržovat stanovené harmonogramy, které jste si tak pracně připravili během plánování porady, může se vám stát, že vám někdo z porady odejde. Doba trvání porad se často protahuje. Je pak na vedoucím pracovníkovi, aby případně urychlil její průběh.

Každá porada by měla mít nějaké zpestření. Je vhodné všechny přítomné vykolejit ze zažitých kolejí, a rozvíjet tak jejich kreativní myšlení. Pokud budete mít pokaždé zpestření, určitě tím u svých podřízených vzbudíte zájem. Přitom mnohdy stačí velmi málo – můžete zahájení mítinku okořenit nějakou aktuální anekdotou či týmovou soutěží. Členové vašeho týmu se tak snáze uvolní a  budou se lépe soustředit na řešení konkrétních potíží. Není ani od věci začít poradu pořádnou peckou. Když tu nejdůležitější otázku vyřešíte hned ze začátku porady místo nudné agendy, zbytek času mítinku vám uteče mnohem rychleji. A hlavně se nemusíte bát, že na řešení nejdůležitějšího problému nezbyde čas.

Nechte mluvit ostatní Diktatura sice platí u dodržování tématu, ale pokud chcete mít podnětnou diskuzi, měli byste nechat přítomným prostor k  diskuzi. Pokud jim budete neustále vstupovat do řeči, nebo je dokonce ani nepustíte ke  slovu, nedočkáte se kýženého výsledku. Produktivita naopak klesne na nulu a vaše porady budou přítěží. Samozřejmě je zapotřebí konverzaci nějakým způsobem řídit a dodat aktuální informace o projektu, ale pak by měli dostat slovo účastníci porady, kteří na ni byli pozváni proto, aby spolupracovali. Bez toho, aby se mohli uceleně vyjádřit, se k cíli jen tak nedostanete.

Na čem jsme se dohodli? Vzhledem k  tomu, že se řídíte radou ohledně plánování přibližného časového

harmonogramu porady, bude pro vás provedení této rady velmi jednoduché. U každého bodu programu je dobré ohlédnout se za  konečným rozhodnutím. Vyvarujete se tak nejasným rozhodnutím nebo problémům zahraným do autu. Díky těmto rekapitulacím se nejen zopakují konečné závěry, k nimž jste během mítinku došli, ale také se často rozpoutá další podnětná debata na dané téma.

Některým tématům dejte „stopku“ Během debatní části porady se často dotknete témat či způsobů řešení, které by pro vás do budoucna mohly mít velký význam, ale momentálně tomu tak není. Pokud na takové otázky narazíte, je nejlepší vystavit jim „stopku“. Vzhledem k  aktuálnímu problému, pro něž jste si vyhradili danou poradu, jsou totiž irelevantní. Není tedy nic jednoduššího, než si tyto body zapsat do poznámek, přerušit diskuzi, která k nim vznikla, a vrátit se zpět k  původnímu tématu. Vyřešíte tak, co potřebujete, a  těmto „stopkám“ se můžete věnovat později. Někdy je vyřešíte i běžným e-mailem, případně pro ně můžete udělat samostatnou poradu.

Zpětná vazba Všechny uvedené rady jsou důležité, na co však zapomenout nesmíte, je určitá varianta zpětné vazby. Nemusíte se přítomných dotazovat, jak se jim dnešní porada líbila. O to ve skutečnosti ani tak nejde. Nicméně byste se měli členů svého týmu zeptat, zda jste na něco nezapomněli, případně jestli mají něco, s čím by se chtěli na poradě podělit, ať už jde o  nějaké problémy nebo naopak pozitivní připomínky. Mnohdy tak vzniknou velmi zajímavé nápady, na  které byste bez této zpětné vazby nikdy nemuseli ani přijít. Porady bývají v  některých firmách vnímány jako negativní položka v  jejich kalendáři, ať už proto, že kvůli nim „ztrácejí“ svůj drahocenný čas, anebo kvůli negativnímu pojetí porad jako takových. Pokuste se proto tohle dogma změnit. Udělejte z  pravidelných porad něco, na  co se mohou vaši spolupracovníci těšit. Skupinová práce by měla být zábavná a hlavně pozitivní. Ne nadarmo se říká, že s úsměvem jde všechno líp.


2018

Termíny seminářů 23. 10. 2018 Tisková řešení 22. 11. 2018 ICT Security


2018

23. 10. 2018 Erbia Congress Centrum, Praha

Professional Computing (7/2018)  
Professional Computing (7/2018)