Více než deset let se věnuji podnikovým procesům a informační bezpečnosti jako architekt v bance či (po většinu kariéry) jako konzultant. Realizoval jsem projekty pro ty největší (např. DHL ITSC, T-Mobile, Raiffeisenbank, Ministerstvo práce a sociálních věcí) i pro celou řadu středně velkých firem. To mi dovoluje srovnávat odlišnosti různých světů (malé, velké, komerční, úřednické) i aplikovatelnost různých přístupů v nich. Problémy, které jsem v projektech řešil, se nicméně často opakují, protože vyplývají z lidských povah, naší kultury a způsobů fungování organizací. S tím můžete bojovat nebo se můžete pokusit to naopak využít ku prospěchu věci. Ve své praxi se snažím o to druhé.
Na příkladu vysoce automatizovaného řízení přístupů realizátorů projektu k aplikacím a systémům, jež jsou projektem dotčeny, se podíváme na to, jak může být informační bezpečnost výrazným brzdným faktorem projektu nebo naopak téměř neexistujícím problémem. Ani jeden z těchto extrémů nicméně vůbec nemusí znamenat, že je projekt „bezpečný“. A je vůbec třeba, aby informační bezpečnost byla na projektu řešena? Do jaké míry? Pomůže nám, když budeme automatizovat, nebo nám to naopak zvýší rizika? Co na to říká legislativa (např. Zákon o kybernetické bezpečnosti nebo velmi aktuální GDPR)? A ta nejpodstatnější otázka: Jak se k informační bezpečnosti na projektu nejlépe postavit?