Az elektronikus adattárolás korában az információ gyorsan mozgatható, megosztható, ám könnyen el is tulajdonítható. Ezért a saját biztonsága érdekében minden cégnek meg kell tennie néhány elengedhetetlenül fontos lépést.

Lépésről lépésre

Az információ hozzáféréséhez cégen belül ki kell alakítania a megfelelő hierarchiát.
A közösséget el kell határolnia a világhálótól, például egy intranet kiépítésével, ami technikailag semmiben sem különbözik az internettől, de miután zárt, belső kommunikációra szolgáló hálózat, kisebb a veszélye, hogy egy stratégiai üzleti vagy marketingterv, fejlesztési elképzelés, partnerlista esetleg más adatbázis illetéktelenek kezébe kerüljön.
Mindezzel párhuzamos teendő a saját rendszerek köré felhúzni az egyre komolyabb tűzfalakat. Ezek nélkül nagyon veszélyes a világhálón tartózkodni, hiszen egyetlen számítógépen 65 ezer 536 kommunikációs port található, és az egyik mindig nyitva áll. S a tűzfal az, amely figyeli az engedélyezett portokon zajló kommunikációt, illetve ha új portot nyitnak meg, azt azonnal blokkolja. Ma az e-mailben terjedő féregvírusok már nemcsak vírusállományt, hanem úgynevezett trójai falovat is tartalmaznak, amely által a számítógép átjárható, és adatok tulajdoníthatók el róla, a felhasználó tudta nélkül.

Bár százszázalékosan biztonságos megoldás nem létezik, azért érdemes a biztonságra akár nagyobb összegeket is szánni, mert egy optimális védelmi szint elérhető. Az semmiképpen nem jó megoldás, ha a támadások elkerülése érdekében csak egy gépről és csak néhány ember számára biztosítja a cég a világhálóhoz való hozzáférést, mert amellett, hogy ezzel jelentősen rontja a munkakörülményeket, ezen az egyetlen kommunikációs csatornán ugyanolyan támadható lehet, mint akár több százon. Hiszen egy behatolás célja általában a belső jogosultságok megszerzése, illetve a rendszeradminisztrációs jog birtoklása, amellyel utána a teljes belső hálózaton bármi megváltoztatható és a féltett adatok is hozzáférhetők.
Megdöbbentő adatok

Alapvetően három dolog miatt kell védeni a ma már webalapú vállalati informatikai rendszert: az illetéktelen hozzáférés, az adatvesztés és amiről eddig is beszéltünk, az interneten keresztüli behatolás. A nemzetközi és hazai felmérések szerint a támadások 75 százaléka bizony belülről jön, a jelenlegi és volt munkatársaktól, és csak a 25 százaléka külső beavatkozás. Az illetéktelen hozzáférést ezért nemcsak a biztonsági eszközök akadályozhatják meg, hanem az egyén felelősségteljes hozzáállása is. A biztonságpolitika hiánya, a megfelelő szabályozás és a rossz munkamódszerek nyitottá, sebezhetővé teszik a vállalati intranetet. Nincs mit tenni, ha a rendszergazda szobájában kinyomtatva található meg a jelszavak listája, vagy pedig a munkatársak egy cetlin a számítógépükön felejtik a hozzáférési kódokat. Megdöbbentő friss, hazai adat, hogy miközben ma már a vállalatok 70 százaléka végez rendszeresen vírusellenőrzést, 52 százaléka rendelkezik backup rendszerrel, és 16 százaléka használ tűzfalat, mindössze 8 százalékuk gondoskodik írott biztonsági szabályzatról.

Az informatikai kockázatkezelés

A vállalati döntések előkészítésében felértékelődött a kockázatelemzés, és elterjedtek a minél pontosabb mérést lehetővé tevő kockázatelemzési módszertanok – hangzott el a közelmúltban a Kürt Rt. sajtótájékoztatóján. Nem véletlenül. Egy döntéshozó számára ugyanis létkérdés, hogy tisztában legyen a cég működését és üzleti folyamatait fenyegető általános és informatikai kockázatokkal – az adatvesztés, a vírustámadás, az internetes betörés, a műszaki meghibásodás veszélyével – vagy az alkalmazottak felelőtlenségéből, a versenytársak esetleges rosszindulatából fakadó kockázatokkal. Csak a minél pontosabb információk ismeretében tud ezek hatásaival, bekövetkezésük valószínűségével számolni, megfelelő védelmi stratégiát kialakítani, és szükséges intézkedéseket rangsorolni.

Ma két módszer ismeretes: a kvalitatív (minőségi) és a kvantitatív (mennyiségi) kockázatelemzés. Előbbi egyszerűbb és gyorsabban megvalósítható, de sokkal durvább mérést tesz csak lehetővé. Nem számszerűsít, hanem kockázati és súlyossági szinteket állapít meg. A kvantitatív sokkal finomabb felbontású, komoly matematikai, statisztikai háttérrel dolgozik, így pontosabb információkat szolgáltat, és jóval megalapozottabb döntések meghozatalát teszi lehetővé. A Kürt Rt. a nyugat-európai és észak-amerikai tendenciát követve a kvantitatív kockázatelemzési módszertant alkalmazza. Saját fejlesztésű megoldáscsomagjában, az Informatikai Biztonsági Technológiában (IBiT) nemcsak az elemzés, hanem a kockázatkezelés is benne van.