Auditor szeme rendszerszinten lát

Tanácsos ezért olyan akkreditált auditort választani, amely a vonatkozó törvényi előírásoknak – közöttük az elektronikus információs rendszerek biztonsági osztályba sorolását előíró 7/2024. (VI. 24.) MK rendeletnek – és az ISO/IEC 27001 szabványnak megfelelően többféle szolgáltatást kínál, az információbiztonsági irányítási rendszerek tanúsítása mellett például az informatikai rendszerek integritását ellenőrző zártságvizsgálatot is elvégzi.

– A külső auditor szeme ugyanis sokkal többet lát, nemcsak az egyedi hiányosságokat, hanem a rendszerszintű problémákat is észleli – mondta Kayser Péter, a VantaSec Kft. tanúsítási igazgatója. – Házon belül, külső szakértői közreműködés nélkül a vállalatok nehezebben vagy egyáltalán nem ismerik fel az ezekből eredő biztonsági kockázatokat, sérülékenységeket. Gyakran találkozunk például azzal, hogy az új területre vagy szerepkörbe áthelyezett felhasználók régi hozzáférési jogosultságaikat is megtartják, mert a vállalatok szabályzatukban vagy nem alakítják ki a következetes visszavétel folyamatát, vagy ezt ugyan megteszik, de a gyakorlatba már nem ültetik át. Szintén gyakori eset, hogy az adatszivárgás megelőzéséhez a cégek letiltják az USB-portok használatát, ugyanakkor megfeledkeznek a régebbi gépek vagy dokkoló egységek más típusú, továbbra is engedélyezett portjairól. De láttunk már olyat is, hogy a leggondosabban kiépített kibervédelmen maguk a rendszergazdák ütöttek tátongó rést, akik a szabályokat megkerülve a szerverszekrények mellé telepítettek maguknak egy könnyebben elérhető gépet, hogy távolról is dolgozhassanak.