Az adatokkal való visszaélések komoly gondot okozhatnak az IT területén, azonban nem szabad figyelmen kívül hagyni, az ezen kívül eső területeket sem. Bár napjainkban az adatok kezelése legnagyobb részben elektronikusan történik, a papír alapú dokumentumok, fotók, szóban vagy telefonon történt beszélgetések tartalma vagy hangfelvételek illetéktelen kézbe kerülése is anyagi és erkölcsi veszteséget jelenthet az adott vállalkozás munkatársai, ügyfelei számára is.
A modern fenyegetések modern válaszokat követelnek meg
A lopásból és egyéb visszaélésekből származó kockázatok csökkentését átfogóan, olyan menedzsment rendszer bevezetésével érheti el, amellyel tudatos, tervezett és folyamatosan ellenőrzött működést biztosíthat, részmegoldások helyett. Az információ biztonsága nem egyetlen, vagy néhány biztonsági intézkedést igényel, és nemcsak az IT-területét érinti, hanem szervezeti kérdéseket, erőforrás menedzsmentet, a fizikai biztonsági-, és a jogi védelmet is többek között. Az információbiztonsági irányítási rendszer (ISO 27001 szabvány) segítségével az információk biztonságát, kockázatalapon tudja menedzselni, védeni a lehetséges fenyegetésekkel szemben, biztosítva azok rendelkezésre állását, bizalmasságát és sértetlenségét. (Elsősorban a pénzügyi intézetek vannak veszélyben.)
Az információbiztonság nem egyenlő az informatikai biztonsággal
Az információbiztonsághoz azonosítani kell a vállalkozásában azokat a kritikus területeket, amelyeket szeretne megvédeni, ezek lehetnek folyamatok, technológiák, szervezeti egységek, információs eszközök, de az egész szervezet is tartozhat az információbiztonság hatálya alá. Egy specifikus helyzetfelméréssel pedig fel lehet térképezni a működésbeli erősségeket és gyenge pontokat.
A kockázatértékelésekből származó információkat a lehető legkörültekintőbben kell kezelni, mivel ezek alapján lehet megfogalmazni az intézkedéseket, illetve az értékelés számos további kérdést is felvethet. Például, hogyan biztosítható az ügyfelek által hozzáférhető információk, eszközök biztonsága? Hogyan előzhető meg a szervezeti működés fennakadása? Hogyan biztosítható az, hogy az alkalmazottak, szerződő és felhasználó felek szabályos módon váljanak meg egy szervezettől? A rendszerhibák kockázata hogyan minimalizálható? Hogyan kerülhető el bármilyen jogi, törvényben meghatározott, szabályozási, vagy szerződéses kötelezettség megsértése stb.
Csak a szokásokat kell megváltoztatni
Sok esetben azonban nem technológiai módosításokat vagy beruházásokat kell végezni, hanem a munkatársak szokásain kell változtatni. Meg kell ismerni és ismertetni, hogyan lehet körültekintőbben, biztonságosan használni az információtechnológiát. Ehhez szükség van egy olyan belső szabályozásra, mely világos irányelveket és feladatokat tartalmaz minden munkatárs számára. Összhangban a cég információbiztonsági céljaival átfogóan határozza meg azt az irányt és alapelveket, amely figyelemmel van a jelenlegi működési, jogi, illetve szabályozási követelményekre, és a szerződéses biztonsági kötelezettségekre is.
Az információbiztonsági irányelvek gyakorlati megvalósításában (is) kulcsszerepe van a vezetőség tagjainak. Az első legfontosabb, hogy saját magukra nézve is fontosnak tartsák a szabályokat, a második pedig az, hogy minden kollégával megértessék ennek fontosságát. A menedzsment támogatásával lehet sikeres egy ilyen projekt és ezzel együtt érhető el az, hogy a biztonsági erőfeszítések segítséget jelentenek a mindennapi munka során.
Kohl Zsuzsanna Minőségirányítási szakértő www.kontrolpont.hu
