IT-biztonság: a költség fele az előírásokra megy

A vállalatokat a biztonsági és informatikai fejlesztésekben nemcsak az motiválja, hogy megfeleljenek az előírásoknak, hanem az is, hogy ezzel növelni tudják a vállalat értékét - közölte Varga Zsolt, a Novell konzultációs részlegének operatív igazgatója.

A magyar vállalatok és szervezetek is egyre többet költenek arra, hogy eleget tegyenek a különböző törvényeknek, szabályoknak, azaz az úgynevezett megfelelősségre sokat fordítanak - emelte ki Varga Zsolt. Elmondása szerint jelentős összegekbe kerül a biztonsági események (logok) alapos vizsgálata, illetve arra is sok pénzt fordítanak, hogy ki, mikor, melyik rendszerbe lépett be és ott milyen tevékenységet végzett.

Az informatikával és biztonsággal foglalkozó szervezetek számára világszerte kulcsfontosságú technológiának számít az információbiztonsági és eseménymenedzsment, a Security Information and Event Management (SIEM), valamint a személyazonosság- és hozzáféréskezelés, az Identity and Access Management (IAM).

A kockázatokat kell csökkenteni

A tapasztalatok szerint egy informatikai projektre szánt költség 50 százaléka fedezi az induláskor kitűzött összes cél megvalósításának 90 százalékát, míg a másik 50 százalékot többnyire arra költik, hogy a vállalat működése megfeleljen az előírásoknak. Mivel ennek megteremtése nem olcsó, egy vállalatnak nem arra kell törekednie, hogy a megfelelőssége 100 százalékos legyen, hanem arra, hogy minimálisra csökkentse a "nem megfelelősségből" származó kockázatokat - fejtette ki a szakember.

A költségek nagyságát az is mutatja, hogy a vállalatok és szervezetek 2005-ben az USA-ban körülbelül 15,5 milliárd dollárt költöttek arra, hogy megfeleljenek az IT-biztonsági követelményeknek. Ezen túlmenően mintegy 46 ezer munkaórát fordítottak az IT-ellenőrzésekre, eleget téve például a Sarbanes-Oxley (SOX) törvényben meghatározott belső ellenőrzési folyamatok felügyeleti szabályának.

Varga Zsolt elmondta: az informatikai megfelelősségnek több kritériuma is van, például az, hogy kizárólag a jogosult személyek kapjanak információkat, az adatok és a tartalom kontroll nélkül ne változzon meg. A világon és Magyarországon nemzetközi és helyi szabályok határozzák meg a cégek működését: a HIPAA a társadalombiztosítás és egészségügyi adatokkal dolgozó szervezetekre, a SOX és az EuroSOX a tőzsdei vállalatokra, a PCI-DSS a bankkártyás tranzakciókat lebonyolító kereskedőkre, a Basel II. pedig a pénzintézetekre vonatkozik. (A legújabb alkalmazásokkal és szenzációnak számító piaci újdonságokkal ismerkedett a hazai IT-biztonsági szakma az immár negyedik alkalommal megrendezett "Informatikai Biztonság Napján" (ITBN))