A megvásárolt termék önmagában nem véd, akkor sem, ha a legjobbat vettük a piacon. Az it-biztonság nem egy egy termék, hanem egy állapot. El kell érni, és ami nagyon fontos, további cselekvések révén fent kell tartani, működtetni kell.
Az informatikai biztonságot hardver, szoftver és kommunikációs oldalról egyaránt biztosítani kell. Vagyis gondoskodni kell a rendszerek (fizikai réteg), emberek (személyes réteg – képzés, hogy kinek mit kell tennie és ez miért fontos) és folyamatok (szervezeti réteg – konkrét szervezeti cselekvésekre lebontva. Ki húzza ki a dugót, ha kell, ki jelent stb.) megfelelő szabályozottságáról.
A lehetséges incidensek között ugyanis csak egy a vírusok és kártékony kódok. A bitektől távol áll, de fontos probléma az adatszivárogtatás (amikor például egy kolléga, akár vétlenül kivisz, kiad érzékeny adatokat – mondjuk a teljes ügyféllistát küldi el az árajánlat helyett), vagy a szolgáltatás nem rendelkezésre állása. Ez utóbbi a felhő informatika korában különösen fontos és hatalmas károkat okozhat.
Az informatikai biztonságnak tehát fontos része a „humán faktor”, az emberi tényező. A kollégák megfelelő működéséről éppúgy gondoskodnunk kell, mint a gépekről ahhoz, hogy növeljük a céges it-biztonság szintjét. Három fő területet ne tévesszünk szem elől!
1. Felhasználók:
Minden informatikai rendszer leggyengébb pontját a felhasználók jelentik, ez ellen nincs mit tenni. Különösen félelmetesnek tűnik a munka és a magánélet összemosódása a technológia fejlődésének köszönhetően. Ha a kollégák vicces videókat néznek a céges gépen, az nem csak a munkaidő elpocsékolásával fenyeget, de kártékony kódok vagy épp adathalászat áldozatává is nagyobb eséllyel tesznek, mintha kizárólag az üzleti partnereink weboldalait nézegetnénk.
Mindemellett teljesen megtiltani minden, a munkához nem szorosan kapcsolódó weboldal meglátogatását a kollégáknak éppenséggel kontra produktív. A fiatalok estében akár a felmondás oka is lehet, ha nem engedik a közösségi oldalak használatát a munkahelyen, de ha tiltjuk is, az okostelefonok korában megakadályozni nem tudjuk, hogy a kollégák gyakorlatilag ott netezzenek, ahol akarnak.
Ugyanakkor a munkavállalók többsége nem érzi saját felelősségének a vállalati IT biztonság kérdését, a vállalatok negyedénél pedig nincs biztonsági szabályzat. Pedig az egyre szigorúbb tiltások helyett sokkal eredményesebb megoldás a biztonságtudatosság kialakítása, az alapvető oktatás biztosítása. Erre sajnos a legtöbb cégnél nem fordítanak rá energiát, a munkáltató feladata lenne. A biztonsági szint növekedése mellett a felhasználói tudatosság fejlesztésével ráadásul spórolhatunk is, hiszen a legtöbb esetben a tudatlanság miatt sokszorosan több biztosításra van szükség. (Ki ne hallotta volna a „bolond biztos” rendszer kifejezést.)
Bizalmasság: az adott információt csak jogosult személyek érhetik el.
Sértetlenség: egy adott információt nem módosították adott személyek és ez bizonyítható. Ha esetleg jogosult személy módosította, akkor annak is van nyoma. (Kevés figyelmet fordítanak rá, pedig nagy kockázat.)
Elérhetőség: akkor és ott a feljogosított személyek számára az adott adat sértetlenül elérhető legyen.
Olcsó vagy jó? Ez az alapvető érdekellentét feszül minden cég pénzügyi és műszaki döntéshozója között. Természetesen sok biztonsági kérdés megoldására léteznek ingyenes eszközök, ezek közül jó pár kisebb cégek esetében eredményesen használható is. De ne higgyük, hogy a teljes céges it-biztonság ingyen megoldható! A szakértők óva intenek attól, hogy csak a pénz alapján döntsünk. Hiába fizetünk keveset először, ha utána kétszeres árat bukunk.
Végül is érzékeny céges adatokról és a munka folyamatosságának biztosításáról van szó. Ezt veszélyeztetni üzleti szempontból hatalmas kockázat, amit nem biztos, hogy érdemes vállalni.
3. Műszaki üzemeltetés:
A legtöbb vállalkozásnál dolgozik valamilyen informatikai tudással bíró kolléga, esetleg külső szolgáltatásként igénybe veszik egy rendszergazda tudását. De egy informatikus, nem evidens, hogy ért az it-biztonsághoz is. Ha valaki gépelni tud, nem biztos, hogy meg is tudja szerelni az írógépet. Tehát, ha az üzemeltetésére alkalmas is az informatikai biztonsági rendszerre, de a kialakításhoz nem elvárható, hogy értsen. Fontos rögzíteni, hogy ki felel a biztonságért és kinek(!). Ha nem értünk hozzá, érdemes inkább a független elemző cégek elemzéseit megnézni, hogy ki a megbízható, feltehetően hosszútávon működő stb. szolgáltató, akivel számolhatunk – ez elég lehet ahhoz, hogy kiválasszuk a potenciális jelölteket, akiktől szolgáltatást vásárolunk. Ha már tudjuk, hogy mit áldozunk be és miért, akkor lehet az anyagiak alapján dönteni, az anyagi szempontokat figyelembe venni.
