Nem varázslat, házirend!

2012. április 06. péntek - 11:50 / Timár Gigi
  •    

Elsősorban a jól megtervezett és karbantartott központi rendszeren múlik egy cég informatikai biztonsága, de az is fontos, hogy a felhasználók értsék, mit miért szabad vagy tilos tenniük. Sok problémát megelőzhet, ha mindenki csak ahhoz fér hozzá, ami tényleg kell a munkájához.

 

Illusztráció: Fényes Gábor
Illusztráció: Fényes Gábor

Egy cégnél fontos és nehezen pótolható anyagi és szellemi értéket képvisel mind a számítógép, mind a cég informatikai rendszere, hiszen lehetővé teszi és megkönnyíti a napi munkát. De a megfelelő működéshez a használattal járó kötöttségeket is vállalni kell.

Üzembiztonság

Egy esetleges vírustámadás, a gépek meghibásodása vagy akár csak túlterhelése nem csak közvetlen módon jelent kiadást a cégnek. Amellett, hogy szakembert kell hívni – aki a kkv-k többsége esetében nem házon belüli alkalmazott -, mind a gép, mind az azon dolgozó ember kiesett munkaideje is pluszköltséget jelent. Jól menedzselt infrastruktúra esetében jelentősen csökkenhet az informatikai problémákból adódó leállások száma. (Naponta több mint egymillió ember válik a számítástechnikai bűnözés áldozatává világszerte.) Az üzembiztonság fenntartása éppen olyan fontos informatikai biztonsági feladat, mint az adatok megóvása.

A céges informatikai infrastruktúra használatának szabályai esetében is igaz, hogy olcsóbb jó állapotban tartani, mint megjavítani. Manapság, amikor minden vállalkozás számára kiemelt feladat a kiadások racionalizálása, különösen előtérbe kerül az értékmegőrzés.

Az, hogy az informatika a mindennapi élet részévé vált, azt is magával hozta, hogy a világhálótól való félelem talán túlságosan is csökkent. A Cisco nemzetközi felmérése szerint éppen ezért a fiatalok meglehetősen lazán kezelik az informatikai szabályokat, és minden negyedik munkavállaló még 30 éves kora előtt „identitáslopás" áldozata lesz. Az internettel együtt felnőtt korosztálynál – életstílusa miatt – elmosódik a magánjellegű és a munkához kapcsolódó tevékenységek közötti határvonal, sőt a felmérés szerint tízből hét fiatal munkavállaló ügyet sem vet az informatikai szabályokra. Azok közül, akik ismerik munkáltatójuk informatikai szabályzatát, tízből heten bevallották, hogy azt több-kevesebb rendszerességgel már megszegték.

Politika és szabályzat
Az informatikai biztonság szabályozását két dokumentumban, az Informatikai Biztonsági Politikában (IBP) – ez az informatikai biztonsággal kapcsolatos alapelveket megfogalmazó általános vagy keretszabályozás, a nemzetközi terminológiát használva gyakran így hívják az Informatikai Biztonsági Irányelveket is –, valamint az Informatikai Biztonsági Szabályzatban (IBSZ) rögzítjük, amely az IBP lebontását és a vállalkozás informatikai rendszereire specifikált részletes szabályozást tartalmazza. Az IBSZ tovább finomítható, és ennek kapcsán elkészíthetők az egyes rendszerek specifikus beállításait részletesen szabályozó biztonsági konfigurációs szabályzatok. Ezek elkészítése azonban csak hosszabb távon is stabil konfigurációk és kiemelten magas védelmet igénylő információk esetén javasolt.

A központ a központi

Minden jól működő informatikai rendszer alapja az, hogy átgondolt struktúra szerint alakítsák ki, amire majd ráépülhetnek a felhasználókra vonatkozó szabályok – hangsúlyozza Nagy Sándor, a Subnet ügyvezetője. E nélkül nehéz megtalálni a védendő pontokat, és kiküszöbölni az esetleges problémákat. Ebből a szempontból akár még pozitívnak is nevezhető a válság hatása Teasdale Harold, a Symantec területi igazgatója szerint, mivel az elmúlt évek minden szervezetet rákényszerítenek szokásai átgondolására, a mindennapi munka hatékonyabbá tételére.

Az alapokat a jó és jogtiszta eszközök és alkalmazások jelentik Nagy Sándor szerint. A vírusvédelem és a frissítések naprakészen tartása alapvető, ezek nélkül a legjobb rendszer is sérülékennyé válik. Ha minden felhasználó gépén megfelelőek a központi beállítások, és jól karbantartott a védelem, akkor nem fenyegeti komoly veszély a rendszert. Régebben – vírus- és adatvédelmi okok miatt – szokás volt korlátozni a külső adathordozók használatát is, de ennek ma már nincs jelentősége a szakember szerint, hiszen pendrive helyett az interneten is bármi szabadon küldhető.

Akár már két-három gép esetén is fontos, hogy közülük egy kitüntetett szerepben legyen – nagyobb géppark esetén ezt szerver látja el -, és minden fontos adatot tároljon. E gépnél érdemes erősebb fizikai védelmet is kiépíteni, legalább egy szünetmentes áramforrás üzembe állításával. A rendszer akkor működik jól, ha mindenki bármikor hozzáfér a munkájához szükséges anyagokhoz és alkalmazásokhoz, de semmivel sem lát többet, terheli a gépét többel ezeknél. A központi adattárolásra épülő rendszer lehetővé teszi a hozzáférések szabályozását is, ami szintén alapvető fontosságú. Ki kell jelölni a rendszergazdai jogosultságokkal rendelkező munkatársakat. Rajtuk kívül mindenki csak felhasználói jogosultságokkal bírjon az irodai gép esetében, így nincs lehetősége programokat telepíteni, de az is korlátozható, hogy milyen dokumentumokat lát vagy szerkeszthet is az adott felhasználó. Kizárólag felhasználói jogosultsággal ugyanis nehéz „maradandó kárt" okozni egy gépen. A legtöbb esetben e jogosultságok jelentős szigorítása sem bonyolítja a munkafolyamatokat, viszont nagyban növeli a biztonságot. Nagyon fontos a biztonsági mentések bevezetése, amelyet a központi tárhely segítségével sokkal egyszerűbben vagy akár automatikusan el lehet végezni. De ez esetben is fontos a rendszer kialakítása: ha rögzítjük, hogy mit, mikor, hol és hogyan kell tárolni, akkor az adatok később, konkrét embertől függetlenül is fellelhetők.

Minden jól működő informatikai rendszer alapja az, hogy átgondolt struktúra szerint alakítsák ki, amire majd ráépülhetnek a felhasználókra vonatkozó szabályok

Rugalmasság korlátok között

Ott, ahol az informatika nem része az alaptevékenységnek, érdemes lehet az alkalmazásportfóliót is egységesíteni: meghatározható, hogy milyen alkalmazások lehetnek a gépre telepítve, ha pedig valaki mégis alternatív programot akar, azt a rendszergazda – a cégvezetővel egyeztetve – telepítheti. Érdemes titkosítást bevezetni a levelezésben, ha érzékeny adatokat küldünk, cégen belüli kommunikáció esetén pedig biztonságosabb módon is le lehet bonyolítani érzékeny dokumentumok küldését. Egy egyszerű e-mail olyan, mint egy nyílt levelezőlap, amit minden „postás" elolvashat.

Sok problémát okoz például, hogy a felhasználók nem veszik komolyan a jelszavas azonosítási rendszereket, és akár az egész cég egyetlen azonosítót használ. Pedig a jelszó akkor tölti be rendeltetését, ha csak a tulajdonosa ismeri: védi a felhasználót, mert illetéktelenek számára lehetetlenné teszi az állományaiba való betekintést, a levelek elolvasását vagy a jogosulatlan bejelentkezést; és védi a hálózat többi használóját is, mert lehetővé teszi a szabálysértők azonosítását. Ugyanakkor ahhoz, hogy az informatikai biztonsági szabályok katonai fegyelem nélkül is betartathatók legyenek, igazodniuk kell a mindennapi igényekhez. Így nemcsak a fiatal munkavállalók, hanem az egyre sokasodó új eszközök miatt is változnia kell a tiltásoknak és lehetőségeknek.

A vállalatok például jellemzően korlátozzák a közösségi oldalak és médiaalkalmazások vagy éppen a chatprogramok használatát (erre hardveres és szoftveres lehetőség is van), pedig ezek megfelelő felkészítés után hatékony eszközök lehetnek. Az egyre jobban használható mobil eszközök is tiltólistán vannak a legtöbb szabályzatban, pedig a Cisco szakértői szerint kiemelten fontos a szabályzatok olyan módosítása, hogy azok eleget tegyenek a mobilitás és a hatékony munkavégzés iránti igényeknek, ugyanakkor kezelhető szinten tartsák a kockázatokat. Ha ezt jól csináljuk, akkor biztonságossá válik a mobilitás és a közösségi médiumok elérése, ez pedig hozzájárul a produktivitás növeléséhez.

Elmosódott határok
Sokszor okoz problémát a magán- és a céges szféra összemosódása, jellemzően a kisvállalatoknál. A kkv-k dolgozói és vezetői legtöbbször egy gépet használnak, ezen végzik napközben a munkájukat, és ugyaninnen csatlakoznak a közösségi oldalakra, játszanak online játékokat, vagy szörfölnek a neten. Ugyanilyen problémákhoz vezet az is, ha otthon a gyerek a szülők munkához használatos laptopján játszik, vagy használ torrent oldalakat. Ezek működéséhez ugyanis szinte minden biztonsági kaput ki kell kapcsolni, a nyitottság viszont az ugyanazon az eszközön lévő érzékeny adatokhoz való hozzáférést is megkönnyíti. A munkahelyi, érzékeny adatokat kezelő, bankolásra használt gépet tehát lehetőség szerint külön kell választani. Hasonló a helyzet az egyre kisebb – és egyre könnyebben elhagyható – USB memóriákkal is. Mennyivel biztonságosabb lenne, ha azokat is titkosítaná mindenki, sőt azt is központilag szabályozná, hogy a cég gépeibe mely USB eszközöket – memória, fényképezőgép, mobiltelefon és a többi – lehet bedugni, és arra adatot kimásolni. Veszélyforrást jelent az is, ha egy-egy gépen túlságosan sok adat gyűlik össze. A magyar felhasználók jellemzően gyűjtögető alkatúak, azt érzik biztosnak, ami a gépen elérhető. Így a nyaralóban internet nélkül is lehet dolgozni a folyamatban lévő feladaton – szól a magyarázat. A biztonságos vállalati környezetből, adott esetben a professzionálisan védett felhőből kikerülve viszont az adatok sokkal könnyebb prédává válnak.