Tudja biztonságban!

2011. augusztus 07. vasárnap - 18:53 / Timár Gigi
  •    

Az IT-biztonság nem ördöngösség, a legkisebbek számára is elérhető vállalható költségekkel. Figyelmen kívül hagyni viszont hatalmas veszteséget okozhat, közvetlenül és áttételesen egyaránt.             

Az informatikai biztonság korántsem csak adatvédelmet jelent, épp ilyen fontos eleme az üzembiztonság fenntartása. Egy jól menedzselt infrastruktúra esetében jelentősen csökkenhet az informatikai problémákból adódó leállások száma, ami kritikus fontosságú lehet például egy gyártással foglalkozó cég esetében – magyarázza Gombás László, a Symantec vezető rendszermérnöke. De épp ilyen nagy és pénzben is jól mérhető gondot okozhat, ha például egy könyvelőcégnél válnak elérhetetlenné az adatok, rövidebb-hosszabb időre.

Szivárgásvédelem

Az adatlopásban utazó bűnözők célkeresztjébe egyelőre szerencsére még nem kerültek be a kkv-k, inkább a nagyobb vállalatokat fenyegetik. Mindemellett az adatszivárgás jellemző probléma, és a vállalkozói felelősség szempontjából is figyelmet kell fordítani a spamek vagy a belső vírusforrások megszűrésére.

 

VPN-védelem
Az adataink természetesen házon belül is biztonságban kell legyenek. A vezetők körében népszerű és valóban hasznos távoli elérések – például e-mailek webes elérése, a magánhálózati (VPN) belépések – biztonsága kiemelten kritikus védendő pont a rendszerben a Nollex szakértője szerint, hiszen az itt még manapság is használt egyszerű jelszavas védelem gyakorlatilag a legtámadhatóbb felületet nyújtja a cég rendszerén. A sima jelszavas védelem helyett egyszeri jelszavas rendszer használata ajánlott. Létezik már olyan egyszeri jelszavas rendszer, ami a bankok SMS-jelszavánál nagyobb biztonságot nyújt, ugyanakkor kkv-ra optimalizálták, így jelentősen kedvezőbb az árfekvése, ráadásul SMS-küldésmentes.

Számos cég olyan adatokkal dolgozik, amelyek értéke pénzben is kifejezhető, például ügyféllistákat kezel. Ilyen profil esetén mindenképpen érdemes kiemelten kezelni a védelmet. Elrettentő példa egy friss eset: az Egyesült Államok egyik legnagyobb marketing-adatbázisokkal foglalkozó vállalata, az Alliance Data érdekeltségi körébe tartozó Epsilon szervereire betörtek, s az ügyféladatok megszerzésével akár 4 milliárd dolláros kárt is okozhattak a cégnek és ügyfeleinek.

A károkozók ráadásul sok esetben nem kívülről jönnek. A Ponemon Intézet felmérése szerint a megkérdezett munkavállalók 80 százaléka magával vitt valamilyen adatot a cégtől való távozásakor. A kapcsolatrendszer, az évek során az egyes partnerekről felhalmozott tudás mind-mind olyasmi, amivel könnyebben érvényesülhettek további szakmai életükben – sok esetben viszont kárt okoztak a korábbi foglalkoztatónak.

Cserélgetik az adatokat

A költségek egyharmadát mindig az új vevő megszerzése jelenti, a megtartás mindössze egytizedet tesz ki. Az ilyen költségek „optimalizálása" érdekében előfordul például, hogy az értékesítők egymás között cserélgetik a velük kapcsolatban lévő ügyfelek adatait. De kikerülhetnek akár folyamatban lévő fejlesztésekre vonatkozó információk is, akár minden rosszhiszeműség nélkül. Ennek kiküszöbölésére a Symantec szakembere elsősorban a cégen belüli jogosultságok, hozzáférések áttekintését javasolja. A legtöbb esetben ezek jelentős szigorítása sem bonyolítja a munkafolyamatokat, viszont nagyban növeli a biztonsági szintet. Kisebb cégeknél sokszor a legbizalmasabb adatok is egyszerű e-mailekben jutnak el egyik kollégától a másikig, amit, mint egy nyílt levelezőlapot, minden „postás" elolvashat, holott indokolt lenne a titkosítás bevezetése. Tehát függetlenül az adott cég nagyságától és tevékenységi körétől, a régóta megszokott alapvető védekezési formák – például vírusvédelem, tűzfal – mellett adott esetben adaszivárgás-védelmi megoldások bevezetése is hasznos lehet – hangsúlyozza Kecskés Győző, a Nollex Nemzetközi Kft. szakértője.

Elmosódott határok

Sokszor okoz problémát a magán- és a céges szféra összemosódása is, jellemzően a kisvállalati környezetben. A kkv-k dolgozói és vezetői legtöbbször egy gépet használnak, ezen végzik napközben a munkájukat, és ugyaninnen csatlakoznak a közösségi oldalakra, játszanak online játékokat vagy szörfölnek a neten éjszaka. Ugyanilyen problémákhoz vezet az is, ha otthon a gyerek a szülők munkában használatos laptopján játszik, vagy használ torrent oldalakat. Ezek működéséhez ugyanis szinte minden biztonsági kaput ki kell kapcsolni, a nyitottság viszont az ugyanazon az eszközön lévő érzékeny adatokhoz való hozzáférést is megkönnyíti. A munkahelyi, érzékeny adatokat kezelő, bankolásra használt gépet tehát lehetőség szerint külön kellene választani Gombás tanácsa szerint. Hasonló a helyzet az egyre kisebb – és egyre könnyebben elhagyható – USB memóriákkal is – teszi hozzá Kecskés. Mennyivel biztonságosabb lenne, ha azokat is titkosítanánk, sőt azt is központilag szabályoznánk, hogy a cég gépeibe mely USB eszközöket (USB memória, fényképezőgép, mobiltelefon és a többi) lehet bedugni, és arra adatot kimásolni.

Veszélyforrást jelent az is, ha egy-egy gépen túlságosan sok adat gyűlik össze. A magyar felhasználók jellemzően gyűjtögető alkatúak, azt érzik biztosnak, ami a gépen elérhető. Így a nyaralóban internet nélkül is lehet dolgozni a folyamatban lévő feladaton – szól a magyarázat. Ugyanakkor a biztonságos vállalati környezetből, adott esetben a professzionálisan védett felhőből kikerülve az adatok sokkal könnyebb prédává válnak. Ez is azt mutatja, hogy az egyik legfontosabb dolog, amit meg kell tenni egy cég informatikai biztonságának érdekében, az a munkatársak megfelelő oktatása, valamint egy jól megtervezett és szigorúan betartatott biztonsági protokoll megalkotása.