Nemcsak a moziban fontos a jó szereposztás

2018. június 07. csütörtök - 06:06 / piacesprofit.hu
  •    

Akár komoly pénzügyi károktól is megvédheti a vállalatot, ha pontosan szabályozzák és szétválasztják a feladat-, illetve szerepköröket, és minden alkalmazott csak a munkájához szükséges, legalacsonyabb szintű hozzáférésekkel rendelkezik. Ezek felülvizsgálata és naprakészen tartása bonyolult és hosszadalmas folyamat lehet, de a NetIQ szakértői szerint a megfelelő eszközökkel jelentősen egyszerűbbé tehető, és így a biztonságról sem kell lemondani.

„Problémák nincsenek, legfeljebb feladatok”

Max Brooks amerikai író, forgatókönyvíró

Egyre több vállalatnál alkalmaznak olyan megközelítést, amely szerint elkülönítik a feladatköröket (Separation of Duties, Segregation of Duties – SoD), így több személy szükséges az egyes feladatok jóváhagyásához és elvégzéséhez, ami megosztja a felelősséget. Első ránézésre úgy tűnhet, hogy ez akár bonyolultabbá is teheti a folyamatokat, a valóságban azonban elősegíti a szervezet hatékony és biztonságos működését, egyúttal pedig védelmet nyújt a külső és belső veszélyekkel szemben.

Kép: NetIQ

Kép: NetIQ

Mit szabad Jupiternek?

Jól szemléleti a feladatkörök elkülönítésének fontosságát például az új számítógépek vállalati beszerzése. Ebben a folyamatban ideális esetben legalább hárman vesznek részt a cégnél: egy pénzügyes munkatárs, aki jóváhagyja és kifizeti az összeget a termékekért; egy másik személy ugyanazon az osztályon, aki jogosult új szállítókat és új számlákat felvinni a rendszerbe, illetve egy olyan alkalmazott, jellemzően az IT-részlegről, aki jogosult kiválasztani a szállítót és magát az árut.

Adatvédelem: így kezeljük a fiókokat és jogosultságokat
A legtöbb vállalatnál tisztában vannak vele, hogy túl sok rendszergazdai jogosultság kiadása kockázattal jár, mégsem fordítanak kellő figyelmet a területre. A veszély jelentőségére a Verizon „Data Breach Investigations Report” anyaga is rámutatott. A kutatás szerint a hackeléssel elkövetett adatszerzések 81 százalékánál ellopott hozzáféréseket vettek igénybe. Kiemelt jogosultságok birtokában pedig az okozott károk még súlyosabbak lehetnek.

Úgy tűnhet, hogy gyorsabb a folyamat, ha az első két szerepet egy személy látja el, tehát ugyanaz a munkavállaló gondoskodik az új szállító regisztrálásáról, illetve a számla kezeléséről és felviteléről is. Ebben a helyzetben viszont több a hibaforrás, és a visszaélésre is nagyobb a lehetőség, ha az adott alkalmazott esetleg nem megbízható. Nincs ugyanis egy másik „kontrollszemély”, aki észrevehetné, ha hibás tétel szerepel a számlán, vagy nem megfelelő beszállító kerül be a rendszerbe.

Erre az egyik legjobb, a való életből származó példa az az eset, amely az ABB energiaellátással és automatizálással foglakozó vállalat dél-koreai egységénél történt a tavalyi évben. Egy alkalmazott összesen több mint 100 millió dollárt lopott el a cégtől hamis dokumentumok, illetve külső tettestársak segítségével. A vezetőség később maga is megállapította az incidens vizsgálata során, hogy nem voltak megfelelően elkülönítve a feladatok és szerepkörök a pénzügyi részlegen, illetve nem rendelkeztek megfelelő rálátással az ott dolgozók tevékenységére.

Biztonság: egy jelszó mind felett?
Pontosan hogyan gondoskodhatnak arról a vállalatok, hogy felhasználóik megfelelő, erős jelszavakat használjanak az érzékeny adatok és alkalmazások eléréshez, de abból se legyen probléma, hogy a túl bonyolult jelszavakat nehéz megjegyezni? A NetIQ szakértői az egypontos bejelentkezést javasolják.

Vizsgáljunk át mindent

Minden vállalatnál több alkalmazott dolgozik számtalan különféle munka- és szerepkörben, ezért valóban nehéz átlátni, mi mindenhez rendelkeznek hozzáféréssel, és ez milyen véletlen vagy szándékos károkozáshoz vezethet. A NetIQ szakértői szerint a szervezeteknek érdemes feltérképezniük, milyen érzékeny tranzakciók és folyamatok lehetnek veszélynek kitéve, és melyek esetében jelenthet különösen nagy kockázatot, ha valakit túlságosan széles körű jogosultságokkal ruháznak fel.

Érdemes minden egyes, érzékenyebb tranzakció vizsgálatakor feltenni a kérdést, hogy „Mi sülhet el balul az egyes lépéseknél?”, így pontosan átláthatjuk a lehetséges negatív hatásokat. Azt is célszerű megvizsgálni, hogy a meglévő jogosultságok lehetőséget biztosítanak-e valamilyen visszaélésre az adott felhasználónál, illetve előfordulhat-e, hogy külsős csalók egyszerűen, akár egyetlen ember becsapásával is képesek kicsikarni egy nagyobb összeget a vállalattól.

A kockázatok értékelését a cégek manuálisan is elvégezhetik, a hozzáféréseket tartalmazó jelentések és táblázatok átvizsgálásával, de igénybe vehetik egy automatizált személyazonosság- és hozzáféréskezelési rendszer segítségét is, ami felgyorsítja a folyamatokat, és csökkenti a hibalehetőséget is.

Elindult a Piac & Profit Online Akadémia!
Új szolgáltatással jelentkezik a Piac & Profit a hazai kkv-döntéshozók üzleti tudásának gyarapítása érdekében. Piac & Profit Online Akadémiát indítottunk a Piac & Profit Konferenciák legsikeresebb, legjobb előadói kurzusvezetői közreműködésével. Az online képzések egyre népszerűbbek, sokak számára elérhetőbbek. A konferenciákon felhalmozott tudásokat ajánljuk a kkv-döntéshozóknak és az adott szakma jövőjét előre megismerni akaróknak.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek