A vállalkozások információinak, adatainak biztonsága minden cég életében központi kérdés. Nem csak azért, mert a kiszivárgott adatok komoly biztonsági kockázatokat jelentenek, hanem azért is, mert az ügyfelek bizalmát is könnyen megingathatja a hanyag informatikai biztonság.

Hiszen mit mond az egy vállalkozásról, ha információk szivárognak ki tőle akár egy rosszindulatú támadás, akár egy alkalmazott miatt?

Az információ védelme fontos, mégis sokan elhanyagolják

Az IT biztonságról rengeteget olvashat minden IT szakember és minden cégvezető, hiszen számos írás jelenik meg azzal kapcsolatban, hogy milyen aktuális támadások, fenyegetések várhatóak. Ennek ellenére sokan mégis félvállról veszik a problémát, és nem fordítanak kellő figyelmet erre a területre.

A legtöbben arra számítanak, hogy őket biztosan nem érheti semmi baj, amikor pedig mégis bekövetkezik a legrosszabb, a cégnek nincs katasztrófaterve, vagyis olyan teendők sorozata, amik akkor lépnek életbe, ha adatvesztés következik be.

Ha mindehhez még azt is hozzávesszük, hogy egy osztrák és magyar vállalatokat vizsgáló kutatásból az derül ki, hogy hazánkban az információbiztonság-tudatosság nem éppen magas fokú, akkor nem kapunk éppen kedvező képet a hazai helyzetről.

Hazánkban az információbiztonság-tudatosság nem mondható jónak

Néhány évvel ezelőtt a Grazi Egyetem és a Miskolci Egyetem hallgatóinak bevonásával készült egy kutatás azzal kapcsolatban, hogy a két ország munkavállalóinak információbiztonság-tudatossága mennyire tekinthető jónak.

A kérdőívet több szektor, így a nagyobb vállalatok, a mikrovállalkozások, illetve a kis- és közepes vállalkozások munkavállalóival is kitöltették, a kapott eredmény pedig egyáltalán nem tekinthető meglepőnek. A felállított öt kategória alapján, amibe a kérdőívet kitöltőket sorolták a válaszok alapján, egyértelműen megállapítható, hogy nálunk még a nagyvállalatok vezetői sem mindig tartják be az információbiztonsági előírásokat, még akkor sem, ha egyébként tisztában vannak vele, hogy mi lenne a teendő.

A helyzet mindezek ellenére mégis a nagyvállalatoknál a legjobb, vagyis korreláció mutatható ki a cég mérete, valamint az információbiztonság-tudatosság között. Mint ahogy az az összefüggés is kimutatható, hogy ahol az alkalmazottak informatikai műveltsége magasabb, ott az információbiztonság is jobbnak mondható.

Meglepő eredmény, hogy a megkérdezett kis- és közepes vállalkozások egyikében sem akadt olyan, aki teljes mértékben tisztában lenne a biztonsági előírásokkal, és mindenben követné is azokat, ami elég aggasztó tény.

Vagyis a munkavállalók megfelelő oktatása, és a továbbképzéseken való részvételük annak érdekében, hogy tisztában legyenek az információ kezelésének szabályaival, és maximálisan be is tartsák azt, az IT biztonság egyik kulcsa.

Milyen fenyegetésekkel kell szembenéznie egy cégnek az információt illetően?

Amikor az IT biztonságról beszélünk, akkor először mindenkinek a kibertámadások jutnak az eszébe – azok az illetéktelen behatolások, amelyek során a cégnél tárolt adatok, valamint az ügyfelekkel kapcsolatos kényes információk kerülnek napvilágra. Csakhogy az információt számos egyéb magatartás is veszélyezteti, köztük olyanok, amikkel a szivárogtatáshoz hozzájáruló személy nincs is tisztában.

Az adatokat nem csak az illetéktelen behatolók kompromittálhatják, bár ettől a veszélytől tartanak a leginkább a cégek, hanem a saját alkalmazottaik is. Sőt, az esetek többségében éppen ők azok, akik a képzetlenségük, vagy az oda nem figyelésük miatt kockára teszik az információ biztonságát.

A fenyegetések között a fentieken kívül olyan, látszólag lényegtelen körülmények is megtalálhatóak, mint például a légkondicionáló-rendszer meghibásodása, ami a szerver túlmelegedéséhez, és így közvetve adatvesztéshez vezethet. De akár egy rosszul megtervezett informatikai rendszer is okozhat gondokat az IT biztonságban.

Az emberi tényező szerepe az információbiztonságban

Amikor egy vállalkozás informatikai rendszerét tervezik, akkor sok szempontot érvényesítenek annak érdekében, hogy az IT biztonság hardveresen és szoftveresen a lehető legmagasabb fokú legyen. Van azonban egy tényező, amit gyakran nem vesznek figyelembe még a gyakorlott informatikai szakemberek sem, ez pedig az emberi tényező.

Azt is mondhatjuk, hogy egy cégen belül az információ és az adatok biztonságát illetően az ember a szűk keresztmetszet, ezért különösen fontos, hogy a vállalkozás munkatársai a megfelelő információbiztonsági képzésekben részesüljenek. Az információ biztonságával kapcsolatos ismeretek ugyanis oktathatók, így a szükséges tudás birtokában a cégek is nagyobb biztonságban lesznek majd.

Különösen a kis- és közepes vállalkozások esetén fontos, hogy az alkalmazottak részt vegyenek a szükséges képzésen, aminek több célja is van. Egyrészt az, hogy valamennyi munkatárs megismerje és alkalmazza az adatok kezelésére vonatkozó összes szabályt, másrészt, hogy azzal is tisztában legyenek, hogy az általuk kezelt információk mennyire fontosak.

11349564l.jpg

Milyen károkat okozhat a nem megfelelő információbiztonság?

Ha egy cégnél nem megfelelő az információbiztonság, akkor annak súlyos következményei lehetnek a vállalat életében. Ezek között az adatvesztés éppolyan előkelő helyen szerepel, mint az, hogy érzékeny adatok olyanok kezébe kerülnek, akik azt rossz célokra használják majd fel.

A hardverek meghibásodása is a lehetséges következmények között szerepel, ami plusz költségeket is terhel a cégre, hiszen ezeket az eszközöket javítani kell, illetve bevételkiesés, és az ügyfelek bizalmának az elvesztése is következhet abból, ha az informatikai rendszer leáll.

ISMS, azaz az információbiztonsági irányítási rendszer

Információbiztonsági irányítási rendszerrel minden cégnek rendelkeznie kell, vagyis rendelkeznie kellene. Ez egy olyan terv, ami világosan leírja, hogy az adott cégen belül milyen lépéseket kell tenni az IT biztonság érdekében, és azt is, hogy az alkalmazottak körében hogyan érhető el az információbiztonsági-tudatosság.

Az ISMS koncepciója arra a feltevésre épül, hogy minden egyes szervezetnek létre kell hoznia egy olyan következetes információbiztonsági politikát, amit azután a napi gyakorlatban is alkalmaz, és a változó igények függvényében folyamatosan fejleszt a megfelelő IT biztonság érdekében.

Ez első olvasatra nagyon szárazon hangzik, de anélkül, hogy a pontos szabályokat lefektetnék egy vállalaton belül az adatok kezelésével, és a számítógépes rendszer használatával kapcsolatban, egyetlen szervezet esetén sem lehetséges a minimális szinten tartani a biztonsági kockázatokat. Sőt, még így nagy az esély arra, hogy egy váratlan esemény következik be.

Plan-Do-Check-Act: tervezés, cselekvés, ellenőrzés és beavatkozás

Az információbiztonsági irányítási rendszer kidolgozása négy alapvető lépésből áll. Ezek a tervezés, a cselekvés, az ellenőrzés, valamint szükség esetén a beavatkozás.

Tervezés: ebben a fázisban kerül megtervezésre az ISMS a megfelelő szabványok alapján. A folyamat részeként a szakemberek felmérik a cégen belüli lehetséges informatikai biztonsági kockázatokat, majd kiválasztják a megfelelő eszközöket.

Cselekvés: ekkor történik a rendszer megvalósítása és működtetése.

Ellenőrzés: ez a szakasz az eredmények értékeléséről szól, vagyis arról, hogy az alkalmazott megoldások mennyire hatékonyak és eredményesek.

Beavatkozás: a szükséges változtatások elvégzését foglalja magában, ami azt a célt szolgálja, hogy az információbiztonsági rendszer valóban hatékonyan működjön.

Miután elkészül a cég információbiztonsági irányítási rendszere, már csak egyetlen feladat van hátra: megismertetni azt a vállalkozás alkalmazottaival, hogy mindenki tisztában legyen vele, milyen szabályok vonatkoznak rá az információ, illetve az IT eszközök kezelésével kapcsolatban.

Ha a vállalat munkatársai megkapják a megfelelő képzést, akkor a cégen belül is javul az információbiztonság-tudatosság.