Az emberi tényező az it-biztonságban

2015. július 15. szerda - 07:30 / Timár Gigi
  •    

Az igazán biztonságos vállalati informatikának több a humán vonatkozása, mint gondolná az ember. Tehát nem csak a gépekre, az emberekre is figyelnünk kell. Mégpedig három szinten.

A megvásárolt termék önmagában nem véd, akkor sem, ha a legjobbat vettük a piacon. Az it-biztonság nem egy egy termék, hanem egy állapot. El kell érni, és ami nagyon fontos, további cselekvések révén fent kell tartani, működtetni kell.

Az informatikai biztonságot hardver, szoftver és kommunikációs oldalról egyaránt biztosítani kell. Vagyis gondoskodni kell a rendszerek (fizikai réteg), emberek (személyes réteg – képzés, hogy kinek mit kell tennie és ez miért fontos) és folyamatok (szervezeti réteg – konkrét szervezeti cselekvésekre lebontva. Ki húzza ki a dugót, ha kell, ki jelent stb.) megfelelő szabályozottságáról.

A lehetséges incidensek között ugyanis csak egy a vírusok és kártékony kódok. A bitektől távol áll, de fontos probléma az adatszivárogtatás (amikor például egy kolléga, akár vétlenül kivisz, kiad érzékeny adatokat – mondjuk a teljes ügyféllistát küldi el az árajánlat helyett), vagy a szolgáltatás nem rendelkezésre állása. Ez utóbbi a felhő informatika korában különösen fontos és hatalmas károkat okozhat.

Az informatikai biztonságnak tehát fontos része a „humán faktor”, az emberi tényező. A kollégák megfelelő működéséről éppúgy gondoskodnunk kell, mint a gépekről ahhoz, hogy növeljük a céges it-biztonság szintjét. Három fő területet ne tévesszünk szem elől!

Kép:Flickr

1. Felhasználók:

Minden informatikai rendszer leggyengébb pontját a felhasználók jelentik, ez ellen nincs mit tenni. Különösen félelmetesnek tűnik a munka és a magánélet összemosódása a technológia fejlődésének köszönhetően. Ha a kollégák vicces videókat néznek a céges gépen, az nem csak a munkaidő elpocsékolásával fenyeget, de kártékony kódok vagy épp adathalászat áldozatává is nagyobb eséllyel tesznek, mintha kizárólag az üzleti partnereink weboldalait nézegetnénk.

Mindemellett teljesen megtiltani minden, a munkához nem szorosan kapcsolódó weboldal meglátogatását a kollégáknak éppenséggel kontra produktív. A fiatalok estében akár a felmondás oka is lehet, ha nem engedik a közösségi oldalak használatát a munkahelyen, de ha tiltjuk is, az okostelefonok korában megakadályozni nem tudjuk, hogy a kollégák gyakorlatilag ott netezzenek, ahol akarnak.

Ugyanakkor a munkavállalók többsége nem érzi saját felelősségének a vállalati IT biztonság kérdését, a vállalatok negyedénél pedig nincs biztonsági szabályzat. Pedig az egyre szigorúbb tiltások helyett sokkal eredményesebb megoldás a biztonságtudatosság kialakítása, az alapvető oktatás biztosítása. Erre sajnos a legtöbb cégnél nem fordítanak rá energiát, a munkáltató feladata lenne. A biztonsági szint növekedése mellett a felhasználói tudatosság fejlesztésével ráadásul spórolhatunk is, hiszen a legtöbb esetben a tudatlanság miatt sokszorosan több biztosításra van szükség. (Ki ne hallotta volna a „bolond biztos” rendszer kifejezést.)

Az elektronikus adatok biztonságba helyezésének 3 alapfeltétele

Bizalmasság: az adott információt csak jogosult személyek érhetik el.

Sértetlenség: egy adott információt nem módosították adott személyek és ez bizonyítható. Ha esetleg jogosult személy módosította, akkor annak is van nyoma. (Kevés figyelmet fordítanak rá, pedig nagy kockázat.)

Elérhetőség: akkor és ott a feljogosított személyek számára az adott adat sértetlenül elérhető legyen.

2. Pénzügyi vs.műszaki döntéshozók:

Olcsó vagy jó? Ez az alapvető érdekellentét feszül minden cég pénzügyi és műszaki döntéshozója között. Természetesen sok biztonsági kérdés megoldására léteznek ingyenes eszközök, ezek közül jó pár kisebb cégek esetében eredményesen használható is. De ne higgyük, hogy a teljes céges it-biztonság ingyen megoldható! A szakértők óva intenek attól, hogy csak a pénz alapján döntsünk. Hiába fizetünk keveset először, ha utána kétszeres árat bukunk.

Végül is érzékeny céges adatokról és a munka folyamatosságának biztosításáról van szó. Ezt veszélyeztetni üzleti szempontból hatalmas kockázat, amit nem biztos, hogy érdemes vállalni.

3. Műszaki üzemeltetés:

A legtöbb vállalkozásnál dolgozik valamilyen informatikai tudással bíró kolléga, esetleg külső szolgáltatásként igénybe veszik egy rendszergazda tudását. De egy informatikus, nem evidens, hogy ért az it-biztonsághoz is. Ha valaki gépelni tud, nem biztos, hogy meg is tudja szerelni az írógépet. Tehát, ha az üzemeltetésére alkalmas is az informatikai biztonsági rendszerre, de a kialakításhoz nem elvárható, hogy értsen. Fontos rögzíteni, hogy ki felel a biztonságért és kinek(!). Ha nem értünk hozzá, érdemes inkább a független elemző cégek elemzéseit megnézni, hogy ki a megbízható, feltehetően hosszútávon működő stb. szolgáltató, akivel számolhatunk – ez elég lehet ahhoz, hogy kiválasszuk a potenciális jelölteket, akiktől szolgáltatást vásárolunk. Ha már tudjuk, hogy mit áldozunk be és miért, akkor lehet az anyagiak alapján dönteni, az anyagi szempontokat figyelembe venni.

Info & tech
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor