A vállalati biztonság növelésének költséghatékony eszköze: az informatikai biztonsági oktatás

Egyre többször hallunk arról, hogy a vállalatok és intézmények informatikai rendszerében tárolt fontos vagy éppen bizalmas adatok biztonságát számos fenyegetés veszélyezteti, külső és belső forrásból egyaránt. Nem elég azonban kiváló hardver és szoftvermegoldásokkal körülbástyázott és bonyolult jelszavak alkalmazásával védett informatikai rendszert kialakítani, hiszen a legtöbb esetben a felhasználók „aktív" közreműködése szükséges ahhoz, hogy egy rosszindulatú támadás célba érjen, vagy egy bizalmas adat megfelelő védelem nélkül maradjon és illetéktelen kezekbe kerüljön.

Egyre többször hallunk arról, hogy a vállalatok és intézmények informatikai rendszerében tárolt fontos vagy éppen bizalmas adatok biztonságát számos fenyegetés veszélyezteti, külső és belső forrásból egyaránt. Nem elég azonban kiváló hardver és szoftvermegoldásokkal körülbástyázott és bonyolult jelszavak alkalmazásával védett informatikai rendszert kialakítani, hiszen a legtöbb esetben a felhasználók „aktív" közreműködése szükséges ahhoz, hogy egy rosszindulatú támadás célba érjen, vagy egy bizalmas adat megfelelő védelem nélkül maradjon és illetéktelen kezekbe kerüljön.

Az emberi tényező szerepe egy gazdasági szervezet informatikai rendszerének biztonságában

A fent említett „aktív" közreműködés a legtöbb esetben olyan nem kívánt tevékenységet takar, amelyet inkább jóhiszeműségből, és a tájékozottság hiányából fakadóan, nem pedig konkrét károkozás céljával követnek el a felhasználók. Szintén az emberi tényező áll a szervezeti, adminisztratív hiányosságok hátterében is: károkozás származhat a szabályozás hiányából, vagy a meglévő szabályozás ismertetésének elégtelenségéből, a biztonsági ellenőrzésének hiányából, hozzáférési jogok nem megfelelő kezeléséből vagy az adathordozók felületes címkézéséből, de ide sorolható az IT biztonsági utasítások be nem tartása, rossz jelszókezelés és gondatlan információkezelés is.

A szakértők és független elemző cégek egyetértenek abban, hogy a bekövetkezett károk helyreállítási költsége messze meghaladja a megelőzés költségeit. De a megelőzés során gyakran a legfontosabb tényezőre fordítják a legkisebb hangsúlyt: ez pedig az emberi tényező.

Mit tehetünk az emberi tényező megerősítésére?

A digitális írástudás elterjedésével ma már tevékenységi körtől függetlenül szinte minden gazdasági szervezet rendelkezik kisebb-nagyobb számítógépes hálózattal, vagy komplett informatikai rendszerrel. Az informatikai rendszer szerepe pedig éppen az, hogy segítse az üzletmenetet és az alkalmazottak munkáját, pozíciótól függetlenül – a számítógépes játékokon szocializálódott huszonéves pályakezdőktől a munkáját évtizedekig számítógép nélkül is kiválóan ellátó alkalmazottakig. A megbízható alkalmazottak, saját területükön legkiválóbb szakértők is okozhatnak károkat, ha nem megfelelően védik a munkájuk során kezelt információkat, rosszul tárolják, vagy figyelmetlenségből hozzáférhetővé teszik mások számára.

Az alkalmazottaktól mikor várható el, hogy megfelelő biztonsággal kezeljék a bizalmas vállalati adatokat?

Ma már egyre több vállalat és intézmény ismeri fel a folyamatos továbbképzés jelentőségét, és a Munkavédelmi és Tűzvédelmi Oktatások mellett egyre nagyobb hangsúlyt fektetnek az informatikai biztonsági oktatásra és tudatosságra is. Fontos, hogy az alkalmazottak – akiknek a munkájukhoz bármilyen szinten szükség van számítógép használatára – ismerjék, megértsék és alkalmazzák az informatikai szabályozásokat, és ne szükségtelennek tűnő kényszerként kezeljék azokat. A biztonsági eszközök a felhasználó számára általában láthatatlanok, de közvetlenül érinti őket egy információbiztonsági szabályzat elolvasási kötelezettsége, egy értesítő levél az internetes forgalom esetleges korlátozásáról, egyes web lapok letiltása, vagy a beléptetési szabályok bevezetése amiket – az ok-okozati összefüggések tudatosításának hiányában – a felhasználók frusztrációként élhetnek meg.

Az informatikai biztonsági oktatás célja

Az oktatás célja a biztonsági tudatosság elérése, fenntartása és növelése mellett az, hogy felhívjuk a felhasználó figyelmét arra, hogy a szabályok, szabályzatok bevezetése nem a munkát nehezítő tényező, hanem sokkal inkább segítség, közös vállalati érdek. Folyamatos ellenőrzéssel és visszacsatolással, működési sablonok, valamint szabályzatok kidolgozásával és azok ismertetésével hatékonyan be lehet tartatni a biztonsági előírásokat. Első lépésként érdemes egy felhasználói kézikönyvet összeállítani, amely az adott vállalatra szabottan határozza meg a konkrét munkatársakra vonatkozó felelősségeket és követelményeket, valamint segítséget nyújt a követelmények betartásához. Fontos az oktatás/továbbképzés folyamatossága is, mert a vállalat biztonságát minden esetben a biztonság iránti igénye határoz meg, amelyet az adott vállalat üzletmenete, a környezet, az üzleti követelmények befolyásolnak. Ezek a folyamatosan változó tényezők pedig megkövetelik mind a biztonsági követelmények rendszeres felülvizsgálatát és változtatását, mind a szervezeti struktúra, az alkalmazott technológia új igényekhez történő igazítását, és ennek oktatását. A tudatosság elérése, fenntartása, illetve növelése csak rendszeres képzéssel érhető el, a változásoktól függetlenül is. A képzéseket, kampányokat 6 havonta, de legalább évente célszerű megtartani.

Informatikai biztonsági oktatás – csak biztos forrásból

Az informatikai biztonsági oktatáshoz érdemes külső céget felkérni, mert az informatikai biztonságra specializálódott cégek, mint például a Noreg Kft. is, számos vállalat és intézmény biztonsági problémáját, helyzetét látták már, amelyből le tudják vonni a megfelelő következtetéseket, és az alkalmazandó legjobb gyakorlatot.

A Noreg Kft., az egyik vezető hazai IT biztonsági vállalat, több mint egy évtizede nyújt ügyfelei számára üzletbiztonsági megoldásokat és az ez idő alatt szerzett tapasztalatának köszönhetően magas színvonalú, gyakorlati szempontból megközelített oktatást tart. Az oktatás színvonalát a Noreg Kft. informatikai biztonsági minősítéssel (CISA, CISM, CISSP) rendelkező mérnökeinek naprakész tudása szavatolja. A külső cég további előnye, hogy függetlensége miatt olyan problémákra is rávilágíthat, amit egy belsős nem tehet meg, ezért hitelesebb lehet a vállalatvezetők és alkalmazottak körében.

Vállalatra és személyre szabottan

Nagy hangsúlyt kell fektetni arra is, hogy a szervezet minden szintjén, a vezetőktől a felhasználókig növeljék a biztonsági tudatosságot, melyet a Noreg Kft. egy vállalaton belül célcsoportonkénti oktatással valósít meg. Ezt a vállalat kiegészítheti a témában szervezett workshopokkal, illetve kampányokkal, ahol a biztonságra és a magatartás fontosságára hívják fel a figyelmet.

A biztonság fontosságát tudatosító program kidolgozása során fontos meghatározni az eltérő információs igénnyel rendelkező célcsoportokat, amelyek más-más biztonsági kockázattal, fenyegetettséggel találkoznak.

A célcsoportok általában:

• Biztonsági szakemberek: itt a cél a megfelelő technológiai szakismeret biztosítása.
• Vezetőség: itt a cél tudatosítani a menedzsmentben a biztonsági kérdések vezetői támogatásának fontosságát.
• Munkatársak, felhasználók: az ő esetükben a biztonsági szabályozások célját, értelmezését, a veszélyeket, az ellenük történő védekezés módját és kezelésüket kell ismertetni. A felhasználókban tudatosítani kell, hogy a biztonság nem csak az IT problémája.