Információ = hatalom, avagy az információbiztonság öt alappillére

Napjainkban a vállalatoknak mindennapi üzletmenetük biztosítása mellett kiemelten kell foglalkozniuk az információbiztonság megteremtésével, mivel a bizalmas információk megőrzése, sértetlenségének és rendelkezésre állásának biztosítása alapvető fontosságú.

Napjainkban a vállalatoknak mindennapi üzletmenetük biztosítása mellett kiemelten kell foglalkozniuk az információbiztonság megteremtésével, mivel a bizalmas információk megőrzése, sértetlenségének és rendelkezésre állásának biztosítása alapvető fontosságú.

Az információbiztonságra ma már nem csupán prevencióként kell tekintetni, hanem sokkal inkább átfogó stratégiai kérdésként. A vállalatok az információbiztonsági feladatokat sokszor az informatikai biztonság megteremtésével próbálják lefedni, ám ez nem egytényezős feladat, hanem egy komplex, sokszereplős folyamat eredménye. A NAVIGATOR Informatika Zrt. ezért összegyűjtötte azokat a tényezőket, melyek áttekintése kulcsfontosságú lehet a legmagasabb vállalati információbiztonsági szint kiépítéséhez.

Az információbiztonság öt alappillére:

1. Felmérés, azaz azonosítsd a kockázatokat
2. Ne értékeld túl a saját felkészültséged! – A szabályzatok
3. A bizalom fontos, a felügyelet még fontosabb! – Az emberi tényező
4. Az informatikai rendszered átfogóan kezeld!
5. A biztonsági szintet folyamatos felülvizsgálatokkal tartsd fent!

Az információbiztonságnak nem csupán magára az adatra kell kiterjednie, hanem többek között annak helyére, formátumára, az adatokat kezelő egyénekre és információhordozó eszközökre is, valamint védeni kell az elektronikus és papíralapú adatokat, az eszközöket, objektumokat és informatikai rendszereket egyaránt. Emellett olyan, hétköznapinak tűnő folyamatokat is szigorúan ellenőrizni kell, mint az eszközök selejtezése, valamint a természeti csapásokra is fel kell készülni. A teljes információbiztonsági rendszer kiépítésénél nagyon fontos az adott szervezettől, belülről jövő kezdeményezés: amennyiben a szervezet vezetői és alkalmazottai nem partnerek a megfelelő biztonsági szint alkalmazásában, a rendszer nem nyújthat kellő védelmet a bizalmas vállalati információknak.

1. Felmérés, azaz azonosítsd a kockázatokat

A teljes információbiztonság kialakításának első lépéseként alaposan meg kell vizsgálni többek között a vállalat külső és belső környezetét, az eszközállományt, az adatstruktúrát és a jogosultsági szinteket. Meg kell határozni azokat a pontokat, ahol az aktuális védelmi szint alacsony, vagyis könnyen támadható. Nem elég csupán az eszközöket vizsgálni, hanem a folyamatokat és a személyeket is át kell világítani ahhoz, hogy valóban minden veszélyforrást ki lehessen szűrni. Az információbiztonság szempontjából pedig az egyik legfontosabb a szakértelem: ha nem szakemberek végzik el a felmérést, és később a védelem bástyáinak kiépítését, beláthatatlan károk keletkezhetnek. A különböző vállalati folyamatokat érintő információbiztonsági auditot a nagyvállalatoknál és a kis- és középvállalkozásoknál egyaránt évente egy alkalommal érdemes elvégeztetni.

2. Ne értékeld túl a saját felkészültséged! – A szabályzatok

A vállalatok számára a hatékony és biztonságos működés alappillérei a szabályzatok. A szervezeteknél kiemelten fontos, hogy a jogosultsággal rendelkező alkalmazottak időben hozzájussanak az információkhoz, ám emellett feltétlenül szükség van egy olyan biztonsági keretrendszerre, amely kizárja, hogy illetéktelen személyek is hozzáférjenek a bizalmas adatokhoz. Az információbiztonság szempontjából a legfontosabb szabályzat az Informatikai Biztonsági Házirend, melynek segítségével körülhatárolható többek között a papíralapú, az elektronikus, és a személyeknél megtalálható adatok védelme, és a jogosultságok egyaránt. Az Informatikai Biztonsági Házirend két alapterülete az információvédelem és az informatikai infrastruktúra megbízható működésének biztosítása, mely sokkal többet jelent az eszközszintű – csupán hardver és szoftverelemeket tartalmazó – védelmi megoldásoknál. Magában foglalja többek a nem elektronikus adatok tárolásának feltételeit, a személyi jogosultsági köröket, és az egyes információhordozó eszközök tárolási módját, és az eszközök selejtezésének pontos szabályait.

3. A bizalom fontos, a felügyelet még fontosabb! – Az emberi tényező

A vállalatok többnyire tisztában vannak vele, milyen biztonsági kockázatok merülnek fel a hétköznapokban, azonban a kevésbé nyilvánvaló fenyegetéseket – mint az eszközök selejtezését, vagy saját alkalmazottaikat – alábecsülik. Az illetéktelen kezekbe kerülő információk nem ritkán súlyos pénzügyi vagy jogi problémát okozhatnak egy szervezetnek, és akár a vállalatról a közvéleményben kialakult képet is veszélyeztethetik. A bizalom fontos, amikor az alkalmazottak vállalati információkhoz férnek hozzá, de a felügyelet még fontosabb. A vállalatok a különböző folyamataikban az információk kiszivárgásának korlátozására számtalan megoldást alkalmazhatnak. A megfelelő biztonsági intézkedésekkel a kockázatok jelentős mértékben csökkenthetők, ezért mindig a vállalat méret- és biztonsági igényeihez illeszkedő megoldást kell választani. A különböző jogosultsági szintek pontos szabályozásával, titkosítással, és jelszavak használatával nem csupán egy esetleges adathalászati támadás védhető ki, de a belső adattámadások is elkerülhetőek.

4. Az informatikai rendszered átfogóan kezeld!

A biztonságos informatikai rendszer kiépítése már az eszközök és megoldások beszerzésnél, és a beszállító partnerek kiválasztásánál elkezdődik. Az információbiztonságot szem előtt tartva, a vállalatoknak figyelembe kell venniük, hogy az adott eszköz vagy megoldás milyen mértékben felel meg, és integrálható személyre szabottan az adott szervezet informatikai rendszerébe. A beszállítóknak és a szolgáltatóknak ebben kiemelt szerepük van, és olyan tanácsokkal és szabályzatokkal is folyamatosan segíteniük kell az ügyfeleket, melyekben a bizalmas adatok életciklusának minden életszakaszára vonatkozóan felhívják a figyelmet a különböző információbiztonsági fenyegetésekre.

Az eszközökön és megoldásokon felül, a külső és belső jogosulatlan használat megelőzésének érdekében, kiemelten fontos a megfelelő jogosultsági szintek kiépítése.

5. A biztonsági szintet folyamatos felülvizsgálatokkal tartsd fent!

A vállalati információbiztonságot nem elég kiépíteni: folyamatos ellenőrzés alatt kell tartani az eszközöket és a munkavállalókat, és felülvizsgálni a szabályzatokat. A védelemi szint tesztelése többféle módon végezhető el: egyrészt imitált támadással, illetve folyamatos belső ellenőrzéssel. Az imitált támadás során például ellenőrizhető, hogy természetesen ártó szándék nélkül hozzá lehet-e férni a bizalmas vállalati információkhoz. Az információbiztonsági ellenőrzések mélységét mindig az határozza meg, hogy mely területekre terjednek ki. Az átfogó IT audit például magában foglalhatja a munkaállomásokat, a szoftvereket, a szervereket és egyéb hálózati eszközöket, a jogosultságokat, de még és könyvtár struktúrát is.

„Az elmúlt időszakban jelentősen megnőtt a hatékony vállalati információbiztonsági rendszer kiépítésének szükségessége. Az információvédelem ma már fontos stratégiai kérdés, hiszen már nem csupán arról kell dönteni, hogy milyen vírusirtót alkalmazzanak a vállalatok, hanem jogosultságról, szabályokról, folyamatokról egyaránt. A NAVIGATOR sok éves tapasztalata azt mutatja, hogy a vállalatoknak felkészültnek kell lenniük, mert utólag sokkal nehezebb a bekövetkezett károkat enyhíteni" – mondta Juhász Lajos, a NAVIGATOR Informatika Zrt. vezérigazgatója.