Informatikai biztonság helyett üzletbiztonság
10 perc olvasás 
A Noreg Kft. 2007.április 24-én tartott tájékoztatót új megoldásáról, a Noreg Üzletbiztonsági Kalkulátorról és ezzel kapcsolatos kezdeményezésérõl, Magyarország Üzletbiztonsági Térképének elkészítésérõl.A tájékoztatón dr.Kõrös Zsolt ügyvezetõ igazgató és Kovács Tamás jelent meg a cég részérõl.
A Noreg Kft. 2007.április 24-én tartott tájékoztatót új megoldásáról, a Noreg Üzletbiztonsági Kalkulátorról és ezzel kapcsolatos kezdeményezésérõl, Magyarország Üzletbiztonsági Térképének elkészítésérõl.A tájékoztatón dr.Kõrös Zsolt ügyvezetõ igazgató és Kovács Tamás jelent meg a cég részérõl.
Kifejtették, olyan szolgáltatást kívántak létrehozni, amellyel bárki, különösen a kis- és középvállalatok emberei ellenõrizhetik, milyen az informatikai védelmük. Korábban kizárólag a nagyvállalatok fordítottak figyelmet informatikai rendszereik védelmére, ezt az igényt ma már nem a vállalat mérete határozza meg. A digitális rendszerek és az e-business fejlõdésével párhuzamosan, a kis- és közepes vállalatoknak is egyre inkább szem elõtt kell tartaniuk mindazon kockázatokat, amelyek kritikus fontosságú üzleti adataik biztonságát veszélyeztetik és kihatással lehetnek üzletmenetükre. Manapság az adott vállalat fõ tevékenységi területéhez mérten határozzuk meg az informatikai rendszer optimális biztonsági szintjét, a vállalat Üzletbiztonsági Szintjét.
A Noreg által definiált Üzletbiztonsági Szint meghatározó tényezõi:
-rendelkezik-e a vállalat internet kapcsolattal, s milyen célra használja,
-van-e másfajta (telefonos, mobil) távoli elérése,
-az alkalmazottak használnak-e munkájuk során mobil eszközöket (notebook, PDA), üzleti szempontból kritikus fontosságú alkalmazásokat, vagy rendszereket (könyvelés, levelezés, HR, ügyfél-adatbázis, stb.),
-milyen mértékben függ a cég tevékenysége az informatikai rendszertõl, tevékenységét csak kiegészíti vagy alaptevékenysége épül rá,
-nyilvános vagy szigorúan bizalmas adatokat tárolnak-e az informatikai rendszerben, elvesztésük erkölcsi-anyagi hátrányt jelent-e,
-adatvesztés esetén könnyen lehet-e pótolni az információkat, vagy a vállalat meg is bénulhat miatta,
-érvényes-e a vállalat mûködésére bármely, IT biztonságot érintõ törvényi elõírás.
A Noreg a fentvázolt célra fejlesztette ki térítésmentesen elérhetõ online eszközét, a Noreg Üzletbiztonsági kalkulátort. A kifejezetten kis- és középvállalatok vezetõinek, döntéshozóinak készített Noreg Üzletbiztonsági Kalkulátorral a cégvezetõk felmérhetik, hogy vállalatuk számára milyen szintû biztonsági megoldás ajánlott ahhoz, hogy üzleti adataik kockázatát reális ráfordítással a lehetõ legkisebbre csökkentsék.
A biztonság szintjének megállapításához a Noreg honlapján, ill. egy külön honlapon ( www.uzletbiztonsag.hu ) elérhetõ kérdõívet lehet kitölteni, anonim vagy névvel visszajelzett formában. A kérdõív alapján a vállalati biztonság szintjét 1-tõl 5-ig terjedõ besorolással látják el.
A Noreg Üzletbiztonsági Kalkulátor kérdéseire válaszolva a felhasználó felmérheti, hogy vállalata jelenlegi informatikai rendszere a megállapított optimális Noreg Üzletbiztonsági Szinthez képest milyen hardver-, szoftver-, és humán erõforrás- felszereltséggel rendelkezik. A Noreg Kft. IT-biztonsági szakértõi elõzõleg 1-tõl 5-ig terjedõ besorolással osztályozták a fenyegetettségi szinteket, pontosan megállapítva azok jellemzõit és a különbözõ szinteket, az un. Noreg Üzletbiztonsági Szint 1-tõl Noreg Üzletbiztonsági Szint 5-ig. Minden egyes fenyegetettségi szint egy-egy Noreg Üzletbiztonsági Szinthez van rendelve, így a felhasználó a Noreg Üzletbiztonsági Megoldások táblázatból kiolvashatja, hogy az adott vállalat biztonságos mûködéséhez és zökkenõmentes üzletmenetéhez szükséges megoldásokhoz képest megfelel-e az elvárásoknak, esetleg hol lépi túl azokat, vagy melyik ponton mutatkoznak hiányosságok.
A Noreg Üzletbiztonsági Kalkulátor utolsó kérdéseként a felhasználó megadhatja, hogy vállalata melyik megyében található és ezzel részt vesz Magyarország Üzletbiztonsági Térképének elkészítésében. Az adatokat megyénként és országos szinten is összesíti a Noreg, az aktuális állást a kitöltõknek megmutatják. A kalkulátorral kapcsolatos promóció végén (2007. június 13.) teszik közzé a végleges eredményt.
A cég által definiált Noreg Üzletbiztonsági Szintek:
A vállalat informatikai rendszere üzletbiztonsági szempontból a legalacsonyabb veszélyeztetettségnek van kitéve, viszont a cég méretétõl függetlenül ajánlott az alapvetõ biztonsági megoldások használata. Ide tartozik a biztonságos internet-kapcsolat kiépítése, tûzfal és egyéb vírusvédelmi szoftverek telepítése. Célszerû, ha a biztonsági megoldások kiválasztását az a szakértõ végzi, akit a rendszer telepítésével illetve karbantartásával is megbíznak. A szakértõnek a továbbiakban rendszeresen ellenõriznie kell a napi frissítéseket, a rendszer beállításait, valamint ügyelnie kell a szoftverlicencek érvényességére és jogtiszta használatukra is.
A vállalat informatikai rendszere üzletbiztonsági szempontból alacsony veszélyeztetettségnek van kitéve. A Noreg Biztonság 2. szintjéhez tartozó vállalatoknak egy esetleges támadásból vagy adatvesztésbõl ritkán származik piaci hátránya, ennek ellenére javasolt, – a megfelelõ szintû információvédelem érdekében – az alapvetõ biztonsági megoldások kiépítése. Az internet-kapcsolat biztonsága miatt nélkülözhetetlen a vírusvédelmi szoftverek és integrált tûzfal használata. Az IT biztonsági- és rendszergazdai feladatok ellátására javasolt egy dedikált munkatárs (a vállalt méretétõl függõen) rész-, vagy teljes munkaidõben történõ foglalkoztatása, akinek kérhetik szakértõi véleményét a biztonsági megoldások kiválasztása során. A munkatársak számára ajánlott minimum évente egyszer egy 2 órás IT biztonsági oktatást tartani, hogy teljes körû tájékoztatást kapjanak az internet használatával járó veszélyekrõl és azok kiküszöbölési módjáról.
A vállalat informatikai rendszere üzletbiztonsági szempontból közepes veszélyeztetettségnek van kitéve.
A vállalatnál ismerik a veszélyforrásokat és fontosnak tartják a védekezést is. Mivel az ilyen vállalat már a Noreg Biztonság 3. szintjéhez tartozik, a vírusirtón és integrált tûzfalon kívül további védelmi eszközök és megoldások (pl. hálózati IDS/IPS, spamszûrõ, VPN megoldás) használata is javasolt az informatika rendszerének zavartalan és hatékony üzemeltetéséhez. Érdemes szétválasztani a rendszergazdai-, és IT biztonsági feladatokat és erre vagy külön szakértõt foglalkoztatni, vagy szolgáltatót megbízni. A rendszer tervezését, kiépítését és frissítését érintõ kérdésekben ajánlatos mind a rendszergazda, mind az IT biztonsági szakértõ véleményét egyeztetni. A munkatársak számára érdemes évente egy vagy két alkalommal IT biztonsági oktatást tartani, mert így tájékoztatást kaphatnak az internet használatával járó veszélyekrõl és ezek kiküszöbölési módjáról.
A vállalat informatikai rendszere üzletbiztonsági szempontból fokozott veszélyeztetettségnek van kitéve, hiszen az információ és annak folyamatos, biztonságos rendelkezésre állása az üzletvitel részét képezi. A Noreg Biztonság 4. szintjéhez tartozó vállalatok esetében ajánlott az informatikai rendszer és az elektronikusan tárolt információk védelmére magas szintû védelmi megoldásokat alkalmazni. Így az integrált tûzfalon, spamszûrõn és VPN megoldáson túl birtokláson alapuló azonosításra, high-end tûzfalra és diszk titkosításra is szükség van. A vállalat informatikai rendszerének felmérése alapján egy szakértõk által összeállított IT biztonsági szabályzat pedig nélkülözhetetlen. A szabályozás a biztonság egyik alappillérét jelenti, így az informatikai döntések meghozatalánál (rendszerbevezetések és azok költségvonzatai) célszerû kikérni az informatikai igazgató és az informatikai biztonsági vezetõ tanácsát is. A dedikált IT biztonsági részlegnek megelõzõ jellegû tevékenységet is kell végeznie, illetve gondoskodnia kell a már meglévõ információk megfelelõen titkosított formában való tárolásáról.
A munkatársak számára ajánlott évente kétszer IT biztonsági oktatást tartani, amelynek során tájékoztatást kapnak az internet használatával járó potenciális veszélyekrõl és ezek kiküszöbölési módjáról. Az adatvesztéssel járó fenyegetésekre különös figyelmet kell fordítani az oktatás során, hiszen a jóhiszemû és nem kellõen odafigyelõ felhasználók súlyos károkat okozhatnak.
A vállalat informatikai rendszere üzletbiztonsági szempontból a legmagasabb veszélyeztetettségnek van kitéve.
A mindennapi munka során használt információk az üzletvitel alapját képezik, így elvesztése/illetéktelen kezekbe kerülése az üzletmenet összeomlását jelentheti. A Noreg Biztonság 5. szintjéhez tartozó vállalatok esetében fontos az informatikai rendszer folyamatos, zökkenõmentes rendelkezésre állása. A teljes körû, többszintû IT biztonsági rendszernek védelmet kell nyújtania a külsõ és belsõ támadások ellen egyaránt. A vállalat informatikai rendszerének felmérése alapján egy szakértõk által összeállított IT biztonsági szabályzat mellett ajánlott katasztrófatervet is készíttetni. Egy dedikált IT biztonsági szakértõi csapat alkalmazása nélkülözhetetlen, véleményüket pedig nem csak a rendszer tervezése, kiépítése és folyamatos karbantartása során, hanem új eszközök, új megoldások tervezett használata elõtt is ajánlott kikérni. A munkatársak számára ajánlott évente kétszer IT biztonsági oktatást tartani, mert így tájékoztatást kaphatnak az internet használatával járó potenciális veszélyekrõl, és ezek kiküszöbölési módjairól. A személyazonosság és hozzáférés alapú biztonsági megoldások mellett az adatvesztéssel járó fenyegetésekre is különös figyelmet kell fordítani az oktatás során, hiszen a jóhiszemû és nem kellõen odafigyelõ felhasználók súlyos károkat okozhatnak.
Táblázat segítségével ellenõrizhetõ, hogy egy vállalat jelenlegi informatikai rendszere a megállapított Noreg Üzletbiztonsági Szinthez képest milyen hardver-, szoftver-, és humán erõforrás- felszereltséggel rendelkezik.
Ha jelenleg az informatikai rendszer nem rendelkezik azokkal az eszközökkel, amelyek ajánlottak a vállalat biztonságos mûködéséhez, a Noreg Információvédelmi Kft. IT-biztonsági szakértõi további tájékoztatást tudnak nyújtani.
|
Az egyes üzletbiztonsági szinteken az alábbi IT biztonsági eszközök és megoldások használata javasolt: |
||||||||||
|
NOREG Üzletbiztonsági Szintek |
1. |
2. |
3. |
4. |
5. |
|||||
|
Vírusvédelem |
x |
x |
x |
x |
x |
|||||
|
Integrált tûzfal |
x |
x |
x |
x |
x |
|||||
|
Felhasználóknak IT biztonsági oktatás |
x |
x |
x |
x |
||||||
|
Internet felõli behatolás detektálás |
x |
x |
x |
|||||||
|
Spamszûrõ |
x |
x |
x |
|||||||
|
VPN megoldás |
x |
x |
x |
|||||||
|
Birtokláson alapuló azonosítás |
x |
x |
||||||||
|
High-end tûzfal |
x |
x |
||||||||
|
Behatolás detektálás belsõ hálózaton, szervereken |
x |
x |
||||||||
|
Mail alapú tartalomszûrés |
x |
x |
||||||||
|
Diszk titkosítás |
x |
x |
||||||||
|
IT biztonsági szabályzat |
x |
x |
||||||||
|
Sérülékenységvizsgáló eszközök |
x |
x |
||||||||
|
Web alapú tartalomszûrés |
x |
|||||||||
|
PKI megoldások |
x |
|||||||||
|
Katasztrófa terv |
x |
|||||||||
|
Üzletmenet folytonosság |
x |
|||||||||
A Noreg Kft. új biztonsági eszközének népszerûsítésére országos reklám kampányt szervez.
A fejlesztés következõ lépcsõfokát a felmérés eredményéhez illesztett megoldási javaslatok jelentik a jövõben.
http://www.uzletbiztonsag.hu/
Harmat Lajos
