Szexi, és a profitot is növeli, de hogyan kapcsolódhat egy kisebb cég ehhez a trendhez?
Ötlépcsős útiterv a fenntarthatósági célkitűzések üzleti stratégiába építéséhez.
A valóság vélhetően az amúgy igen szűkkörű statisztikáknál is szomorúbb, hiszen egy vállalat rendszerint inkább eltitkolja, ha informatikai rendszerét támadás éri – árnyalja a képet Török Szilárd, A BDO Magyarország IT Megoldások üzletágának partner ügyvezetője. Arra is felhívta a figyelmet, hogy két jó szakember átlagosan két nap alatt a legnagyobb hazai vállalati és pénzügyi rendszerbe is képes ma behatolni. Tökéletes védelem persze legfeljebb elméletben létezik, ám az adatvédelemért felelős vállalati informatikusoknak célszerű priorizálniuk: bár hasznos lehet akár százmillió forintot is elkölteni jogosultsági mátrixok elkészítésére, sokszor égetőbb szükség volna megfelelő betörési tesztek elvégzésére – amelyek egyébként a fenti összeg töredékéből is megvalósíthatók. Az sem elég, ha a vállalat a legkorszerűbb rendszerekkel szereli fel magát, azt testre is kell szabni.
Ahogy egy hacker megfogalmazta: „Ha látom, hogy egy behatolásvédőn alapértelmezett beállítások vannak, két dolgot is megtudok egyszerre: pénz van, szaktudás nincsen.” Mindez pedig szinte vonzza a feltöréssel próbálkozókat, akiknek jó esetben csak a kihívás motivál, rosszabb esetben azonban komoly gazdasági kárt is okoznak áldozatuknak.
A gyakorlat egyértelműen azt mutatja, hogy a megelőzés az adatvédelem területén is jóval kevesebbe kerül, mint a kármentés, írja közleményében a BDO Magyarország könyvvizsgáló és tanácsadó cég. A z adatlopások - a közlemény szerint - száz százalékosan sosem zárhatók ki, hiszen például a monitor adott pillanatban történő lefényképezése egy mobiltelefonnal is komoly veszteséget okozhat az adatgazdának. Az viszont tény, hogy a megfelelő védelem nagyobb eséllyel riasztja el a behatolással próbálkozót. Egy adatszivárgás elleni szoftver jelenléte már önmagában is erősíti a munkavállalókban a biztonsági tudatosságot. A testre szabás során ugyanakkor arra is ügyelni kell, hogy miközben a valódi támadások ellen hatékony védelmet nyújt, a téves riasztások gyakorisága mindenképpen minimális legyen.
Az adatszivárgás megelőzésében azonban a legnagyobb súlya a megfelelő adatvédelmi szakember kiválasztásának van – hangsúlyozza a BDO Magyarország szakembere. – A legfejlettebb védelmi szoftverek is csak annyit érnek, amennyit a tapasztalt felhasználó az adott rendszerbe illesztve alkalmazni tud belőlük. A kulcs a gyakorlati tapasztalat, csak olyan tanácsadókat érdemes megbízni, akik valódi esetek hosszú sorával találkozva, nyomozati folyamatokba is bevonva tettek szert a megfelelő ismeretekre.”
Az adatlopás elleni védekezés alapvető lépései:
• Mérjük fel a meglévő IT rendszereket – szükség esetén ne habozzunk tapasztalt külső tanácsadót is bevonni
• Azonosítsuk a kockázatainkat, szakemberrel végeztessünk mindezen kockázatokra kiterjedő elemzést, majd kockázatarányosan tervezzük meg a védelmi rendszereket
• Nagyvállalatok esetében feltétlen nevezzünk ki egy IT biztonsági vezetőt, aki mind szervezetileg, mind költségvetési szempontból független az informatikai részlegtől (Kisebb cégek esetében ez akár outsourcing keretében is megvalósítható)
• Gondoskodjunk a munkavállalók megfelelő oktatásáról és lojalitásuk fenntartásáról
• A folyamatok átláthatósága érdekében alkalmazzunk már bevált szabványon alapuló kockázatkezelést
Milyen a megfelelő adatbiztonsági tanácsadó?
• Sokéves gyakorlati tapasztalattal is rendelkezik – információbiztonsági visszaélések kivizsgálása, részvétel nyomozati, bírósági eljárásokban
• Független termékektől és megoldásoktól – az ilyen jellegű elkötelezettség gátolja az optimális megoldások kiválasztását
• Megfelelő mértékű felelősség-biztosítással rendelkezik (legalább 1 millió EUR/év)
• Képes testre szabott protokollokat, szabályzatokat összeállítani – a polcra gyártott sémadokumentációk betartatása szinte lehetetlen
• Az általa kidolgozott alkalmazás illeszkedjen a cég meglévő rendszerébe – általános tapasztalat, hogy a belső munkatársak a tanácsadó távozását követően még akár hónapokig dolgoznak az alkalmazás beillesztésén
• Előny a nemzetközi háttér is – adott speciális problémára könnyebb egy kiterjedt cégcsoporton belül megtalálni a megfelelő szakembert
