A Sarbanes-Oxley, avagy rövidítve SOX-törvény 2002-ben született az Egyesült Államokban, nem sokkal azután, hogy több nagyvállalatról kiderült: pénzügyi beszámolóik nem fedték a valóságot, és ezzel a részvényáraik zuhanása miatt végső soron a befektetőiket károsították meg. Ez a törvény volt az első, amely kötelező megfelelőségi előírásokat szabott meg a vállalatok számára. Azóta a compliance kifejezés „önálló életre kelt", és a vállalati rendszerek egyik fontos alapelemévé vált.

Külső-belső biztonság
Manapság egy vállalatra megannyi különböző megfelelőségi elvárás vonatkozhat. Léteznek irányelvek a bankok vagy épp tőzsdei cégek számára, törvényi előírásokat kell betartaniuk a társadalombiztosítási vagy egészségügyi adatokkal dolgozó szervezeteknek –és a lista szinte végtelen, hiszen a legtöbb vállalatnak van olyan feladatköre, amelyet adatvédelmi vagy egyéb biztonsági szempontból kontrollálni kell.

De hogyan biztosítható a legegyszerűbben a megfelelőség? Elsőként tisztában kell lenni a célokkal: a „compliance-megbízott" feladata, hogy kialakítsa, dokumentálja és betartassa azokat a belső eljárásokat, amelyek által ellenőrizhető és kontrollálható a vállalat törvényes és szabályszerű működése.

Ahogy az meg van írva
Vajon mindenki tudja, minek is kell pontosan megfelelni? A biztonsági szoftverek forgalmazásával és bevezetésével is foglalkozó Novell Magyarország 200 hazai IT-biztonsági szakértőt kérdezett meg 2010. szeptember és november között személyes kérdőíves felmérés keretében arról, hogy milyen compliance előírások vonatkoznak rájuk, milyen IT-megoldásokat használnak jelenleg ezek teljesítésére, illetve milyen projekteket terveznek a jövőben ezen a téren. A válaszadók az informatikai, pénzügyi, telekommunikációs szektor, illetve a kormányzati és oktatási intézmények döntéshozói, informatikai biztonsági tanácsadói, auditorai és informatikusai közül kerültek ki.

A kutatásból kiderült, hogy a válaszadók 55 százalékára vonatkozik valamilyen compliance vagy törvényi előírás. Közülük is a vállalatok 41 százalékát érinti a hitel- és pénzintézeti törvény, 30 százalékát az amerikai tőzsdén jegyzett cégekre vonatkozó SOX/EuroSOX törvény, a pénzintézeteket szabályozó Basel II. követelményrendszer pedig mintegy 27 százalékuk működését befolyásolja. A bankkártyaadatokkal foglalkozó szervezetek biztonsági előírásait tartalmazó PCI DSS előírást 25 százalékuknak kell betartani. Kisebb értékekkel felmerült még a HIPAA, a VISA PIN security és az ISO 9001 és 27001 tanúsítványoknak való megfelelés is.

A megfelelés eszközei
A felmérés arra is rámutat, hogy a compliance előírások teljesítésére átlagosan három különböző terméket kell vagy kellene használni a vállalatoknak. A válaszadók 69 százaléka hozzáférés-felügyeleti megoldást, 68 százaléka jogosultság- és személyazonosság-kezelő megoldást, 56 százaléka a naplóállományok tárolására és elemzésére alkalmas eszközt, 53 százaléka a rendszergazdai tevékenység naplózására alkalmas megoldást és 46 százalékuk jelszó-felügyeleti megoldásokat használ.

Érdemes közelebbről is megvizsgálnunk ezeket a területeket, mivel külön is fontos alappillérei a vállalat belső biztonságának. A személyazonosság-kezelésre például megannyi kritikus helyzetben számíthatunk: mindig tudjuk, kinek milyen fájlok, dokumentumok eléréséhez van jogosultsága, illetve milyen szolgáltatásokat, használhat az informatikai rendszerben. Ezt jól kiegészítheti a hozzáférés-felügyelet, amellyel megszabhatjuk, illetve testre szabhatjuk az egyes felhasználók mozgásterét. 

Természetesen arra is fel kell készülni, hogy mégis elromlik valami: eltűnik valamilyen fontos adat, hibásan működtetnek egy céges alkalmazást, vagy sikerül valakinek megkerülnie a jogosultsági szabályokat, és visszaélni bizalmas információkkal. Ekkor segít a compliance másik fontos területe, a logelemzés: a rendszergazdák vagy az auditorok könnyen és hatékonyan meg tudják keresni, pontosan mikor és mi (vagy épp ki) volt a felelős az adott biztonsági problémáért – ezután már sokkal könnyebb a "rendteremtés".

 Nem kell szétaprózódni
Megtehetjük, hogy a megfelelőségi problémákat külön-külön próbáljuk meg kezelni valamilyen informatikai megoldás segítségével. Vásárolunk egy jogosultság-kezelő rendszert innen, egy logelemzőt onnan, majd igyekszünk ezeket egyszerre kézben tartani, ennek azonban könnyen az lehet a vége, hogy kezdő marionett-bábosként összekuszálódott szálakat kell majd kicsomóznunk. Szeretjük vagy nem, az mindenesetre tény, hogy az amúgy is jelentős számú megfelelőségi szabályozásból kevesebb valószínűleg már sosem lesz. Egyre több a követelmény, ráadásul a cégek is mind "mobilabbak", több helyszínen dolgoznak, notebookokat és mobil eszközöket használnak. Ezért tehát jól látható, hogy a vállalatok átfogó személyazonosság-kezelési és biztonsági megoldásokat igényelnek.

A Novell kutatásából az is kiderül, hogy a vállalatok jó része áll valamilyen compliance-hez kötődő fejlesztés előtt: a közeljövőben a megkérdezettek 39 százaléka tervezi a jogosultságkezelési rendszer cseréjét vagy megerősítését, 31 százalékuk pedig logmenedzsment rendszer bevezetésén vagy a jelenlegi rendszer továbbfejlesztésén gondolkozik. 23 százalékuk fejlettebb autentikációs rendszer bevezetését fontolgatja, 22 százalék kezdene adatvédelmi megoldás implementálásába, 21 százalék pedig a felhasználói tevékenység naplózását megvalósító projektet tervez.

Figyel, kezel, megfejt
Nézzük, milyen funkciókat érdemes „egy kalap alá" rendezni, és közös felületen kezelni! A személyazonosság-kezelő megoldással lehetővé válik a felhasználói jogosultságok központi igénylése, jóváhagyása és automatikus kiosztása, megvalósítható a szerepalapú felügyelet,és érvényre juttatja a megfelelőségi követelményeket a fizikai, virtuális és felhő alapú környezetekben egyaránt. Egy ilyen megoldás képes olyan jelentéseket is generálni, amelyekkel azonnal átláthatóvá válik az informatikai rendszer összes jogosultságokkal kapcsolatos beállítása, többek között akár az is, hogy egy adott múltbeli időpontban egy adott felhasználónak mihez volt hozzáférése, vagy hogy egy adott szolgáltatást kik használhattak.

Egy jól működő hozzáférés-felügyeleti modul segítségével tudjuk megvalósítani azt, hogy mindenki kényelmes, egyszerűen használható hozzáféréssel rendelkezzen üzleti alkalmazásaihoz, fájljaihoz, még akkor is, ha ezek nem lokálisan, hanem webes környezetekben, cloud alapokon érhetőek el.

A hatékony logelemzés pedig automatizált naplózással, intelligens visszakeresési és megjelenítési funkciókkal segíti felkutatni az anomáliákat, valamint szabályokban rögzített sablonok alapján képes akár azonnali lépéseket tenni a hiba elhárítására.