Közhely, de ettől függetlenül sajnos igaz, hogy válság van, és ilyen vészterhes időkben, amikor minden hibát még szigorúbban büntet a piac, a vállalatok a legkisebb megingást sem engedhetik meg maguknak. Milyen konzekvenciái vannak mindennek az IT-biztonságra nézve? Az alábbiakban csokorba szedtünk néhány megfontolandó szempontot.
A zsák és a bolhák
Manapság soha nem látott mértékű átalakuláson mennek keresztül a számítástechnikai rendszerek. A virtualizáció, a felhőtechnológia és a mobileszközök terjedése megállíthatatlan, a Gartner elemzőcég előrejelzése szerint például 2012-re a szerverek fele virtualizálva lesz. Az új megoldások a kapacitások rugalmas megosztásával a költséghatékonyság növelését igérik – pontosan ezért olyan népszerűek a vezetők körében –, viszont minden eddiginél nehezebb feladat elé állítják az IT-biztonságért felelős személyeket. Szegények már eddig is úgy érezhették magukat, mintha egy zsák bolhát kéne kordában tartaniuk, most azonban, amikor a szolgáltatásnyújtás és az IT-infrastruktúra helye minden eddiginél jobban különválik, ez a zsák bolha immár a földgolyóbis legkülönbözőbb pontján ugrál, ami még nehezebbé teszi a porondmesteri feladatokat.
Az egyik legsúlyosabb hiba, amit az IT biztonság terén elkövethetünk, ha görcsösen ragaszkodunk a régi, fizikai elhelyezkedéshez, illetve hálózati topológiákhoz kötődő biztonsági technikákhoz. A lejárt lemezt cserélni kell, a megváltozott helyzet kezeléséhez szemléletváltásra, és újfajta, szervezeti és technológia elemeket ötvöző komplex megoldásokra van szükség, meg persze kötéligekre!
Pénz beszél
A válságot mindenki a zsebén érzi, de nem mindenkiben tudatosul, hogy a pénzszűke a vállalati döntéshozási folyamatokat is érinti. Döntési helyzetekben minden eddiginél nagyobb súllyal esnek latba a financiális szempontok. Az új beruházásokra ácsingózó IT-biztonsági szakembernek ezért nem elég a műszaki vezetőt meggyőzniük – őt valószínűleg úgysem lesz nehéz –, mivel a végső szót alkalmasint a gazdasági igazgató fogja kimondani. Vagyis meg kell szerezni az ő támogatását is, amihez viszont alá kell szállni az elefántcsonttoronyból, és meg kell tanulni kommunikálni.
Egy komoly cég normális körülmények között is tíz körömmel ragaszkodik az ügyfélköréhez, válság idején viszont nem árt, ha további karmokat növeszt a megtartásához. Ilyenkor különösen letaglózó egy adatszivárgás, ami nehezen gyógyuló sebet ejthet a cég jóhírén, a vele járó büntetések, kártérítések tömege pedig az anyagi helyzetén. Ha megtörténik a legrosszabb, és illetéktelen kézbe kerülnek fontos információk, bizalmas ügyféladatok, az nagy baj, de az igazi katasztrófa az, ha a cég nem redelkezik akciótervvel a válsághelyzet kezelésére. A jóvátehetetlen anyagi és presztízsveszteség megelőzéséhez IT-szakemberek, jogászok, sajtósok és egyéb érintettek összehangolt munkájára van szükség, ami előzetes tervezést igényel. Úgyhogy kéretik kihúzni a fejeket a homokból – tévedés, hogy „ilyesmi velünk úgysem történhet meg” –, és jó előre felkészülni a legrosszabbra.
Ne bízz senkiben!
Napjaink hackerei szervezettebbek és céltudatosabbak, mint valaha: gyorsak, rugalmasak, virtuózan rejtőzködnek, és bár nem szeretnénk drámai túlzásokba esni, működési módjuk egy kicsit tényleg hasonlít a legveszélyesebb terroristákéhoz. Nagy részüket a haszonszerzés motiválja: személyes adatokat, banki információkat lopnak, illetve adatzárolásokkal zsarolnak ki hatalmas összegeket az áldozatokból. De vannak olyan csoportok is (például a hírhedt Anonymous), amelyek elvi okokból támadnak kormányzati rendszereket, illetve általuk nem kedvelt cégeket, szervezeteket, közéleti személyeket.
Akár így, akár úgy, roppant veszélyesek, és mivel becslések szerint világszerte nem kevesebb, mint hatezer csoportjuk működik, a rosszindulatú aktorok száma pedig eléri az ötvenezret, egyáltalán nem baj, ha egy IT-biztonsági szakember alapból üldözési mániás. Sőt, a paranoia kincs ebben a szakmában. És az sem árt, ha a bizalmatlanság a biztonsági termékek beszállítóira is kiterjed.
Fontos a megbízható, jó kapcsolat a fejlesztőkkel, de nem szabad, hogy a barátság elfogultságba csapjon át. Ez persze általában is igaz, de ezekben a nehéz időkben különösen fontos. Ha egy rosszul kiválaszott szoftver miatt a cég biztonsága csorbul, úgyis a döntésért felelős szakembernek kell tartania a hátát, és még örülhet, ha nem vetül rá a korrupció árnyéka!