– Ön szerint a vállalatok, szervezetek tisztában vannak az adatvagyonuk védelmének fontosságával?- A nemzetközi tendenciák azt mutatják, hogy a cégek jelentős része már felismerte, hogy a biztonság preventív megteremtése több mint a külső támadások elleni védelem, általános értelemben a működési állapot fenntartásának, fejlődésének kulcsa. A hazai vállalatok is egyre inkább rákényszerülnek arra, hogy elinduljanak a megfelelő védelmi rendszer kialakításának útján. Az elmúlt években megjelent, illetve egyre nagyobb hangsúlyt kapó törvények, jogszabályok is egyértelműen jelzik, hogy a törvényhozás elkötelezett az it-biztonság fejlesztése mellett.- Ki a felelős, és mit tehet a biztonság megteremtéséért?- A biztonság megteremtése minden esetben a felső vezetők felelőssége és kötelezettsége. A megfelelő védelem kialakításához azonban elengedhetetlen, hogy megfogalmazódjon a vezetőségben a biztonsági tudatosság és elkötelezettség, amelynek alapján sikeresen bevezethető és üzemeltethető egy Információbiztonsági Menedzsment Rendszer (ISMS – Information Security Management System). Az ISMS választ adhat a biztonsági kihívásokra és segítségével megvalósítható a transzparens információbiztonsági irányítás. A jó védekezési stratégia kialakítása mindig az alapozásnál dől el. Egy olyan egységes és komplex, stabil alapokon nyugvó rendszert kell teremteni, amely minden pontján alaposan átgondolt, egyértelműen rögzített, ugyanakkor a gyakorlatban is könnyedén alkalmazható, s megértethető a szervezet minden dolgozójával.- Ha az ISMS bevezetése mellett dönt a vállalat vezetője, mi a teendője?- A folyamat első lépése a tervezés, amelynek során meghatározásra kerülnek a globális elvek és célok, a kockázati tényezők és a szükséges dokumentumok, valamint egységes irányelvek mentén rendeződnek a szerepkörök. A tervezés végterméke az “alkalmazhatósági nyilatkozat”, amelynek elfogadása a bevezetés feltétele. A biztonsági célok ismeretében kialakítható a kockázatokkal arányos ISMS-keretrendszer, ezen belül az úgynevezett szabályzati rendszer, amely tartalmazza az “információbiztonsági szabályzatot” és az ezzel konzisztens szabályzatokat és terveket, mint például a vírusvédelmi szabályzat vagy az üzletmenet-folytonossági terv. Az ISMS bevezetését követő hatékonysághoz elengedhetetlenül szükséges a szervezeten belüli információbiztonsági tudatosság megteremtése, hiszen sokszor a felhasználók hozzáállásán, felelősségtudatán múlik a gyakorlati megvalósulás. Mindezt célirányos, a hallgatóságra szabott oktatásokkal (információbiztonsági oktatás, biztonságtudatossági oktatás), s nem utolsósorban folyamatos ellenőrzéssel tudjuk elérni.- Nagyon gyakori, hogy egy méregdrágán bevezetett információbiztonsági rendszer szabályai rövid időn belül fellazulnak, aminek a biztonság látja a kárát. Ez ellen van recept?- A folyamatosság kulcstényező a hatékony biztonsági rendszerek életében, hiszen maga a környezet is folyamatosan változik. Így jelentős szerepe van az ellenőrzésnek, s szükség esetén a beavatkozásnak is. Mivel a szervezet és az infrastruktúra elemei időről időre átalakulnak, szükséges, hogy a kialakított ISMS-rendszert, valamint a teljes infrastruktúrát rendszeres időközönként független auditor felülvizsgálja. A rendszer felülvizsgálata során – olyan módszerek segítségével, mint például az etikus hackelés, a wireless audit és a jól ismert információbiztonsági audit – fény derülhet az esetleges hiányosságokra, s lehetőség nyílik arra, hogy minimálisra csökkentsük a kockázatokat a már meglévő szabályozás aktualizálásával.- Mennyire drága egy ilyen rendszer bevezetése és napra készen tartása?- Az ISMS kialakítása rendkívül összetett feladat, amely mindig naprakész, magas fokú informatikai és jogi szaktudást, speciális látásmódot igényel. A megfelelő, saját szakemberek alkalmazását a nagy költségek miatt a legtöbb szervezet nem engedheti meg magának, nem beszélve arról, hogy egy külső szakértő objektív meglátásai jelentősen segíthetik a rendszer hatékony védelmének megteremtését. Ennek köszönhetően a nemzetközi és magyarországi gyakorlat egyaránt azt mutatja, hogy a felelősség ugyan nem ruházható át, de a feladat delegálhatóságával mindenképpen érdemes élni, s segítségével megteremteni az intézmények, cégek létének egyik elengedhetetlen alappillérét. A szükséges ráfordítást minden esetben a feladat függvényében kell meghatározni, a szakemberek ezt figyelembe véve dolgozzák ki a legjobb ár-érték arányú megoldást.
A cégek jelentős része már felismerte, hogy a biztonság preventív megteremtése több mint a külső támadások elleni védelem.