A biztonsági tanúsítvány megléte nem garancia

Ahogyan a nyelvvizsgát igazoló papír sem jelent garanciát arra, hogy tulajdonosa minden helyzetben képes megfelelően használni az adott idegen nyelvet, igen sok, informatikai biztonsági tanúsítvánnyal rendelkező vállalatra igaz az, hogy a sebezhetőségek és kockázatok nagy részét a “papírok” megléte ellenére sem kezeli megfelelően. Változást a Deloitte álláspontja szerint csak az hozhatna, ha a vezetők sokkal tudatosabban kezelnék a cégüket fenyegető veszélyeket.

Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője szerint az internetes bűnözés 2009-ben majdnem 600 százalékkal növekedett. Bár Magyarországról nincsenek megbízható adatok, a veszélyeztetettséget növeli az a tény, hogy sok hazai vállalkozás a költséges és időigényes munka miatt ma még mindig csupán jogszabályi kötelezés esetén hajt végre bármilyen információbiztonsági intézkedést. Törvényi kötelezettségek pedig egyelőre csak a hitel- és pénzintézetekre, illetve pénzügyi szervezetekre vonatkoznak, vélhetően ez is oka annak, hogy a banki szektort leszámítva ma még nagyon sok társaság nincs is tudatában annak, hogy a birtokában lévő üzleti adatok megszerzése közvetlen előnyhöz juttathat másokat – például versenytársakat -, továbbá mindez olyan jelentős üzleti veszélyeket rejt, amelyeket utólag a legtöbbször már lehetetlen kezelni.

Vizi Linda, a Deloitte Vállalati Kockázatkezelés osztályának szenior tanácsadója elmondta, az adatbiztonsági szabványok a pénzügyi szektortól eltekintve sajnos nem kötelezőek, másrészt sok esetben nem adnak valódi garanciát arra, hogy a társaság által kezelt vagy a működése során felmerülő adatok tökéletes biztonságban vannak. Sőt, a társaságok sok esetben egészen alapvető gyakorlati biztonsági teszteket sem képesek teljesíteni, mert nem kezelik a helyén ezeket a teszteket.

A megoldás Vizi szerint az, hogy a cégeknek tudomásul kellene venniük, hogy a megszerzett tanúsítványok a tökéletes módszertan ellenére sem garantálhatják a biztonságukat. Persze sok múlik a biztonsági audit alaposságán és összetettségén, azaz elsősorban a bevont tanácsadó szakmai felkészültségén. Ám nem elég a biztonsági standardok által diktált előírások mechanikus, soronkénti vizsgálata, a folyamatokat ezzel egyidejűleg átfogóan, egymással összefüggésben is célszerű vizsgálni ahhoz, hogy a teljes rendszer működéséről egységes, megbízható képet kapjunk. A szakember szerint nem szabad megvárni azt sem, amíg a cég valamilyen komolyabb anyagi vagy reputációs károkat okozó biztonsági incidens áldozatává válik – a későbbi problémák leginkább azzal védhetők ki, ha valamely új üzleti funkció vagy szolgáltatás fejlesztésébe már a tervezési fázisban bevonják a biztonsági szakembereket, és igyekeznek mindvégig partnerként kezelni őket. Célszerű a vállalaton belül is alkalmazni egy olyan személyt, aki képes a biztonság sérülésével járó kockázatokat idejében felismerni, és erről a megfelelő módon és időben értesíteni a menedzsmentet, de gyorsan és hatékonyan kezelni is képes az ilyen eseteket.