A cégek közel felénél a menedzsment semmilyen információval nem rendelkezik arról, hogy milyen IT-biztonsági és információbiztonsági kockázatok állnak fenn, és hogy milyen megoldási lehetőségek léteznek a kezelésükre.

Manapság minden üzleti folyamatot informatikai rendszer támogat, minden mindennel össze van kötve, és ezek az eszközök folyamatosan kommunikálnak egymással. Erre a problémakörre válaszolva a CIO Hungary 2016 konferencia fő témája a digitális transzformáció volt, amely azokkal a trendekkel foglalkozott, amelyek évek óta meghatározzák a vállalati informatikai rendszerek alakulását/átalakulását.

Jómagam is részt vettem a konferencián, ahol az első napon az izgalmas biztonsági témákat is felsoroltató szekció nyitóelőadását tartottam meg.

A digitális transzformáció kockázatokkal jár

Fontos, hogy a vállalatvezetők tisztában legyenek azokkal a lépésekkel, amelyekkel a szervezetek hatékony kockázatmenedzsment folyamatokat tudnak kialakítani. A kockázatok ismeretének, elemzésének, értékelésének, mérésének és visszacsatolásának részévé kell válnia a szervezet mindennapi folyamatainak. A digitális transzformáció, azaz a cégek informatikai rendszereinek átalakulása megköveteli, hogy az ezzel a változással járó kockázatok a vezetők számára is ismertek legyenek.

Az internet, a technológiák rohamos változása és fejlődése sajnos nem a biztonság növekedését hozza magával. A komplex IT-rendszereknek, valamint az internetre kötött felhasználói eszközök tömeges megjelenésének, valamint a támadók, az interneten és a fizikai valóságban tevékenykedő bűnözők összefogásának és térnyerésének (például a zsarolóvírusok mindenkit érintő problémája) azt kellene előrevetítenie, hogy a szervezetek egyre nagyobb hangsúlyt fektetnek a megelőzésre, a proaktív védekezésre, a kockázatmenedzsmentre és kockázatkezelésre. Ez a trend azonban mindezidáig még nem indult el.

Solymos Ákos
CISM, CRISC, ISO27001LA, Quadron Rendszer Kft.

A szerző tíz évig dolgozott a bankszektorban IT-biztonsági szakértőként, három éven át töltötte be az Erste Bank CISO pozícióját. 2015-től vezeti a tanácsadói szolgáltatásokat a Quadron Kft-nél

Az előadásomban a jelenlevők között elvégeztem egy gyors felmérést, amely igazolta a fenti állítást, hiszen a résztvevők fele nyilatkozott úgy, hogy egyáltalán nem foglalkozik külön a menedzsment a szervezet információbiztonsági és IT biztonsági kockázataival. Ez komoly aggályokat vet fel, hiszen ebből azt feltételezhetjük, hogy a menedzsment tagjai és a döntéshozók közel fele nincs tisztában a szervezet üzleti létét jelentő informatikai rendszereket és adatokat fenyegető kockázatokkal és azok kezelésének lehetőségével és fontosságával.

A helyzet fokozódik...

Márpedig a helyzet fokozódik. Reflektorfénybe került a biztonság, a sajtóorgánumok napi szinten adnak hírt nemzetközi és a hazai kibertámadásról vagy adatlopásról.

Az üzletmenet folytonosságának fenntartásához hatékony és biztonságos IT- és információrendszer kell. Véleményem szerint azok a vállalatvezetők, akik ezt figyelmen kívül hagyják, hatalmas hibát vétenek, amivel akár a cég működését is veszélyeztethetik.

A kibervédelem, a kockázatmenedzsment viszont olyan sokrétű téma, amit nem lehet egyetlen előadás vagy egy értekezés során bőven kifejteni, csupán a figyelmet a témára irányítani.

A tényleges munka – ebben tudunk segíteni mi is kollégáimmal – folyamatos kell legyen. Szakértő támogatással  gyorsabban fel lehet ismerni az üzletmenetet veszélyeztető informatikai támadásokat, és  hatékonyabb, cégre szabott kockázatmenedzsmentet lehet kialakítani