Miközben az IT-től elvárják a szervezetek üzleti irányítói, hogy biztonságosan üzemeltessék a folyamatokat, ritka az olyan pénzügyi vezető, aki befektetésként tekint a biztonsági fejlesztésekre.
Nincsenek könnyű helyzetben a nagyvállalati informatikai vezérek (CIO) és a biztonságért felelős informatikai vezetők (CISO), hiszen a céges adatok zökkenőmentes kezelése, feldolgozása mellett a védelemről is nekik kell gondoskodniuk, miközben
egyre komolyabb és szélesebb kört érintő támadásokról érkeznek beszámolók. De a rosszindulatú behatolások, a kártékony kódok mellett az informatikai folyamatokat
a természeti katasztrófáktól a gondatlan munkatársakig számtalan egyéb veszély is fenyegeti a folyamatos üzletmenetet.
Hol a pénz? ■ A rizikófaktor minimalizálása – mert teljes biztonságról soha nem lehet beszélni – viszont pénzbe kerül, amit nem adnak egykönnyen a válságos időkben a szokásosnál is szigorúbbá váló pénzügyi vezetők. Az üzleti oldal leginkább megtérülésben (Return of Investment – ROI) gondolkodik, ám ezt egy megelőző védelemről szóló informatikai projekt esetében nagyon nehéz – ha éppen nem lehetetlen – pontosan kiszámolni.
A téma nehézségére a CIO.com
idevágó cikke egy vicc felidézésével próbál rávilágítani. Egy ember egy másikhoz odalépve folyamatosan tapsol. A másik megkérdi: miért tapsolsz? Hát hogy elijesszem a krokodilokat – hangzik a válasz. De hát itt nincsenek is krokodilok – replikázik értetlenül a másik. Na látod, működik! – mondja elégedetten a tapsoló.
A krokodilriasztásnál persze komolyabb dolgokat kell megoldania egy nagyvállalati CIO-nak, CISO-nak, ám az elköltött dollárok, forintok igazolása sem intézhető el úgy, mint ahogy a viccbeli tapsoló tette. Ha egy informatikai szakértő előáll egy adott költségigénnyel a vállalati adatbiztonság fejlesztésére, ritkán kérdez vissza a főnöke, hogy "és biztos vagy benne, hogy elég lesz ennyi pénz?" Helyette, ha a céget nem érte az utóbbi időben komolyabb ilyen jellegű probléma, az vetődik fel, hogy mivel minden a legnagyobb rendben van, felesleges költeni pluszban rá.
Megrendelt támadás ■ Az informatikai vezetők ezért gyakran támaszkodnak külső megerősítésre terveik házon belüli "eladásakor". Ilyenre példa a biztonsági cégektől megrendelt etikus hackerkedés, azaz a vállalati rendszereket egy erre szakosodott cég az előre rögzített keretek és felhatalmazás alapján megpróbálja feltörni, feltérképezve a valódi bűnözők lehetséges támadási formáit, megoldásait. Ha ezen a teszten átmegy a szervezet, akkor a biztonságért felelős menedzserek jól végezték a munkájukat, viszont újabb fejlesztésre pénzt nemigen kapnak. Ha nem, akkor ugyan jogos a fejlesztési igény, ám akkor felmerül a kérdés: eddig miért nem tették meg ezeket a lépéseket? Ahogy látszik, ha sapka van a CISO-n, az a baj, ha nincs, akkor meg az.
Másik nagy gond a biztonsági beruházásokkal, hogy ha vannak is, az alapvető üzleti fejlesztések elől veszik el az erőforrásokat. Mint ahogy korábban említettük, tökéletes biztonság nem létezik, maximum egy elviselhető kockázati szintet lehet megcélozni. Így a nagy kérdés ezekben az esetekben mindig az, hol húzódik meg az a határ, ameddig megéri biztonságra költeni, és mikor érdemesebb inkább bevállalni egy leállást vagy egyéb nem várt problémát annak fejében, hogy így több jut direkt üzletet hozó fejlesztésekre.
Csapatmunka és zsigeri félelem ■ Szakértők szerint ezekre a gondokra jelenthet egyfajta megoldást, ha a cég biztonsági szakértőit az üzletfejlesztési csoportokba delegáljuk, ahol a két fél szempontjai és ötletei egyszerre, még a fejlesztés korai fázisában tudnak találkozni. Ehhez persze nem árt a mérnöki oldalról jövőket úgy megválasztani, hogy értsék és megértsék az üzleti célokban, ROI-ban és egyébb pénzügyi mutatókban gondolkodó kollégákat. Ez alapvető fontosságú ahhoz, hogy a biztonsági szempontok érvényesülni tudjanak a vállalati működésben.
Egy másik, némileg cseles útja a cégen belüli erőforrások megszerzésének a félelemre és a személyes felelősségre kifuttatott érvelés. Nagyvállalati szinten számtalan jogszabályi megfelelésnek kell eleget tenni, különösen igaz ez a pénzügyi vagy egyéb kényes adatokkal dolgozó szektorokra. Ha ezekben elmarasztalják a szervezetet, az nem csak és kizárólag az informatikai részleg felelőssége. Egyes szakértők a biztonsági projekteknél a ROI-t risk of incarcerationként, azaz bebörtönzési kockázatként is említik a pénzügyi vezetőknek, mintegy finoman utalva arra, mit veszthet a cég és a vezetőség azon, ha elhanyagolja ezeket a kérdéseket. Éppen a fenti megfontolások miatt az informatikai biztonságért felelős vezetőket sokak szerint a pénzügyi vagy jogi osztály első számú embere alá kell beosztani, és nem mondjuk a CIO alá rakni a vállalati hierarchiában.