Vezetői elhatározás és támogatás nélkül a védelmi intézkedések jó része meg sem születik, vagy nem válik érvényesíthetővé. Sok vállalatnál már régóta jól kidolgozott biztonsági szabályok állnak rendelkezésre, azonban a betartatásuk folyamatosan nehézségekbe ütközik. Ez különösen akkor jelenthet komoly problémát, amikor olyan jelentős biztonsági beruházásokra kerül sor, mint például a központosított jogosultságkezelés. Ilyenkor nem csak biztonsági és informatikai folyamatokat kell szemügyre venni vagy szükség esetén átalakítani, hanem olyanokat is, amelyek az üzleti döntéshozatalt és a szervezeti működést is befolyásolják. Ha nincs meg a megfelelő felsővezetői akarat és támogatás, akkor az IT- és a biztonsági részleg magára maradhat, végül pedig maga a védelmi projekt is bedőlhet.

Magányos informatika | Az ISA (Internet Security Alliance) és az az ANSI (American National Standards Institute), az Egyesült Államok nemzeti szabványügyi intézete nemrég tette közzé a kiberbiztonság pénzügyi vonatkozásaival kapcsolatos tanulmányát. Ennek egyik legérdekesebb megállapítása, hogy a vállalatok kevesebb mint ötöde rendelkezik a szervezet egészét áttekintő biztonsági csoporttal, és kevesebb mint fele készít bármilyen formális kockázatkezelési tervet. Hab a tortán, hogy az utóbbiak közül is csak háromból ketten veszik figyelembe az informatikai jellegű kockázatokat a terv elkészítésekor - a pénzügyi vezetők 95 százaléka semmilyen információval nem rendelkezik a vállalatát érintő informatikai biztonsági problémákkal kapcsolatban.

Ennek alapján az sem csoda, hogy a cégek többsége még arra sincs felkészülve, hogy azonosítsa, pláne számszerűsítse a biztonsági incidensek által okozott veszteséget. Tavaly a tanulmány becslése szerint csak az USA-ban ezer milliárd dolláros kár érte a vállalatok szellemi tulajdonát, amihez még külön hozzá kell adni a személyes adatok kiszivárgását, a leállások okozta veszteséget vagy az ügyfelek elvesztését. Ehhez képest a PricewaterhouseCoopers adatai alapján 2009-ben a szervezetek 47 százaléka csökkentette vagy késleltette az iT-biztonsági kezdeményezésekre szánt összegeket; az ISA-ANSI 2010-re szóló előrejelzése szerint már a vállalatok kétharmadánál csökkentik az informatikai biztonsági kiadásokat, negyed részüknél legalább 15 százalékkal.

Gyakori tévedések | Általános félreértés, hogy az IT-részleg egymagában is kezelni tudja a biztonsági problémákat - ez egyebek mellett ahhoz a veszélyes felfogáshoz vezet, amely szerint a legtöbb alkalmazott nem érez felelősséget a rábízott adatokat illetően. Márpedig a pénzügyi, HR, marketing, jogi és egyéb részlegek mind saját adathalmazt kezelnek, és ha ezek védelméért kizárólag az informatikusokat teszik felelőssé, a vállalat általános biztonsága is meggyengül. Így fordulhat elő, hogy az adatbiztonságot - helytelenül - kizárólag technikai problámának tartják, ám az IT-biztonságra szánt forrásokat - ugyancsak helytelenül - megnyírbálják, mivel képtelen felmérni a valódi kockázatokat, és az informatikát költségcenterként, nem pedig profitcenterként kezelik. Ezek a rendellenességek végül azt az üzenetet közvetítik, hogy a védekezés sokba kerül.

A helyzet megoldását nehezíti, hogy sok vállalat még mindig csak a legalapvetőbb védelmi megoldásokat alkalmazza, miközben már olyan biztonsági megfontolásokat kellene mérlegre tenniük, amelyek a kiberbiztonságot érintő kockázatmenedzsmenttel hozhatók összefüggésbe. Az ANSI egyik igazgatója szerint ez mára a kiberbűnözés elleni védelmet is hátráltatja, és nemzetbiztonsági szempontból is komoly aggályokat vet fel.

Mi a teendő? | A The Financial Management of Cyber Risk című tanulmány válaszokat is próbál adni a fenti kérdésekre, külön fejezetekben tárgyalva az emberi tényező és a technológia, a megfelelés vagy a szabályozás témakörét. Ugyancsak hasznos, hogy a külső kommunikáció, a kríziskezelés, a kockázatelemzés vagy a biztosítás vonatkozásában is kérdés-válasz formában vizsgálja a gyakori problémákat és megoldásokat. Bár a források egy része (például az egyes szövetségi államok megfelelő törvényeinek jegyzéke) idehaza haszontalan, a vállalati biztonság működésére, illetve annak átalakítására vonatkozó tanácsok a hazai szervezetek számára is hasznosnak bizonyulhatnak.