Sok szervezetnél csak akkor neveznek ki biztonsági vezetőt, amikor már a felső vezetés számára is kezd átláthatatlanná válni a vállalati infrastruktúra. Ilyenkor sebtében kineveznek egy kiberbiztonsági felelőst, aki egy személyben elszámoltatható minden esetleges biztonsági incidensért.

Az sokkal jobb eset, ha ezen túlmenve szeretnék megérteni a lehetséges kockázatokat is, és azt is szeretnék látni, hogy a vállalatuknak milyen a biztonsági felkészültsége, és valamiféle észszerű egyensúlyt kialakítani a biztonság és a költségek között.

Vannak szervezetek, melyeknél az elmúlt években bevezetett különféle szabályzók nyomán hoznak létre IT-biztonsági vezetői pozíciót. Ilyen volt például a GDPR Európában, amelynek bevezetése sok helyen nem csak az adatkezelési hiányosságokat tárta fel, hanem a kiberbiztonsági problémákra is rávilágított. (Az IT-biztonsági vezető nem tévesztendő össze a GDPR által előírt adatvédelmi felelőssel – még akkor sem, ha a pozíció a GDPR bevezetésének hatására jött létre!)

És aztán vannak azok a szervezetek, melyek saját keserű tapasztalataik miatt jutottak el oda, hogy dedikált vezetőre bízzák a kibervédelem irányítását. Azt remélik ettől, hogy a vállalat biztonsági szempontból is proaktívabbá válik, és jobban átvihetők a biztonsági folyamatok a szervezet különböző egységein.

Hogyan kezdjen hozzá?

A HackerOne bugbounty-platform egy táblázattal (lásd lentebb) és némi magyarázó szöveggel összefoglalta azokat az alapelveket, melyeket az újonnan kinevezett kiberbiztonsági főnöknek érdemes szem előtt tartania.

Az első és legfontosabb kérdés, amit minden érintettnek meg kell értenie, hogy ma már nem működik az "erőd stratégia", azaz nincs mód százszázalékos biztonságot adó védelmi rendszerek felépítésére. De nem csak emiatt problémás ez a szemlélet. Hiába védi atombiztos tűzfal a vállalat belső rendszereit, minimalizálva és szigorúan ellenőrizve a belépési pontokat, a külvilággal folytatott kommunikációt és adatcserét, belül a felhasználók bármihez hozzáférhetnek, hiszen minden biztonságos…

Ráadásul ez a szemlélet nem számol az egy másik fontos kiberbiztonsági tétellel, miszerint a biztonság leggyengébb láncszeme az ember. Nem csak a social engineering alapú támadások vagy a szándékos károkozás miatt jelent minden munkatárs magas kockázatot. Leggyakrabban abból az egyszerű okból sérül egy vállalati rendszer biztonsága, hogy a munkatárs hibázik.

Legyen olyan a biztonság, mint egy repülőtéren

A mai helyzetben sokkal életszerűbb az a biztonsági megközelítés, amely úgy tekint a vállalati rendszerre, mint egy repülőtérre. Egy reptéren soklépcsős ellenőrzésen esnek át az utasok és az ott dolgozók, sokféle típusú biztonsági kihívást kezelnek egyidejűleg, és az azonosítás révén árnyaltan kezelik például az egyes részterületekhez való hozzáférést is.

A jegyvásárló pultig bárki eljuthat, de ha jegyet akar vásárolni, már ellenőrzik a dokumentumokat (azonosítás), majd a jegy birtokában a továbbhaladásnál újabb ellenőrzések következnek, átvizsgálják a csomagokat stb. és az utas még mindig csak a terminálban van sok más gép várakozó utasával együtt. Mielőtt felszáll a gépre újabb azonosítás, hogy ellenőrizzék a jogosultságát az adott gépre és így tovább.

Lefordítva ezt az IT-biztonsági infrastruktúrára: többszörös tűzfalakat kell alkalmazni, jelszavas, sőt kétfaktoros hitelesítést, külön figyelemmel a kritikus eszközökre, a magas jogosultságú felhasználókra stb. Azaz itt a szigorú azonosítás és hozzáférés-felügyelet párosul a technológia nyújtotta lehetőségekkel.

El kell fogadni azt is, hogy a kockázatok nem küszöbölhetők ki teljes mértékben – éppen ezért a kezelésükre kell összpontosítani. A világ gazdasága ugyanis ma már a konnektivitáson alapul, minden mindennel összekapcsolódik, és a szabad adatáramlás nélkül minden leállna.

Ebből következően a kockázatokat priorizálni kell a bekövetkezésük valószínűsége és a lehetséges károk alapján. Így el lehet dönteni, hogy hova kell csoportosítani komolyabb erőforrásokat a védekezéshez.

Ezzel a szemlélettel sokkal pontosabban felmérhető az is, hogy mekkora költségráfordítással lehet optimalizálni az adott szervezet IT-biztonságát. Így a cégvezetés is könnyebben elfogadja a védelmi terveket, hiszen egyfajta kockázatarányos biztosításként kezelheti. Ráadásként eltűnik a hamis biztonságérzet, ami néha veszélyesebb a vállalatra nézve, mint egy hekkertámadás.