Ha nem fogadjuk el alaptételként, hogy soha nem lehetünk tökéletes biztonságban, előbb-utóbb nagyot bukhatunk.

Sok szervezetnél csak akkor neveznek ki biztonsági vezetőt, amikor már a felső vezetés számára is kezd átláthatatlanná válni a vállalati infrastruktúra. Ilyenkor sebtében kineveznek egy kiberbiztonsági felelőst, aki egy személyben elszámoltatható minden esetleges biztonsági incidensért.

Az sokkal jobb eset, ha ezen túlmenve szeretnék megérteni a lehetséges kockázatokat is, és azt is szeretnék látni, hogy a vállalatuknak milyen a biztonsági felkészültsége, és valamiféle észszerű egyensúlyt kialakítani a biztonság és a költségek között.

Vannak szervezetek, melyeknél az elmúlt években bevezetett különféle szabályzók nyomán hoznak létre IT-biztonsági vezetői pozíciót. Ilyen volt például a GDPR Európában, amelynek bevezetése sok helyen nem csak az adatkezelési hiányosságokat tárta fel, hanem a kiberbiztonsági problémákra is rávilágított. (Az IT-biztonsági vezető nem tévesztendő össze a GDPR által előírt adatvédelmi felelőssel – még akkor sem, ha a pozíció a GDPR bevezetésének hatására jött létre!)

És aztán vannak azok a szervezetek, melyek saját keserű tapasztalataik miatt jutottak el oda, hogy dedikált vezetőre bízzák a kibervédelem irányítását. Azt remélik ettől, hogy a vállalat biztonsági szempontból is proaktívabbá válik, és jobban átvihetők a biztonsági folyamatok a szervezet különböző egységein.

Hogyan kezdjen hozzá?

A HackerOne bugbounty-platform egy táblázattal (lásd lentebb) és némi magyarázó szöveggel összefoglalta azokat az alapelveket, melyeket az újonnan kinevezett kiberbiztonsági főnöknek érdemes szem előtt tartania.

Az első és legfontosabb kérdés, amit minden érintettnek meg kell értenie, hogy ma már nem működik az "erőd stratégia", azaz nincs mód százszázalékos biztonságot adó védelmi rendszerek felépítésére. De nem csak emiatt problémás ez a szemlélet. Hiába védi atombiztos tűzfal a vállalat belső rendszereit, minimalizálva és szigorúan ellenőrizve a belépési pontokat, a külvilággal folytatott kommunikációt és adatcserét, belül a felhasználók bármihez hozzáférhetnek, hiszen minden biztonságos…

Ráadásul ez a szemlélet nem számol az egy másik fontos kiberbiztonsági tétellel, miszerint a biztonság leggyengébb láncszeme az ember. Nem csak a social engineering alapú támadások vagy a szándékos károkozás miatt jelent minden munkatárs magas kockázatot. Leggyakrabban abból az egyszerű okból sérül egy vállalati rendszer biztonsága, hogy a munkatárs hibázik.

Legyen olyan a biztonság, mint egy repülőtéren

A mai helyzetben sokkal életszerűbb az a biztonsági megközelítés, amely úgy tekint a vállalati rendszerre, mint egy repülőtérre. Egy reptéren soklépcsős ellenőrzésen esnek át az utasok és az ott dolgozók, sokféle típusú biztonsági kihívást kezelnek egyidejűleg, és az azonosítás révén árnyaltan kezelik például az egyes részterületekhez való hozzáférést is.

A jegyvásárló pultig bárki eljuthat, de ha jegyet akar vásárolni, már ellenőrzik a dokumentumokat (azonosítás), majd a jegy birtokában a továbbhaladásnál újabb ellenőrzések következnek, átvizsgálják a csomagokat stb. és az utas még mindig csak a terminálban van sok más gép várakozó utasával együtt. Mielőtt felszáll a gépre újabb azonosítás, hogy ellenőrizzék a jogosultságát az adott gépre és így tovább.

Lefordítva ezt az IT-biztonsági infrastruktúrára: többszörös tűzfalakat kell alkalmazni, jelszavas, sőt kétfaktoros hitelesítést, külön figyelemmel a kritikus eszközökre, a magas jogosultságú felhasználókra stb. Azaz itt a szigorú azonosítás és hozzáférés-felügyelet párosul a technológia nyújtotta lehetőségekkel.

 
Cybersecurity: Old Way vs. New Way
Infogram


El kell fogadni azt is, hogy a kockázatok nem küszöbölhetők ki teljes mértékben – éppen ezért a kezelésükre kell összpontosítani. A világ gazdasága ugyanis ma már a konnektivitáson alapul, minden mindennel összekapcsolódik, és a szabad adatáramlás nélkül minden leállna.

Ebből következően a kockázatokat priorizálni kell a bekövetkezésük valószínűsége és a lehetséges károk alapján. Így el lehet dönteni, hogy hova kell csoportosítani komolyabb erőforrásokat a védekezéshez.

Ezzel a szemlélettel sokkal pontosabban felmérhető az is, hogy mekkora költségráfordítással lehet optimalizálni az adott szervezet IT-biztonságát. Így a cégvezetés is könnyebben elfogadja a védelmi terveket, hiszen egyfajta kockázatarányos biztosításként kezelheti. Ráadásként eltűnik a hamis biztonságérzet, ami néha veszélyesebb a vállalatra nézve, mint egy hekkertámadás.

Biztonság

Több infót csöpögtet a Google az androidos felhasználóknak

A Play áruházban jövőre ilyenkor már sokkal részletesebb tájékoztatást kapnak róla, hogy mit és miért bűvészkednének az adataikkal a telepítésre váró appok.
 
Májusi mellékletünkben az IT infrastruktúra automatizálásának aktuális kérdéseit járjuk körül, figyelembe véve az üzemeltetői és a fejlesztői megfontolásokat is.

a melléklet támogatója az EURO ONE Számítástechnikai Zrt.

Az elmúlt tíz évben radikális változás történt az adatfeldolgozásban, ami az infrastruktúrát is átalakította.

a melléklet támogatója a Dell Magyarország

Ha bővítené tudását és fejlődne a digitális transzformáció területén, látogasson el a Transformation-experts.hu oldalra, ahol egy gyors regisztráció után inspiráló cikkek, esettanulmányok, prezentációk, videók és egyéb szakértői anyagok széles tárházához kap hozzáférést.

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.