1. HUNCERT
  2. A kiemelten biztonságos cégek hét szokása

A kiemelten biztonságos cégek hét szokása

Biztonsági erőfeszítéseik közepette a cégek nehéz döntésekkel és kompromisszumokkal állnak szemben. 

A cégek, az őket működtető emberekhez hasonlóan szokásokból épülnek fel. Ezen szokások egy része inkább növelheti az információs rendszerek biztonságát, mint sem. Természetesen nem létezik teljes biztonság, de a kiemelten biztonságos cégek hét legjobb gyakorlata szabvány a vezérigazgatók számára, melyeket biztosítaniuk kell cégüknél.

Egyrészt, ha nem tudjuk megfizetni a biztonságot, akkor nem tudjuk megfizetni magát a projektet sem, másrészt a legtöbb kis és közepes vállalkozás képtelen minden ellen megvédeni magát. Az üzleti folyamataik hatékonyságát gátolják, ha megpróbálják.

Az informatikai biztonság hatékony megközelítése a választási lehetőségek bevonásával lehetséges. A cégeknek kompromisszumokat kell tenni eldöntve, hogy melyek a legfontosabb értékeik, melyek védelemre szorulnak, majd ezután egy aránylagos biztonsági szintet kell ezek köré építeni.

1. Értékelés és vizsgálat

Rendelkezni kell egy szabályozott biztonsági átvilágítással és egy kockázatelemzéssel, melyet egy külső szemlélő végzett. A kockázatbecslés számbaveszi az értékeket és nekilát egy fenyegetés-felbecsülésnek. Értékeket rendel a fenyegetésekhez és javasol egy ellenintézkedés listát. A biztonsági átvilágítás megmutatja, hogy vajon ezek az ellenintézkedések megfelelően implementáltak-e. Az üzlettől és az ügyfelekkel és szállítókkal folytatott kommunikáció mennyiségétől függ, hogy mennyire kell szabályozottnak lennie egy átvilágításnak.

Nagymennyiségű kommunikáció esetén évi 3-4 átvilágítás is elképzelhető, és inkább külső tanácsadó végezze el ezt a munkát, mintsem az informatikai csapat egy tagja. A pénzügyi átvilágításokhoz hasonló módon a külső szemlélő szükséges annak tesztelésére, hogy mi került megvalósításra a cégen belül.

2. Frissítsd biztonsági szoftvereidet!

Bizonyosodj meg róla, hogy tűzfalad és vírusvédelmi rendszered frissített. Amennyiben minden a helyén van, a távoli felhasználók miatt a veszély még mindig fennáll, mivel az ő vírusvédelmi rendszerük frissítése elmaradhat. Személyes tűzfalak telepítése is szükséges az otthoni gépekre és laptopokra. Ezen felül olyan eseményelemző alkalmazás is hasznos, mely a naplózott adatok alapján segít felderíteni a támadásra utaló jeleket.

3. Alkalmazz szabályzatot!

Rendelkezz írott érvényesíthető informatikai szabályzattal, mely lefedi a kritikus rendszereket és a vállalat dolgozóit. Minden biztonsági rendszer alapja a szabályzat. Jogi szempontból tilthat a szabályzat bizonyos tartalmakat, de magában foglalhat informatikai helyreállítási szabályokat is (katasztrófa-terv) beleértve azt, hogy vészhelyzet esetén kit és milyen sorrendben kell riasztani. A szabályzat írásába be kell vonni az informatikai osztályt, de a karbantartás legyen a humánerőforrás-osztály feladata. 

Biztosítani kell, hogy az alkalmazottak aláírásukkal igazolják, hogy a szabályzatot elolvasták, megértették, és tisztában vannak a megszegés következményeivel.

4. Mentési terv

Rendelkezz katasztrófa esetére visszaállítási tervvel. A szolgáltatás-bénító támadásokra érzékennyé váltak a vállalatok. Amennyiben a bevétel az elektronikus kereskedelemből származik, úgy a cég Webszerverének adatait is rendszeresen le kell menteni, mint az egyéb adatokat.

A mentési tervnek a szándékosan elkövetett sikeres támadásokon túlmenően a vétlen események esetére is ki kell térnie, mint pl. egy természeti katasztrófa vagy áramkimaradás esetén teendőkre.

5. Képezz és azonosíts!

Csökkentsd a belső forrásból fakadó fenyegetéseket az alkalmazottak megfelelő képzésével és azonosításával. Nem elégséges csak a szabályzat, szükség van az alkalmazottak képzésére is, hogy ne nyissanak meg ismeretlen forrásból származó e-mail csatolást, és ne használjanak otthonról hozott mágneslemezeket. Ezen felül a cégeknek szükségük van szigorú azonosítási és hozzáférési szabályokra. 

Sokszor tapasztalhatók gyenge jelszóhasználati szabályok. A megfelelő jelszó és az időszakos jelszócsere nagyon fontos minden hozzáférés-menedzselésben. A szabályalapú hozzáférés egy másik
jelentős védelem, amikor kimondják, hogy az alkalmazott milyen munkán dolgozik, és milyen csoporthoz férhet hozzá feladata alapján. Sok esetben az új alkalmazott is hozzáfér mindenhez, miközben egy titkárnőnek nem feltétlenül kell hozzáférnie a gazdasági osztály béradataihoz. A kérdés, hogy kinek miért kell valamihez hozzáférnie, és ezt az igényt kell felülvizsgálni a megfelelő szabályok alapján.

6. Titkosítsd az adataidat!

A vállalatok széles körben alkalmazzák a titkosítást az elektronikus kereskedelem és a vezeték nélküli kommunikáció során, de nem az adattárolás során. 

A tárolt adatok titkosítása is fontos, nemcsak a kommunikációban résztvevő adatoké. A hálózati kapcsolatok miatt ezek bizalmassága is védendő. Ráadásul a tárolt adatok mennyisége nagyobb, mint az utazó adatoké, így a fenyegetettség is nagyobb (nyilvánosságra kerülés esetén is a kár is). A tárolt adatok értéke határozza meg a titkosításhoz használt algoritmust és a kulcsok erősségét. Amennyiben az adatok titkosítási idején belül feltörhető a titkosítás, úgy nem a megfelelő titkosítás kerültalkalmazásra.

7. Jelents a felsővezetőnek!

Nevezz ki egy az informatikai biztonságért felelős személyt. Ideális esetben ez a személy nem az
informatikai vezetőnek jelent, mivel a jelentésben foglaltak megoldása a felsővezető feladata. A
legrosszabb esetek egyike, amikor a biztonsági felelős a gazdasági igazgató alá van rendelve, így a
szakmai teendők elé helyezik a teendők költségét anélkül, hogy az intézkedések hatékonyságának
tükrében vizsgálnák meg az intézkedések kimutatható árát.
Az intézkedések betartásában is nagy szerepe van, hogy a felsővezetés tartja kézben az intézkedések
megrendelését, kiadását és az ellenőrzések elrendelését, valamint a jelentések tartalmának
figyelembevételét. Nem utolsó sorban a felsővezetésnek is példát kell mutatni, hogy a szabályok rájuk is
vonatkoznak, és mind alkalmazottra.

* * *

A hét legfontosabb rossz szokás, melyet a cégvezetők követnek el:

  1. Tettetik, hogy a problémák megoldódnak, ha figyelmen kívül hagyják őket.
  2. Eseményorientált, rövidtávú megoldásokkal élnek, így a problémák gyorsan újra felbukkannak.
  3. Tévesen mérik fel az információ és a céghírnév értékét.
  4. Elsősorban a tűzfalban bíznak.
  5. Figyelmen kívül hagyják a biztonság működtetési vonzatait: elvégeznek pár javítást, de nem biztosítják a problémamegoldás fenntartását.
  6. Nem értik meg az információs biztonság és az üzleti problémák kölcsönhatását ― értik a fizikai biztonságot, de nem látják a szegényes információs biztonság következményeit.
  7. Képzetlen alkalmazottra bízzák a biztonságot, és nem biztosítják sem a képzést sem a munkavégzéshez szükséges időt.

* * *