A Deloitte szerint, ahogy a nyelvvizsgát igazoló papír sem jelent garanciát arra, hogy tulajdonosa minden helyzetben képes megfelelően használni az adott idegen nyelvet, igen sok informatikai biztonsági tanúsítvánnyal rendelkező vállalatra igaz az, hogy a sebezhetőségek és kockázatok nagy részét a "papírok" megléte ellenére sem kezeli megfelelően. Igazán csak az segíthetne, ha a vezetők sokkal tudatosabban kezelnék a cégüket fenyegető veszélyeket.
Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője elmondta: "Az internetes bűnözés 2009-ben majdnem 600 százalékkal növekedett. Magyarországra vonatkozóan nem lelhetők fel megbízható adatok, de a veszélyeztetettséget mindenképpen növeli, hogy sok hazai vállalkozás a költséges és időigényes munka miatt ma még mindig csupán jogszabályi kötelezettség hatására hajt végre bármilyen információbiztonsági intézkedést. Törvényi kötelezettségek pedig egyelőre csak a hitel- és pénzintézetekre, illetve pénzügyi szervezetekre vonatkoznak, és vélhetően ez is oka annak, hogy a banki szektort leszámítva ma még nagyon sok társaság nincs is tudatában annak, hogy a birtokában lévő üzleti adatok megszerzése közvetlen előnyhöz juttathat másokat, például versenytársakat. Továbbá mindez olyan jelentős üzleti veszélyeket rejt, amelyeket utólag a legtöbbször már lehetetlen kezelni."
Dr. Vizi Linda, a Deloitte Zrt. Vállalati Kockázatkezelés osztályának szenior tanácsadója a következőképpen vélekedett: "A nemzetközi gyakorlat természetesen számos előírást és keretszabályozást ismer, amelyek adatbiztonsági elvárásokat támasztanak a cégekkel szemben. Ilyen például a COBIT (az információtechnológia irányításához, kontrolljához és ellenőrzéséhez készített útmutató és kézikönyv), az ISO 27001 szabvány (az információbiztonsági irányítási rendszer követelményszabványa), vagy a PCI-DSS (a bankkártya-adatok kezelésére vonatkozó adatbiztonsági szabvány) is. Ezek a pénzügyi szektortól eltekintve egyrészt nem kötelezőek, másrészt sok esetben nem adnak valódi garanciát arra, hogy a társaság által kezelt vagy a működése során felmerülő adatok tökéletes biztonságban vannak."
Mi lehet a megoldás?
Dr. Vizi Linda szerint a cégeknek mindenekelőtt el kell fogadniuk, hogy a megszerzett tanúsítványok a tökéletes módszertan ellenére sem garantálhatják a biztonságukat. Sok múlik a biztonsági audit alaposságán és összetettségén, ami elsősorban a bevont tanácsadó szakmai felkészültségén múlik. Nem elég a biztonsági standardok által diktált előírások mechanikus, soronkénti vizsgálata, a folyamatokat ezzel egyidejűleg átfogóan, egymással összefüggésben is célszerű vizsgálni ahhoz, hogy a teljes rendszer működéséről egységes, megbízható képet kapjunk. Ezzel párhuzamosan a vállalat részéről is szükség van egyfajta tudatosságra, amelynek köszönhetően a vállalatvezetés nem csak az igazolás (tanúsítvány) megszerzésére, hanem a valós védettségre, biztonságos működésre is törekszik, hiszen a sikeres működés a társaság jól felfogott üzleti érdeke kell, hogy legyen.
Éppen ezért nem szabad megvárni azt sem, amíg a cég valamilyen komolyabb anyagi vagy reputációs károkat okozó biztonsági incidens áldozatává válik - a későbbi problémák leginkább azzal védhetők ki, ha valamely új üzleti funkció vagy szolgáltatás fejlesztésébe már a tervezési fázisban bevonják a biztonsági szakembereket, és igyekeznek mindvégig partnerként kezelni őket.
Célszerű a vállalaton belül is alkalmazni egy olyan személyt, aki képes a biztonság sérülésével járó kockázatokat idejében felismerni, és erről a megfelelő módon és időben értesíteni a menedzsmentet, miközben gyorsan és hatékonyan képes kezelni az ilyen eseteket.
A nyilvánosság is segíthet
Antal Lajos hozzátette, hogy a hazai piacon rendszerint nem kerül nyilvánosságra az, ha valamely közepes vagy nagyvállalatot informatikai támadás ér - például megzavarják a rendszereit vagy tömeges méretekben lopnak tőle ügyféladatokat -, ezért jelenleg megbecsülni sem lehet, hogy mekkorák évente az effajta szándékos visszaélésekből eredő károk hazánkban.
A cégek zárkózottsága egyfelől érthető, hiszen nem szívesen rontanák saját reputációjukat kínos vállalati hírekkel, ám egyben veszélyes gyakorlat is, hiszen szőnyeg alá söpör olyan problémákat, amelyek ettől még léteznek. Ezek a problémák sok Magyarországon működő vállalat rengeteg ügyfelét érinthetik, de ellehetetlenítik azt is, hogy a ma még gyanútlan vállalatvezetők belássák: komoly kockázatoknak teszik ki saját vállalkozásukat, ha nem gondoskodnak a megfelelő (tanúsítványokon is túlmenő) informatikai biztonságról a társaságuknál.
A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
