Az elmúlt 10 évben a magyar vállalatok többsége egy sor IT-biztonsági beruházást kezdeményezett, így minden vállalat tucatnyi különböző IT security szoftverrel és hardverrel lett ellátva. Tűzfalak, IDS-ek, loggyűjtők, -elemzők, titkosítások, autentikációk, jogosultságkezelők, a végtelenségig sorolhatnám a vállalatoknál fellelhető eszközök és rendszerek gyűjteményét, amelyekről gyakran azt sem tudják a felhasználók, hogy mi a funkciójuk.
Egy rendszer csupán annyira erős, mint a leggyengébb pontja
Az IT-biztonsági megoldások gyakran szigetszerű rendszerként üzemelnek a vállalatoknál, így nem biztosítható az egyenszilárdság. Az is sokszor merül fel problémaként, hogy nincs meg házon belül az a kompetencia, amivel az IT-biztonsági rendszereket össze lehet hangolni, így azok különálló egységekként, akár a pajzsukon levő résekkel együtt üzemelnek.
A QUADRON szakemberei gyakran találkoznak azzal a problémával, hogy az adott vállalatnál fellelhető rendszereket azért nem tudták összehangolni, mert a vásárlásnál az ár és nem az integráció vagy kompatibilitás volt az elsődleges szempont. Emiatt újabb és újabb IT-biztonsági kütyük (pirulák) vásárlásától várták a problémák megoldását, amelyet az orvostudományban egyszerűen tüneti kezelésnek hívnak.
A tüneti kezelések helyett koncepcionálisan kell megkeresni a bajok forrását, a betegség kiváltó okait, hiszen az újabb és újabb egységes stratégia nélküli technológiai beruházásoknak nincsen értelme, csak ablakon kidobott pénzt jelentenek.
A stratégia nem minden
A fejlett, biztonságilag tudatos vállalatok gyakran kifinomult stratégiával rendelkeznek (IT-irányítási és kockázatkezelési stratégiával, szabályozókkal, kontrollokkal, folyamatokkal, standardokkal, katasztrófaelhárítási-, üzletmenet-folytonossági tervek, rendszeresen mérés, auditálás stb.), de mégis jelentkeznek a betegségek tünetei.
Ennek általában az oka az, hogy alaprendszereikben nincs konzisztencia, helytelenül és rosszul vannak konfigurálva az eszközök. A QUADRON szakemberei ezekben az esetekben mindig a gyökerektől kezdik a vizsgálatot: visszafejtjük a rendszerek sokaságát, és az alapoktól vizsgáljuk át a meglévő biztonsági rendszerek hatékonyságát és összehangoltságát.
A QUADRON IT-biztonsági szemlélete
Az elmúlt évek tapasztalatai alapján a QUADRON négy olyan alappillért állított fel, amivel egy vállalatnak rendelkeznie kell, hogy biztonságban tudhassa adatait. Fókuszban a vállalatok legfontosabb, támadásnak kitett elemei vannak: munkatársak, szellemi tulajdon/érték, adatok, IT-infrastruktúra.
1. Külső támadások kivédése és a támadók távoltartása
Egy vállalat IT-rendszerének alapját képezi a külső támadások kivédésére/megelőzésére alkalmas környezet kialakítása. Az úgynevezett proaktív, megelőző védekezés magában foglalja az újgenerációs tűzfalak, vírusirtók és tartalomszűrő eljárások használatát.
2. Adatszivárgás elleni rendszer
Feladata, hogy a háttérben felügyelje az adatok tárolási helyét és módját, a felhasználók körét, az adatfelhasználás módját, illetve megakadályozza azon felhasználási módokat, amelyeket a szervezet a biztonsági szabályzatában rögzített és ismertetett. Adataink azonban az engedélyezett felhasználás során is kikerülhetnek a felügyeletünk alól: e-mailben, USB-tárolókon, cloud felhasználásakor stb. Az adatok titkosítása az a kiegészítő védelem, amely egy újabb védelmi vonalat jelent, hogy csak az arra illetékes személyek köre ismerhesse meg az információ tartalmát.
3. Belső szabályozás, irányítás és minőségellenőrzés
Azonban a biztonságot nem lehet pusztán szoftverek alkalmazásával megoldani, ezek a megfelelő szabályozás, keretrendszer és a szükséges folyamatok hiányában életképtelenek maradnak, vagy legalábbis nem lesznek hatékonyak. Ebbe a kategóriába tartozik a biztonsági szabályzatok betartatásán túl a kockázatmenedzsment, a megfelelőségi vizsgálat és a sérülékenység-menedzsment is.
4. Szakszerű, szakértői tervezés és támogatás
Az IT és a hozzá kapcsolódó biztonsági terület rendkívül gyorsan változik, szerteágazó, és speciális ismeretek szükségesek a biztonsági feladatok eredményes ellátásához. Manapság bevett szokás egy-egy feladat kiszervezése, jelen esetben a Security as a Service (SaaS – biztonság mint szolgáltatás) igénybevétele. Ezzel jelentős terhet vehetünk le az IT-vezető válláról, míg szakképzett, speciális ismeretekkel rendelkező csapat dolgozik a vállalat teljes körű IT-biztonságáért.
