Egy vállalat életében különböző vezetők felelnek a folyamatok megfelelő működéséért. A nagyobb cégeknél rendszerint van külön IT vezető vagy más néven CIO (Chief Information Officer), aki az IT rendszerek támogatásával kapcsolatos feladatokért felelős.
Általában olyan személyt választanak ennek a pozíciónak a betöltésére, aki már kellő tapasztalattal rendelkezik és áthatóan ismeri a céget. Ezzel is segítik, hogy a beilleszkedés minél kevesebb időt vegyen igénybe. Ha mégsem lenne előzetes ismerete a cégről, akkor az első hetekben több plusz feladat is várhat rá.
- Elsősorban az üzleti folyamatokat kell áttekinteni, hogy kellőképpen tisztában legyen a cég tevékenységével. Mindenképpen érdemes egy tervet készíteni, egy megfelelő módszertant létrehozni, hogy átlátható és érthető legyen minden folyamat. A biztonság megteremtésének feltétele, hogy felmérje az üzleti folyamatokat,
- megértse a cég működését,
- átnézze a kockázatokat és elemezze azokat,
- fejlessze a kiberbiztonságot,
- növelje a bevételeket
- és még az innovációra is figyeljen.
Akár több, mint fél évig is eltarthat, míg megtalálja a helyét az új munkakörnyezetben, ezért egy információbiztonsági szabvány is segítségére lehet.
Azonban egy CIO sem tarthat mindent egy kézben.
Lehetnek olyan kollégái, akik bizonyos feladatokat jobban el tudnak végezni. Ahogy Churchill is mondta: „Amit nem tudsz megakadályozni, annak állj az élére.” Hatékonyabb munkafolyamatok jönnek létre, ha az alkalmazottak támogatják a vezetőjüket és egymást.
Hogyan lehet a kiberbiztonsági kockázatokat átfogóan felmérni?
Az IT biztonsági feladatok közé tartozik a kiberbiztonsági kockázatok felmérése, mely segítségével felkészülhetünk az esetleges támadásokra.
A fent említett üzleti folyamatok felmérése után, a kockázatok ellen létre kell hozni egy védelmi intézkedési listát. Így láthatjuk, hogy bizonyos támadásokra hogyan tudunk reagálni.
A kockázatokat többféleképpen is csoportosíthatjuk:
– természetes eredetűek
– infrastrukturális eredetűek
– akaratlan humán eredetű hibák
– informatikai jellegű
– akaratlagos támadások
– dokumentációs hibák
– kompetenciában rejlő
– kiszervezés kockázata
Ezekhez szükséges egy megfelelő elemzés, mely lehet egyszerű is akár, de a lényeg, hogy könnyedén értelmezhető legyen. Nagyon fontos az is, hogy folyamatosan vizsgálják felül, hogy aktuális maradjon.
Mi a helyzet 2021-ben a felhőben tárolt adatokkal?
2021-ben már egyre gyakoribb, hogy adatainkat a felhőben tároljuk. Egyre több cég dönt úgy, hogy “felköltözik a felhőbe”, azonban jelenleg kevés az olyan vállalat, aki pontról pontra, hiba nélkül meg tudja ezt valósítani.
Egy ilyen döntés előtt fel kell mérni, hogy készen áll-e erre a lépésre a cég.
Milyen előnyei, hátrányai lehetnek a folyamatnak? Dönteni kell olyan kérdésekről, mint például, hogy igénybe vesznek-e külső szolgáltatót, miket fognak felvinni a felhőbe, milyen kockázatok merülhetnek fel? Mindent figyelembe vettek, vésztervet is készítettek?
Egy ilyen átalakítást a lehető legkisebb kockázattal kell meglépni, azonban a megelőző intézkedésekről sokszor megfeledkezünk. Érdemes figyelni a folyamatok felmérésére, a szolgáltató megismerésére, egy számunkra is megfelelő szerződés megírására. Ha erre nincs időnk, esetleg tudásunk, fordulhatunk egy tanácsadó céghez is.
Home office esetén milyen extra rendelkezések szükségesek?
Ez előző év megpróbáltatásai minden vállalatnak feladták a leckét. A home office megteremtése nem mindenhol ment zökkenőmentesen. A jövőre nézve hasznos lehet az MNB által létrehozott ajánlás a távmunka és távoli hozzáférés informatikai biztonsági követelményeiről. Érdemes lehet átnézni, hogy mi az, ami ránk is vonatkozik, mit tudnánk belőle hasznosítani.
Miért érdemes a cég kollégáit képezni? Hogyan minimalizáljuk a humán faktor kockázatát?
A belső védelem megerősítéséhez elengedhetetlen a munkavállalók oktatása. Ezek az képzések szükségesek lehetnek új szabály bevezetésénél, új munkatárs érkezésénél, így a dolgozók folyamatosan napra készek lehetnek. Számukra is könnyebb a veszély felismerése, ha megismertetjük velük a belső szabályokat és megértik a külső fenyegetettségeket.
Elengedhetetlen, hogy a támadási formákat ismerjék, felismerjék, ha baj van és tudják, hogy kihez kell fordulni. Játékos képzésekkel (pl.: szabadulószoba) segíthetünk nekik elsajátítani a szükséges intézkedéseket.
Például, hogy
- ne írják ki a jelszavukat a monitorra,
- ha elhagyják az asztalt, zárják le a képernyőt,
- a hivatalos papírokat ne hagyják elől,
- használjanak merevlemez titkosítást,
- ne hagyják a laptopot szem előtt az autóban stb.
Ebben a témában egy részletes bejegyzés is megtalálható a honlapunkon.
Felkészíthetjük őket a zsarolóvírus elleni védekezésre is, hogy csökkentsük a kockázatot. Telepítsünk vírusírtókat és folyamatosan frissítsük őket, mentsünk, használjunk egyszer használatos jelszavakat, figyelmeztessük dolgozóinkat, hogy ne kattintsanak ismeretlen linkre, tudatosítsuk őket azok felismerésére.
A saját mobilhasználat is egy hasonló kockázati forrás lehet. Ha a vállalat engedélyezi a saját mobil használatát, akkor javasolt “mobil device management” alkalmazása. Ez létrehoz egy titkosított részt a munkavállaló eszközén, ahova a céges alkalmazásokat telepíthetjük. A cégen belül pedig visszakövethető, hogy ki használja, mit töltött le, alkalomadtán távolról is le lehet tiltani. Fontos azonban megjegyezni, hogy ezzel nem a munkavállaló megfigyelése a cél, hanem az adatok védelme.
Mikor érdemes külső szakértői segítséget igénybe venni?
Minden vállalatnak előírt jogszabályoknak kell megfelelnie (pl.: GDPR, CCPA). A hatályos jogszabályok betartása érdekében érdemes felméréseket készíteni és belső ellenőrzést végezni. Így kideríthetők azok a kockázati elemek, melyeket a felmérés után kezelni kell.
Ha úgy látjuk, hogy a vállalaton belül hiányzik a megfelelő tudás ezeknek a feladatoknak az elvégzéséhez, akkor érdemes külső segítséget kérni.
Összességében elmondható, hogy az IT biztonságon belül is rengeteg különböző feladat van, így egy CIO-nak nincs könnyű dolga. Munkatársai támogatásával és megfelelő irányítással azonban sikeresen és eredményesen végezheti munkáját.