Információ - biztonság…

2019. augusztus 12.

 

Nagyvállalati környezetben minden releváns fenyegetésre igyekeznek valamilyen védelmi mechanizmust működtetni - számos ajánlás, jogszabály elvárásokat támaszt ebben a tekintetben, ráadásul egyes üzletágakban még a felügyeleti szervek is kikényszerítik a biztonsági megfeleléseket. Megvizsgálva a magyar kkv szektorban működő cégeket, megfigyelhető, hogy sokszor a nagyvállalatokhoz hasonló problémákkal küzdenek, de esetükben a méretgazdaságossági mutatók egész más képet festenek, így más megoldások és lehetőségek állnak a kkv szektor képviselői rendelkezésére. Szerencsére persze a kkv méretű szervezetek felépítése általában egyszerűbb és átláthatóbb, mint a nagyoké, így számukra a nagyvállalati biztonsági szint elérése ennek megfelelően gyorsabban és olcsóbban lehetséges. A fő cél minden esetben az, hogy kockázatarányos biztonsági rendszerek működjenek.

 

Alátámasztva a fenti állításomat, szeretném bemutatni vázlatosan, hogy milyen lépések mentén alakul ki és működik egy biztonsági rendszer. 

 

  • Definiáljuk a folyamatokat, az adatköröket, az eszközöket, a személyi állományt - ezzel meghatározzuk a védendő „terület” határait.
  • Bizalmasság/sértetlenség/rendelkezésre állás szerint rangsoroljuk a rendszer elemeit és meghatározzuk az egymástól való függési viszonyaikat. Elengedhetetlen az adatgazda és a folyamatgazda szerep kialakítása.
  • Azonosítjuk a lehetséges fenyegetettségeket és azok előfordulási valószínűsége és károkozási képessége alapján elvégezzük a kockázatelemzést. Így már megállapítható a kockázatviselői hajlandóság, valamint a fel nem vállalt kockázatok is, melyek esetében a kockázat-arányos védelmi intézkedések segítségével javítható a kitettségi szint.
  • Üzleti hatáselemzés után kialakítjuk a fejlesztésre szánt költségkeretet.
  • Az anyagi erőforrások által is definiált keretek között kiépítjük az adminisztratív, logikai és fizikai kontrollokat.
  • A folyamat végén, a már kialakított rendszer működését és szabályait dokumentáljuk, s gondoskodunk azok rendszeres felülvizsgálatairól.

Az így kialakuló védelmi rendszerek értéke/ jelentősége a rendellenes működés és az incidensek mihamarabbi észlelésében, illetve az illetékes szereplők mihamarabbi informálásában mutatkozik meg.

Fontos kiemelni, hogy a fentiekben körülírt folyamat lépései egymásra épülnek, és ha bármelyik kimarad nem érhető el a kívánt cél.

 

Az információbiztonságban a legerősebb eszközünk a prevenció, de fontos tudni, hogy a legnagyobb odafigyelés és gondosság mellett sem valósítható meg a rendszer 100%-os védelme.  A fő cél az, hogy gyorsan és hatékonyan tudjunk reagálni a nem kívánt eseményekre. Kulcskérdés ehhez a fenti biztonsági intézkedéseken túl a kollégák oktatása és felkészítése. A fenti folyamatlépések egyértelműen azt szolgálják, hogy hatékony és gyors reakciókra legyünk képesek.

 

Az információbiztonság megteremtése és fenntartása egyértelműen üzleti érdek, tehát érdemes az üzleti tervezés, vezetői elköteleződés szintjéről kiindulni.

  • Fontos látni a vállalkozás tevékenységi köreit, a rá vonatkozó törvényi és partneri elvárásokat.
  • Tudatában kell lennünk, hogy milyen üzleti folyamatokkal szolgáljuk ki a cég működését és azokhoz milyen erőforrások rendeltetésszerű működésére van szükségünk (adat, szakképzett munkaerő, számítógép, elektromos áram, alkalmazások, épület, stb.).
  • Az erőforrások közti függőségi viszony előre vetíti, hogy mely pontokon szükséges beavatkozni, többlet erőforrást allokálni, helyettesítő megoldásokat kiépíteni.
  • Ismerni kell az erőforrásainkra vonatkozó kockázatokat, előfordulási valószínűség és károkozási képesség szerint.
  • Kockázatarányos védelmekről kell gondoskodni, amihez szükségünk lehet például munkaszerződés -kiegészítésekre, felelősségbiztosításokra, szabályzatok módosítására, adatszivárgás- megelőző rendszerek kiépítésére, tűzfalak beépítésére, naplóelemzésekre, megerősített beléptető rendszerekre, tűzálló iratszekrényekre, távfelügyelt riasztó berendezésekre, redundáns áramellátásra…

A sajátosságainkra, működési területünkre figyelemmel kialakított védelmi rendszereknek megkerülhetetlenül egymásra kell épülniük, s meg kell követelnünk a saját dolgozóinktól, beszállítóinktól, szolgáltatóinktól a kiépített biztonsági rendszer szerinti lépéseket.

Mindehhez elengedhetetlen a vezetők és a beosztott kollégák módszeres képzése, a vonatkozó feladatok, illetve a lehetséges kockázatok iránti érzékenyítése. Így elvárandó például a tudatosabb eszközhasználat, adat- és titokvédelemi előírások betartása mindenkitől, akár olyan hétköznapi szinten is, hogy megfelelő jelszavas és fizikai védelemmel óvják az eszközeiket, vagy pakoljanak el az asztalokról minden szenzitív adatot tartalmazó iratot egy zárható szekrénybe. A következő lépés pedig már az, hogy megtanítsuk munkatársainknak, hogyan és mi alapján észleljenek egy-egy incidenst, illetve tudják, hogy egy esetlegesen előforduló ilyen esetben mi a teendőjük.

A fentiek jelentős része nem informatikai feladat, de szerves részei az információbiztonság megteremtésének és fenntartásának. Mi mutatná jobban, hogy az információbiztonsági stratégiai célok eléréséhez szükséges a szakmák közti hatékony együttműködés, -mint hogy például a információbiztonsági vezetőnek el kell tudnia magyarázni a jogász kollégának, hogy milyen kockázatokat szeretne kezelni jogi eszközökkel és milyen garanciákat vár el a teljesítéshez kötődően, vagy egy esetleges szerződésszegés esetén milyen mértékű kártérítést követel meg…

A fenti intézkedéseket kell aztán mérlegelnünk az informatika nyújtotta biztonsági funkciók alkalmazával. Ezek között:

  • Az egyik legfontosabb kérdés a felhasználók azonosítása, amely felhasználói név-jelszó párossal egyértelműen egy természetes személyhez rendelést jelentenek. Egyes rendszereknél, szolgáltatásoknál ide kell értenünk egy mobiltelefont vagy egy chip kártyát, amely kiegészítő felülete lehet az azonosításnak. A munkavállalói képzések során és a munkaszerződésekben is szükséges kezelni, hogy a név/jelszó páros nem publikálható és legalább 2-3 havonta szükséges cserélni azokat, aminek során megfelelő komplexitású jelszavakat szükséges használni. Új munkatárs érkezése esetén szabályozott és dokumentált folyamat eredményeként jöhet létre a megfelelő felhasználói profil, és a munkakörében jelentkező minden változást érvényesíteni kell az informatikai rendszerben, áthelyezés esetén és kilépés esetén is.
  • A megfelelő jogosultságkezelés fő pillére, hogy minden felhasználónak csak annyi jogosultsága legyen a rendszerekben, amennyi a feladata ellátásához feltétlenül szükséges.
  • Az adatok mentését/archiválását vizsgálva minden tényezőt szükséges figyelembe venni, alkalmazni kell az adatvédelem korlátait és kötelezettségeit és érvényesíteni kell az üzleti igények támasztotta rendelkezésre állást.
  • Kiemelt figyelmet kell fordítani a hibatűrési időkre, amelyek bizonyos időszakokban extrém rövidek lehetnek. Képesnek kell lennie a rendszernek (gép és ember) visszaállítani az adatokat a szükséges időn belül.
  • A többrétű elvárások miatt kettős mentési rendszert érdemes használni, egy valós idejű mentést, amely folyamatosan, vagy 1-2 óránként készít mentéseket és egy napi-heti rendszerességgel végzett teljes mentést. Ezzel a módszerrel, ha a fő rendszerben hiba keletkezik, s az tönkre teszi az aktuális mentett állományokat is, még van lehetőség a ritkább mentésekből elvégezni egy visszaállítást. (Fontos, hogy a mentő eszközökből hiányzik az az intelligencia, hogy észlelni legyenek képesek az adatok esetleges sérülését.)
  • Biztosak akkor lehetünk a megoldásban, ha rendszeresen (3-5 havonta) éles visszaállítási teszteket végzünk.
  • Az alkalmazott szoftverek esetében gondoskodni kell a folyamatos frissítésről, operációsrendszer és alkalmazásszinten egyaránt. A kulcs üzleti alkalmazásokhoz teszt környezetet kell kiépíteni, amely megóv a gyártói vagy fejlesztői hibáktól. (A teszt környezetben soha nem használhatunk éles adatokat, mert a legtöbb érintettnek hozzá kell férnie, így nem garantálható az adatok védelme.) Előre meghatározott teszt eljárás sikeres elvégzése alapján, hagyható jóvá az éles rendszeren minden komolyabb változás.
  • A vírusok védelmével kapcsolatban elmondható, hogy az ingyenes megoldások általában nem nyújtanak kielégítő védelmet és a zsarolóvírusok ellen gyakran a fizetős társaik sem óvnak meg, ez utóbbi fenyegetésre a mentett adatok visszaállítása illetve a dolgozók tudatos és óvatos eszköz használata jelentheti a megoldást. 

Összegezve, az információ biztonság nem állít elénk megoldhatatlan kihívásokat, csak gondosan és rendszeresen fel kell mérnünk, hogy milyen kockázatok jelentkeznek, s azok kiküszöbölésére miként tudunk hatékony válaszokat adni. A válaszok érkezhetnek jogász, tréner, szervezetfejlesztő és informatikus munkatársaktól egyaránt, így legyünk nyitottak a támogatásukra és szorgalmazzuk az együttműködésüket!

A biztonság nem más, mint a kockázatok tudatos kezelése.

 

A cikk szerzője:

Kancsal Tamás

IT szakértő, BrightDea Solutions Kft., a Magyar Könyvizsgálói Kamara Oktatási Központ Kft. oktatója