Élet-Stílus

Falak mögött

A tűz, a csőtörés vagy a besurranó tolvajok mellett a kiberbűnözőktől tart a legtöbb cégvezető.

Rövid idő alatt kijutott tűzből, csőtörésből, besurranó tolvajokból és számítógépes bűnözőkből is a University of Virginiának. Az egyetem gazdasági hivatalának számítógépei tűzvészben semmisültek meg, rajtuk pótolhatatlan adatokkal. Később egy eldugott helyen kialakult csőtörés okozott sorozatos szerverleállásokat. Amikor pedig az egyetem főépületét egy statikai ellenőrzés nyomán villámgyorsan kiürítették, valaki az irodákban hagyott laptopokat is „kimenekítette”. Ilyen előzmények után nem meglepő, hogy egy vírus kezdett pénzügyi információkkal teli e-maileket küldözgetni az egyetem gépeiről.

Falak mögött 1

Mindezt felfoghatjuk kivételes pechsorozatnak, amire senki sem számíthatott, bár egy piaci vállalkozás esetében az ilyesmi akár fizetésképtelenséget is okozhat. Igaz, kíméletlen világunkban ennél súlyosabb incidensek is előfordulnak. A 2001. szeptember 11-i terrortámadást például senki sem láthatta előre, mégis akadtak olyan vállalatok, amelyek felkészültek egy olyan nagyszabású katasztrófára, amely azonnal és hosszú időre megbéníthatja üzleti folyamataikat. Ezek a cégek már órákkal azután, hogy Manhattanben kitört a káosz, képesek voltak alternatív központokba irányítani és onnan szervezni működésüket. Ha nem is lehet pontosan megjósolni a hasonlóan szélsőséges, szokatlan eseményeket, bizonyos tekintetben mégis fel lehet készülni rájuk. Ez fokozottan érvényes az informatikára is.

A párbeszéd kezdete

■ Mindenképpen biztató, hogy a válság és a
növekvő biztonsági kockázatok kedvező irányba befolyásolták az IT és az
üzleti oldal kapcsolatát. A Deloitte egyik friss felmérésében 28 ország –
köztük Magyarország – IT vezetőit és gazdasági szakembereit kérdezték
az érintettek közötti együttműködésről és a változó szerepekről.
Eszerint a jelenlegi gazdasági helyzet valódi vezetővé léptette elő az
informatikai vezetőket (azaz a CIO-kat), akik most intenzívebb
párbeszédet folytatnak az üzleti oldallal: 10-ből 4 válaszadó már úgy
tekint az informatikára, mint az üzleti döntéshozatal hajtóerejére.

A brit CIO blog egyik bejegyzése a vállalati kockázatkezelés tíz legelterjedtebb mítoszával igyekszik leszámolni. Ezek közt előkelő helyen szerepel az a félreértés, hogy az informatikai kockázatkezelés egyenlő volna az IT biztonsággal. A technológia és szabályozás kérdései – a „mit, hogyan” – mellett a kockázatkezelés azt feltételezi, hogy üzleti perspektívából – a „miért” szempontjából – is megvizsgáljuk azokat a hiányosságokat, amelyeket a sokszor túlterhelt informatikai csapat képtelen befoltozni. A vállalatot érintő fenyegetéseket érdemes ebből a megközelítésből fontossági sorrendbe rakni. Ez, a kockázatok hatékonyabb kezelése mellett, azt is lehetővé teszi, hogy az informatikusoknak valóban csak a mit és a hogyan kérdéseivel kell foglalkozniuk.

Az Egyesült Államok szabványügyi hivatala (ANSI) nemrég tette közzé a kíberbiztonság pénzügyi vonatkozásait vizsgáló tanulmányát. Ennek egyik legérdekesebb megállapítása, hogy a vállalatok kevesebb mint ötöde rendelkezik a szervezet egészét áttekintő biztonsági csoporttal, és kevesebb mint fele készít bármilyen formális kockázatkezelési tervet. Hab a tortán, hogy az utóbbiak közül is csak háromból két cégnél veszik figyelembe az informatikai jellegű kockázatokat a terv elkészítésekor. A pénzügyi vezetők 95 százaléka pedig semmilyen információval nem rendelkezik a vállalatát érintő informatikai biztonsági problémákról. Ennek alapján az sem csoda, hogy a cégek többsége még arra sincs felkészülve, hogy azonosítsa, pláne számszerűsítse a biztonsági incidensek által okozott veszteséget.

DOLLÁRMILLIÓS KÁROK.
Tavaly az ANSI-tanulmány becslése szerint csak az Egyesült Államokban ezermilliárd dolláros kár érte a vállalatok szellemi tulajdonát, amihez még külön hozzá kell adni a személyes adatok kiszivárgását, a leállások okozta veszteséget, illetve az ügyfelek elvesztését. Ehhez képest – a PricewaterhouseCoopers adatai alapján – 2009-ben a szervezetek 47 százaléka csökkentette az IT-biztonságra szánt összegeket, vagy késleltette ilyen célú beruházásait. A 2010-re szóló előrejelzések szerint már a vállalatok kétharmadánál nyirbálják meg az informatikai biztonsági kiadásokat, negyedrészüknél legalább 15 százalékkal. Pedig egy 10 ezer személy adatait érintő biztonsági incidens átlagosan 2 millió dolláros kárt okoz az adatokat kezelő vállalatnak…

5 Kockázatkezelés lépésben

A Risk Management Magazine helyes
gyakorlatokat bemutató anyaga alapján pontokba szedtük a vállalati IT kockázatkezelés alapvető lépéseit:

1. Tisztázni kell az adott
üzletre vonatkozó különféle informatikai kockázatok természetét.
2.
Számszerűsíteni kell a lehetséges biztonsági incidensek hatását az
üzletmenetre.
3. Fel kell térképezni, milyen eszközök állnak
rendelkezésre az IT kockázatok kezeléséhez.
4. A kockázatkezelésre
fordított összegeket arányosítani kell azok várható üzleti értékével.
5.
Szisztematikusan fel kell építeni az IT kockázatkezeléshez rendelt
vállalati kapacitást.

Vezetői elhatározás és támogatás nélkül a védelmi intézkedések jó része meg sem születik, vagy nem válik érvényesíthetővé. A már említett téves elképzelés, mely szerint az IT-részleg egymagában is kezelni tudja a biztonsági problémákat, ahhoz a veszélyes felfogáshoz vezet, hogy a legtöbb alkalmazott nem érez felelősséget a rábízott adatokat illetően. Márpedig a pénzügyi, hr, marketing, jogi és egyéb részlegek mind saját adathalmazt kezelnek, és ha ezek védelméért kizárólag az informatikusokat teszik felelőssé, a vállalat általános biztonsága is meggyengül. Így fordulhat elő, hogy sokszor az adatbiztonságot – helytelenül – kizárólag technikai problémának tartják, ráadásul az IT-biztonságra szánt forrásokat – ugyancsak helytelenül – megnyirbálják, mivel képtelenek felmérni a valódi kockázatokat. Más szóval az informatikát költségcentrumként, nem pedig profitcentrumként kezelik, és ezek a téves megközelítések végül azt az üzenetet közvetítik, hogy a védekezés sokba kerül.

Ajánlott videó

Olvasói sztorik