Szabó úr egy külkereskedelemmel foglalkozó vállalat jogi osztályának főmunkatársa. Az eltérő időzónák miatt sokszor kell este otthonról is véleményeznie egyes szerződéseket. Ilyenkor az otthoni elektronikus postafiókjába kapja meg, és a véleményezést követően onnan küldi vissza azokat a külkereskedelmi osztály vezetőjének. A vállalat informatikai fejlettsége megfelel egy átlagos hazai vállalat szintjének. Ez biztonsági szempontból azt jelenti, hogy az elektronikus leveleket, illetve a csatolt dokumentumokat titkosítás nélkül küldik. 
VÉDTELENÜL. Továbbá Szabó úr mint átlagos üzleti felhasználó otthoni gépén a Windows belépési jelszaván kívül további biztonsági elemek nincsenek. Azaz védtelenek a levelező programjában található címek, az elektronikus üzenetei, illetve a merevlemezen tárolt dokumentumai. Szabó úr tinédzser lánya hétvégénként a barátaival internetes csevegő és fájlcserélő programokkal tartja a kapcsolatot, megbeszélik a heti történéseket, vagy éppen letöltik kedvenc televíziós filmsorozatuk korábbi részeit. Eközben a lány megosztja a számítógép merevlemezét a fájlcserélő hálózatba belépett többi felhasználóval, mintegy 10 ezer emberrel. Ez még mindig az a merevlemez, amelyen ott vannak Szabó úr elektronikus levelei, a címjegyzéke, illetve a vállalati szerződések. Vagyis azok a bizalmas dokumentumok, amelyek bizalmasságának megőrzését Szabó úr a munkaszerződése aláírásakor, büntetőjogi felelősségének teljes tudatában vállalta, és amely szerződésekben levő információk értéke a versenytárs vállalat számára több millió forint.
Nyíri Géza, az Információ Ellenőrök Egyesülete (ISACA) magyar tagozatának elnöke, certified information security manager (CISM)
MEGGONDOLATLANUL. A példabeli Szabó úrhoz hasonlóan Magyarországon még túlságosan sokan nem ismerik az informatikai kockázatokat. Pedig az elmúlt években növekedett a kockázat. Megszaporodtak a felhasználók tömegeinek szánt, úgynevezett dobozos szoftverek hibáit kihasználó kártevő alkalmazások; nőtt a vírusok veszélyessége és terjedési sebessége; a gondatlanul kezelt azonosítók és jelszavak segítségével milliárdos károkat okoznak bűnözők; kémprogramok figyelik ki minden lépésünket a saját számítógépünkön. Ezen esetek többsége nem is kerül nyilvánosságra a vállalat hírnevének védelme érdekében, vagy azért, mert nem is veszik észre, hogy bekövetkezett. Ne legyen kétségünk afelől, hogy az esetek többségét munkatársaink, vagy akár családtagjaink teszik lehetővé, vagy követik el. Persze sok esetben nem szándékosan, ám a gondatlanság ugyanúgy anyagi és erkölcsi kárt okoz.
Az informatikai biztonsághoz a fizikai biztonság mellett – például jól zárható helyiségek, tűz- és árvízvédelem – sokkal inkább a logikai biztonság megteremtése az összetett feladat. Az informatikai irányítás mint szakterület egyre nagyobb szerepet kap a vállalatirányításon belül. Az Egyesült Államokban ezért külön nemzetközi kutatóintézetet is létrehoztak Information Technology Governance Institute (www.itgi.org) néven a vonatkozó módszertanok fejlesztésére. Ezzel együttműködve, többéves fejlesztés eredményeként alakította ki a nemzetközi Information Systems Audit and Control Association, az ISACA (www.isaca.hu) az információtechnológiai kontroll irányelveket (control objectives for information and related technologies – COBIT), amely azóta nemzetközi nyílt szabvánnyá vált. Céljuk az volt, hogy forrásanyagot biztosítsanak az ellenőrzési szakemberek számára.
Horváth Gergely, az ISACA magyar tagozatának tagja, certified information systems auditor (CISA)
A VÉDELEM ÁRA. Számos gyártó kínálja ingyen fejlett termékeinek minimál változatát az otthoni felhasználók számára, így van szoftveres tűzfal, víruskereső és -irtó szoftver, illetve, ha keresünk, akkor találunk ajánlásokat többek között ezek frissítésének gyakoriságára, az internetes levelezés, és vásárlás során követendő óvintézkedésekre, és a biztonságos jelszóválasztás követelményeire. Vállalatok esetében már nem képzelhető el az ingyenesség, el kell döntenünk, mit vásárolunk meg a piacon rendelkezésre álló eszközök közül. Természetesen itt sem szabad túlzásokba esnünk, a védelem költségének arányban kell lennie a védendő erőforrások értékével, ami üzleti szempontból az eredeti állapotba történő visszaállítás költségét jelenti.
Egy szervezet szempontjából a legfontosabb biztonsággal kapcsolatos teendőket a COBIT alapvető biztonság kötete alapján határozhatjuk meg (lásd külön). Ez segítséget ad a nehéz döntésben. Ám a legnagyobb erőfeszítést sok ember számára a hozzáállásának a megváltoztatása jelenti. Pedig ideje elfogadni: a lehetőségek mellett meg kell ismernünk azok korlátait is, s időt és pénzt kell fordítanunk a kockázatok csökkentésére.
Biztonsági teendők – a COBIT javaslatai
TERVEZÉS ÉS SZERVEZÉS
• Készítsen informatikai stratégiát, határozza meg az informatikai architektúrát
• Határozza meg az informatikai szervezet felépítését és kapcsolataikat
• Kommunikálja a vezetői célokat és irányt
• Szervezze az emberi erőforrásokat
• Gondoskodjon a külső követelményeknek való megfelelésről
• Értékelje a kockázatokat
BESZERZÉS ÉS MEGVALÓSÍTÁS
• Azonosítsa az automatizált megoldásokat
• Szerezze be és tartsa karban a műszaki infrastruktúrát
• Dolgozza ki és tartsa karban a folyamatokat
• Telepítse, és vizsgáltassa be a rendszereket
• Kezelje a változásokat
SZOLGÁLTATÁS ÉS TÁMOGATÁS
• Határozza meg és menedzselje a szolgáltatási szinteket
• Menedzselje a külső szállítóktól igénybe vett szolgáltatásokat
• Gondoskodjon a szolgáltatások folyamatos működéséről
• Bizonyosodjon meg a rendszerek biztonságáról
• Menedzselje a konfigurációt, az adatokat és a létesítményeket
MONITOROZÁS
• Monitorozza a folyamatokat, értékelje a belső kontrollok megfelelőségét
• Kérjen független megerősítést
A melléklet az Ernst & Young támogatásával készült.
Szerkesztette: Vrannai Katalin
