A vállalatok, szervezetek működési folyamatai mára erősen függenek az informatikai rendszerektől. Az eredményességet és a hatékonyságot döntően befolyásolja, hogy a rendszer milyen minőségű és hogyan működik. Ám a működésfolytonosságra, biztonságra nemcsak a technológia van hatással, hanem léteznek további – szervezeti, szabályozási vagy humán – feltételei is. Éppen ezért a működés folytonossága nem tárgyalható kizárólag technológiai kérdésként, komplex megközelítésre van szükség. Ez a létező fenyegetésekből és veszélyforrásokból kiindulva határozza meg a kockázatokat és a lehetséges védekezési módszereket.
A működés modellezhető
Az eddigi vizsgálatok keveset foglalkoztak a működésfolytonosság modellezésével és objektív minősítési lehetőségeinek vizsgálatával – így ezekre vonatkozóan semmiféle szabvány vagy általánosan elfogadott eljárás nem létezik. Az IFUA Horváth & Partners szerint a magas szintű menedzseléshez szükséges egy olyan objektív mérőszám-mutatószám rendszer, amely támogatja a pillanatnyi helyzet értékelését, de lehetővé teszi a különböző szisztémák működési állapotának folyamatos összevetését is. Emellett a mérőszámrendszernek alkalmasnak kell lennie az időbeli változások kezelésére, valamint a célkitűzések megfogalmazására.
A mérőszám-mutatószám rendszer grafikusan ábrázolható, koncepcionális modellje tartalmazza azokat az alappilléreket, amelyekre egy cég vagy szervezet működésfolytonossága támaszkodik, ehhez a veszélyforrásokat is csoportosították.
Ami a működésfolytonosságot veszélyeztetheti
1. Fizikai veszélyforrások:
– szélsőséges időjárás (például szélvihar, felhőszakadás, árvíz)
– az informatikai, a távközlési vagy az erősáramú becsatlakozás kiesése
– erőszakos behatolás, fegyveres támadás, terrorcselekmény
– felügyelet nélkül hagyott kritikus berendezések
– nem megbízható kiszolgáló infrastruktúra (például szerverszoba, klímaberendezés)
– nem megfelelő minőségű eszközök használata, és a tartalékok hiánya
2. Logikai veszélyforrások:
– a belépés-ellenőrzési vagy a jelszóhasználati rendszer nem megfelelő, illetve jogosultsági problémák lépnek fel
– rossz naplózási rendszer, nem megfelelő mentések
– alultervezett, kisajátítható erőforrások, és ezek használatának szabályozatlansága
– a tartalékok hiánya
– rosszindulatú szoftverek (vírusok) bejutása a rendszerbe, nem megfelelő vírusvédelmi módszerek
3. Szervezeti és szervezési veszélyforrások
– esetleges, azaz nem szabványokon alapuló üzemeltetés
– a szerződések hiányosságai (például a szolgáltató azonnali kiesése, szerződésszegés vagy válasz a vélt szerződésszegésre)
– következetlenül állapítják meg a munkaköröket és a szakmai kompetenciákat
– nem lojális munkatársak, a biztonságtudatosság hiánya
– nem megfelelően szétválasztott munkakörök, rosszul szabályozott toborzás
– adatok, eszközök, helyiségek minősítésének hiánya
– munkatársak kiesése (betegség, sztrájk)
4. Az IT-rendszer életciklusához kapcsolódó veszélyforrások
– a fejlesztéseknél nem szempont a biztonság
– nincs elkülönült fejlesztőrendszer és -személyzet
– nincs biztonsági garancia a termékekre, hiányzik az ellenőrzés
– az üzemelő rendszerben a speciális hozzáférések (például a programozók jogosultságai), azaz a „hátsó ajtók” nyitva maradnak
– a selejtezési rend (hardver és szoftver) dokumentációja nem szabályozott
A cikk eredetileg itt olvasható.
