„Ha egy ügyvezető a vállalkozásán belül feltenné a kérdést, hogy biztonságosak-e az IT-rendszereik, akkor az informatikustól nagy valószínűséggel azt a választ kapná, hogy igen. Itt azonban nem szabad hátradőlni. Az nem várható el, hogy a cégvezető átlássa a teljes IT-rendszert, de az igen, hogy a társaság bizonyos időközönként önvizsgálatot tartson” – javasolja az Invitel ICT üzletfejlesztési igazgatója.
Érdemes szakértőkre bízni
Marton László szerint az ellenőrzési folyamatba mindenképpen érdemes bevonni egy külső szakembert, aki véletlenszerűen vagy rendszeresen (negyedévente vagy félévente, esetleg évente) átnézi az üzleti folyamatokhoz illeszkedő IT-rendszereket. Ezeken az ellenőrzéseken meglepő és zsebbe vágó hiányosságokra derülhet fény. Komoly probléma lehet például, ha céges előírás ellenére sem mentik megfelelően az adatokat, vagy ha nem tartják be az archiválási szabályokat, folyamatokat.
A külső ellenőr kiválasztásánál a megbízhatóság természetesen kulcstényező, de az is, hogy a szakértő a hiányosságok megoldására ne akarja a vállalkozásra erőltetni a saját szolgáltatását. Az ICT üzletfejlesztési igazgató szerint a jó szakember nem azzal kezdi a vizsgálatot, hogy van-e biztonsági mentés, és hogy hol vannak a szerverek. Ennél jóval fontosabb, hogy első körben megértse a társaság üzletmenetét. Minden cégnek a saját üzleti folyamatai és céljai határozzák meg az IT-környezetet és annak a biztonsági szintjét. Ezek áttekintésével mérhető fel, hogy hol lehetnek a kritikus területek, illetve az is kiderülhet, mit kell mindenképpen archiválni, és esetleg hol kereshető alternatív, költséghatékony megoldás minderre.
A papír is számít
A szakértő kiválasztásánál nézze meg az adott cég informatikai tanúsítványait is (ilyen lehet például az ISO, a PCIDSS vagy az SSL). Ezek megszerzése ugyanis szigorú feltételekhez kötött, és a saját folyamataik rendszeres, külső ellenőrzését is megköveteli az informatikai szolgáltatóktól.
