Az információbiztonság öt alappillére

Napjainkban a vállalatoknak mindennapi üzletmenetük biztosítása mellett kiemelten kell foglalkozniuk az információbiztonság megteremtésével, mivel a bizalmas információk megőrzése, sértetlenségének és rendelkezésre állásának biztosítása alapvető fontosságú. A vállalatok az információbiztonsági feladatokat sokszor az informatikai biztonság megteremtésével próbálják lefedni, ám ez nem egytényezős feladat, hanem egy komplex, sokszereplős folyamat eredménye. A NAVIGATOR Informatika Zrt. ezért összegyűjtötte azokat a tényezőket, melyek áttekintése kulcsfontosságú lehet a legmagasabb információbiztonsági szint kiépítéséhez.

Felmérés: a kockázatok azonosítása

A teljes információbiztonság kialakításának első lépéseként alaposan meg kell vizsgálni többek között a vállalat külső és belső környezetét, az eszközállományt, az adatstruktúrát és a jogosultsági szinteket. Meg kell határozni azokat a pontokat, ahol az aktuális védelmi szint alacsony, vagyis könnyen támadható. Nem elég csupán az eszközöket vizsgálni, hanem a folyamatokat és a személyeket is át kell világítani ahhoz, hogy valóban minden veszélyforrást ki lehessen szűrni. Az információbiztonság szempontjából pedig az egyik legfontosabb a szakértelem: ha nem szakemberek végzik el a felmérést, és később a védelem bástyáinak kiépítését, beláthatatlan károk keletkezhetnek. A különböző vállalati folyamatokat érintő információbiztonsági auditot a nagyvállalatoknál és a kis- és középvállalkozásoknál egyaránt évente egy alkalommal érdemes elvégeztetni.

Szabályzatok

A vállalatok számára a hatékony és biztonságos működés alappillérei a szabályzatok. A szervezeteknél kiemelten fontos, hogy a jogosultsággal rendelkező alkalmazottak időben hozzájussanak az információkhoz, ám emellett feltétlenül szükség van egy olyan biztonsági keretrendszerre, amely kizárja, hogy illetéktelen személyek is hozzáférjenek a bizalmas adatokhoz. Az információbiztonság szempontjából a legfontosabb szabályzat az Informatikai Biztonsági Házirend, melynek segítségével körülhatárolható többek között a papíralapú, az elektronikus és a személyekhez kötődő adatok védelme. Az Informatikai Biztonsági Házirend két alapterülete az információvédelem és az informatikai infrastruktúra megbízható működésének biztosítása, mely sokkal többet jelent az eszközszintű - csupán hardver- és szoftverelemekre kiterjedő- védelmi megoldásoknál. Magában foglalja a nem elektronikus adatok tárolásának feltételeit, a személyi jogosultsági köröket, az egyes információhordozó eszközök tárolási módját és az eszközök selejtezésének pontos szabályait is.

A bizalom fontos, a felügyelet még fontosabb!

A vállalatok többnyire tisztában vannak vele, milyen biztonsági kockázatok merülnek fel a hétköznapokban, azonban a kevésbé nyilvánvaló fenyegetéseket - mint az eszközök selejtezését vagy saját alkalmazottaikat - alábecsülik. Az illetéktelen kezekbe kerülő információk nem ritkán súlyos pénzügyi vagy jogi problémát okozhatnak egy szervezetnek, és akár a vállalatról a közvéleményben kialakult képet is veszélyeztethetik. A bizalom fontos, amikor az alkalmazottak vállalati információkhoz férnek hozzá, de a felügyelet még fontosabb. A szervezetek a különböző folyamataikban az információk kiszivárgásának korlátozására számtalan megoldást alkalmazhatnak. A megfelelő biztonsági intézkedésekkel a kockázatok jelentős mértékben csökkenthetők, ezért mindig a vállalat méret- és biztonsági igényeihez illeszkedő megoldást kell választani. A különböző jogosultsági szintek pontos szabályozásával, titkosítással és megfelelő jelszavak használatával nem csupán egy esetleges adathalászati támadás védhető ki, de a belső támadások is elkerülhetőek.

Az informatikai rendszer átfogó kezelése

A biztonságos informatikai rendszer kiépítése az eszközök, megoldások beszerzésénél, és a beszállító partnerek kiválasztásánál kezdődik. Az információbiztonságot szem előtt tartva, a vállalatoknak figyelembe kell venniük, hogy az adott eszköz vagy megoldás milyen mértékben felel meg az igényeknek, és hogyan integrálható személyre szabottan az adott szervezet informatikai rendszerébe. A beszállítóknak és a szolgáltatóknak ebben kiemelt szerepük van, és olyan tanácsokkal szabályzatokkal kell segíteniük az ügyfeleket, melyekben a bizalmas adatok életciklusának minden életszakaszára vonatkozóan felhívják a figyelmet a különböző információbiztonsági fenyegetésekre.
A külső és belső jogosulatlan hozzáférés megelőzésének érdekében kiemelten fontos a megfelelő jogosultsági szintek kiépítése.

Rendszeres felülvizsgálatok

A vállalati információbiztonságot nem elég kiépíteni. Folyamatos ellenőrzésre és a szabályzatok rendszeres felülvizsgálatára is szükség van. A védelemi szint tesztelése többféle módon végezhető el: egyrészt imitált támadással, illetve folyamatos belső ellenőrzéssel. Az információbiztonsági ellenőrzések mélységét az is meghatározza, hogy mely területekre terjednek ki.

"Az elmúlt időszakban jelentősen megnőtt a hatékony vállalati információbiztonsági rendszer kiépítésének szükségessége. Az információvédelem ma már fontos stratégiai kérdés, hiszen már nem csupán arról kell dönteni, hogy milyen vírusirtót alkalmazzanak a vállalatok, hanem jogosultságokról, szabályokról, folyamatokról egyaránt. A NAVIGATOR sok éves tapasztalata azt mutatja, hogy a vállalatoknak felkészültnek kell lenniük, mert utólag sokkal nehezebb a bekövetkezett károkat enyhíteni" - mondta Juhász Lajos, a NAVIGATOR Informatika Zrt. vezérigazgatója.