Térségünk informatikai igazgatói közül mind többen szembesülnek azzal, hogy a számos üzleti és technológiai újítás nyomán átalakuló vállalati környezetet a hagyományos IT-biztonsági modelleket követve egyre nehezebb megvédeni. Jobban megértjük a probléma összetettségét, ha közelebbről is megvizsgáljuk, hogy a vállalatok digitális átalakulása miként befolyásolja az IT-biztonságot a piac horizontális és vertikális vetületében.
Megkülönböztető védelem
Napjainkban a szervezetek gyakran érzékeny adataikat is mobileszközökön, illetve a nyilvános felhőben, földrajzilag távoli helyszíneken tárolják, miután egyre több felhasználó, eszköz és "dolog" csatlakozik a vállalati hálózatokra. Következésképp a vállalati hálózat pereme is mindinkább kitolódik, elmosódik, így egyre sérülékenyebbé válik, nő az adatszivárgás kockázata. A harmadik vállalati platformot alkotó technológiák sokkal gyorsabban fejlődtek, mint a vállalati hálózatok, így a hagyományos, aláírás-alapú biztonsági modellek hatékonysága is rohamosan romlik.
Bonyolítja a helyzetet, hogy a digitális technológiákkal felnövő, fiatal felhasználók nemzedéke másképp viszonyul a személyes és érzékeny adatok védelméhez, mint az idősebb generáció. A fiatalok sokkal nyitottabbak az információk megosztására, kevésbé foglalkoztatja őket, hogy ez milyen következményekkel járhat. Amikor munkába állnak, elvárják, hogy az informatikai eszközöket és szolgáltatásokat továbbra is ebben az ezredfordulós szellemben használhassák - beleértve a fájlmegosztó szolgáltatások és közösségi hálók használatát is -, ami nincs feltétlenül összhangban a munkáltató biztonsági szabályzatával.
Az új szoftverkomponensek, alkalmazások a vállalati innováció nélkülözhetetlen, értéknövelő elemévé, számos termék - gépkocsik, szórakoztatóelektronikai eszközök, épületfelügyeleti és fizetésitranzakció-kezelő rendszerek stb. - szerves részévé váltak. Ugyanakkor minden beépített, új szoftver egyben újabb támadási felületet nyit, növeli a biztonsági kockázatot, ezt az elmúlt évek hackertámadásai, adatlopásai ékesen bizonyítják. Fontos tanulság, hogy a termékekbe és szolgáltatásokba integrált informatikai komponensek számával az IT-biztonság szerepe is nő, mivel minden eddiginél jobban kihat az üzletmenet, a működés folytonosságára, más szóval az IT-biztonság az üzlet szempontjából megkülönböztető tényezővé lépett elő.
Nemcsak horizontális tényezőkkel, hanem az egyes iparágakban ható trendekkel is számolniuk kell a CIO-knak. A kereskedő cégek például a fogyasztói élmény újraértelmezésére és gazdagítására törekednek, amihez igyekeznek minél több ügyféladatot gyűjteni és elemezni. A dolgok internete (internet of things, IoT) okosmérőórák, smart gridek és nagy adat típusú analitikai megoldásokra épülő - például vízminőség-ellenőrző - programok formájában gyorsan terjed a közművállalatok körében, új biztonsági kihívások elé állítva a szolgáltatókat. Hasonló példaként említhetjük a pénzügyi szektor szereplőit, amelyek a mostaniaknál kényelmesebben használható, de még biztonságosabb felhasználó-azonosítási módszerekre térnének át, illetve a kormányzati szektort, amelyben a hivatalok közötti együttműködést és a nagyobb átláthatóságot célzó programok adnak új feladatokat az adatok és a hálózatok védelme terén.
Oltalmazó tudatlanság?
Minél több távoli végpont csatlakozik a vállalati hálózatra és minél több adat, információ mozog közöttük, annál nagyobb a biztonsági kockázat. Ilyen körülmények között a közép-kelet-európai szervezeteknek nem lehetnek kétségeik afelől, hogy biztonsági esemény részesévé válnak, a kérdés csupán az, hogy erre előbb vagy utóbb kerül sor.
Az International Data Corporation (IDC) elemzői felmérést készítettek a térségbeli nagyvállalatok körében, hogy feltérképezzék az IT-biztonsággal kapcsolatos tapasztalatokat és beruházási terveket. Meglepő módon a megkérdezett IT-vezetők közel harmada (31 százaléka) nem tudta megmondani, hogy vállalata a megelőző egy évben hány biztonsági eseményt észlelt. A válaszadó CIO-k 6 százaléka pedig egyenesen azt mondta, hogy ebben az időszakban vállalatánál egyáltalán nem sérült az IT-biztonság - aminek hallatán az ember rögtön arra gondol, hány biztonsági esemény maradhatott észrevétlenül ezeknél a szervezeteknél.
Vigaszul szolgálhat, hogy a szűkre fogott informatikai költségvetés ellenére a közép-kelet-európai szervezetek beruházási tervei között az IT-biztonság fejlesztése továbbra is kiemelt helyen szerepel. A megkérdezett szervezetek 46 százaléka a mobilbiztonság, 33 százaléka a felhőbiztonság erősítését, 31 százaléka DLP (data loss prevention)-megoldások bevezetését tervezi. Összességében az IT-biztonságra fordított költés 2014 és 2019 között évente átlagosan 6,8 százalékkal nőhet a Cseh Köztársaságban, Lengyelországban, Magyarországon és Romániában - és a növekedés hajtóerejét elsősorban a harmadik vállalati platformhoz kapcsolódó biztonsági megoldások fogják adni.
Holisztikus fenyegetésintelligencia
Láthatjuk, hogy az IT a termékek és szolgáltatások szerves részévé, ezzel együtt a vállalatok versenyképességét befolyásoló tényezővé válik, ami azzal jár, hogy az üzleti vezetők nagyobb beleszólást követelnek az informatikai beruházásokat érintő döntésekbe. Ugyanezek a vezetők azonban gyakran nem látják át teljes egészében az IT-biztonság és a törvényi megfelelés minden részletét és vonatkozását. Mindez visszás helyzetet szül, amelyben továbbra is a CIO felel az IT-erőforrások védelméért, bár már nem gyakorol akkora ellenőrzést felettük, mint korábban.
Az üzleti vezetőkkel megesik, hogy az IT-biztonság értékét csak egy nagyobb kárt okozó kibertámadás után ismerik fel igazán. Különösen így van ez, ha a CIO nem tud világosan és meggyőzően érvelni az IT-biztonsági megoldások üzleti értéke mellett, és nem tudja bemutatni a velük összefüggő beruházások üzleti előnyeit, a megtérülést is beleértve.
Nem lebecsülendő feladat a harmadik vállalati platformot alkotó technológiák és a meglévő IT-infrastruktúra integrálása, a különböző rendszerekbe ágyazott biztonsági komponensek összehangolása. A központi biztonságfelügyeleti rendszerek szerepe ezért még inkább felértékelődik, mivel átfogó képet adnak a fenyegetéskörnyezetről, és észlelik, ha támadás éri a vállalati hálózatot vagy más, potenciálisan biztonsági kockázatot jelentő eseményre kerül sor.
A közép-kelet-európai szervezetek is hamar felismerik majd, hogy meglévő IT-biztonsági tudásuk kevés a feljövő, új generációs megoldásokat kísérő fenyegetések és kockázatok menedzseléséhez. Nagyobb mértékben kell majd támaszkodniuk emiatt szállítóikra és rendszerintegrátor partnereikre a továbbiakban, különösen a tanácsadás, a támogatás és a krízishelyzetek, incidensek kezelése terén.
Erődítmény helyett proaktív védelem
Végül néhány hasznos tanács a biztonsági megoldások szállítóinak és felhasználóinak. Az IT-innovációtól a vállalat érthető módon üzleti értéket, versenyelőnyt vár, azonban a biztonságról sem szabad megfeledkezni. Az újítás és a biztonság egyensúlyát olyan szervezetek érhetik el, amelyeknél az üzleti és az informatikai oldal is összehangoltan működik.
Mit jelent ez a gyakorlatban? Minden üzleti kezdeményezést ki kell értékelni biztonsági kockázat szempontjából is. A biztonságért felelő vezetőknek szintén tisztában kell lenniük az üzlet realitásaival, kompromisszumkészséget kell tanúsítaniuk, hogy az üzletágvezetőkkel közösen megtalálhassák a működés és a védelem követelményeinek egyaránt eleget tevő megoldást.
Erődítmény építése, aláírás-alapú megoldások halmozása helyett a védelmet proaktív és prediktív szellemben, a technológia, az emberek és a folyamatok szinergiáin keresztül érdemes erősíteni. A felhasználók minden csoportját ki kell képezni az adatvagyon és az IT-infrastruktúra védelmére.
Helyesen teszik ezért az IT-biztonsági piac szereplői, ha a megoldásszállító hagyományos szerepéből megbízható tanácsadóvá pozicionálják át magukat. Kulcsfontosságú számukra, hogy a harmadik vállalati platform és a dolgok internete körül kiforrott IT-biztonsági portfóliót alakítsanak ki, akár házon belüli fejlesztéssel, akár technológiai partnerek bevonásával vagy felvásárlások útján érik ezt el.
Támogatniuk kell ügyfeleiket az IT-biztonsági megoldások üzleti értékének felismerésében, megtérülésük visszamérésében. Az üzleti oldalt megszólító ajánlatok csak az első lépést jelentik ezen az úton, olyan mérőszámokat kell kidolgozni, amelyekkel beárazhatók az IT-biztonsági kockázatok, mert ez a döntéshozatalt is segíti.
Érdemes az IT-biztonsági megoldások szállítóinak közelebbről megismerkedniük felhasználóik tevékenységével, valamint azokkal a trendekkel, amelyek gyökeresen megváltoztatják működésük eddigi körülményeit, mert csak így segíthetik őket hathatósan a harmadik vállalati platformra történő, biztonságos átállásban.
