ISACA felmérés: sok eszközlopás, hiányos kockázatkezelés

Az ISACA idén immár második alkalommal rendezi meg szakmai konferenciáját. Nem titkolt cél, hogy az esemény hagyományt teremtsen, és felkerüljön a már megszokott IT-ellenőrzési és információbiztonsági szakmai konferenciák képzeletbeli rendezvénytérképére. A konferencia programja nemcsak auditokkal kapcsolatos előadásokat tartalmaz, hanem lesz szó egyebek mellett virtualizációról, mobilbiztonságról és social engineeringről is.

A november 9-ei konferencián lesz részleteiben megismerhető az ISACA Magyarországi Egyesületének információbiztonsági felmérése. A kutatás a magyar vállalati és közszféra azon legfontosabb szereplőire koncentrált, amelyek információbiztonsági szempontból kulcsszereppel bírnak az ország helyzetére vonatkozóan. A felmérés során górcső alá kerültek az információbiztonsági kihívások és törekvések, az információbiztonság ellenőrzésére kialakított eljárások, az információbiztonsági kockázatelemzési folyamatok és e terület irányítási nehézségei. Olyan alapvető kérdésekre próbált választ találni, hogy megtörténik-e, illetve milyen módszerekkel az információbiztonsági kockázatok azonosítása, milyen lépéseket tesznek a szervezetek e kockázatok csökkentése érdekében, és hogyan bizonyosodnak meg arról, hogy megfelelnek-e az ez irányú követelményeknek.

A felmérés eredményeiről a szervezet a rendezvénnyel kapcsolatos közleményében néhány érdekességet azért előjáróban elárult. Így kiderült, hogy a vizsgálatokba bevont cégek és intézmények egyhatodánál nem végeznek IT auditot. A lefolytatott auditok során azonosított hiányosságok közül a túlzott jogosultságok a leggyakoribbak, az auditált cégek közül ez minden másodiknál előfordul. Az IT biztonságot legnagyobb mértékben fenyegető veszély az eszközlopás, amit a cégek egynegyede tapasztalt. Külső behatolási kísérletet a cégek ötödénél azonosítottak.

A vállalatok információbiztonsági céljai között idén a központi jogosultságkezelés, a katasztrófaelhárítási terv és az átfogó biztonsági szabályzat kidolgozása álltak az első helyen - ezekkel egyenként a cégek 25-30 százaléka foglalkozott. Ugyanakkor elmondható, hogy a vállalatok és intézmények több mint egynegyedénél jelenleg nem történik megfelelő mélységű IT-kockázatfelmérés.