Egy nagyvállalatnál az IT-biztonságnak alapvetően két oldalával kell foglalkozni. Egyrészt gondoskodni kell róla, hogy a levelekhez, hivatalos belső dokumentumokhoz ne férjenek hozzá illetéktelenek (általános IT-biztonság), másrészt teljes biztonságba kell helyezni az üzletkritikus rendszereket, például a gyártásirányítást (specializációk), hiszen egy leállás, de akár egy kisebb zavar is óriási anyagi károkat, sőt életveszélyes helyzeteket teremthet. Még belegondolni és szörnyű, mi történhetne, ha például a MOL finomítóit külső, rosszindulatú személyek manipulálnák, vagy a vállalat logisztikai rendszerébe bejutva átvennék a kamionok mozgásának irányítását.
Jóllehet a feladatok eltérőek, továbbá a biztonsági követelmények különbözőek, szakértői vélemény szerint az IT-biztonság terén nincsenek nagy csodák: a kritikus üzletmenetű vállalatoknál is pontosan ugyanazokat a módszereket alkalmazzák, mint mindenütt máshol.
Biometrikus azonosítás – mobileszközökön még nem
Általános tapasztalat, hogy a legkritikusabb elem mindig az ember, a rendszerek használója. A menedzsment jellemzően azonnal szeretné a legújabb eszközöket kipróbálni, részben divatból, részben azért, hogy produktivitását növelje. Az IT-csapatnak aztán nem kis fejtörést okoz, hogy például az elveszített vagy ellopott eszközökön lévő érzékeny vállalati adatokat hogyan lehet a távolból letörölni, illetve hozzáférhetetlenné tenni.
Gyakori panasz, hogy az eszközök használatát nagyon megnehezíti a jelszavas védelem. A felhasználók kényelmetlennek tartják, ha az IT-részleg úgy állítja be a készüléket, hogy az minden hívás vagy egyéb művelet előtt jelszót kér. A megfelelő biztonsági szint elérése azonban óhatatlanul együtt jár némi kényelmetlenséggel. A felhasználók részéről gyakori felvetés, hogy jelszó helyett valamilyen biometrikus azonosítást – ujjlenyomat- vagy pupillaleolvasást – szívesebben látnának.
Olyan helyeken, ahol egy-egy nagyobb objektumot vagy jól körülhatárolt területet kell védeni, jellemzően a kártyás beléptetőrendszer alternatívájaként találkozhatunk már biometrikus azonosítással. Egy adatközpont bejáratánál például, ahol sok ember fordul meg, viszonylag egyszerűen meg lehet valósítani akár a pupilla, akár az ujjlenyomat olvasását.
Manapság az ár már nem akadálya egy biometrikus azonosítórendszer kialakításának és működtetésének, hiszen lényegesen csökkentek az eszköz- és a szoftverárak. Ugyanakkor a kártyás rendszereknél nem hagyhatók figyelmen kívül a kártya gyártási és disztribúciós költségei.
Egy néhány ezer főt mozgósító szervezetnél tehát sok esetben egyszerűbb biometrikus azonosítórendszert kiépíteni, központi helyekre telepített ujjlenyomat- vagy pupillaleolvasókkal. Zökkenőmentes használatukhoz természetesen a felhasználóknak is át kell esniük némi mentális váltáson.
A mobileszközöknél azonban – egyelőre legalábbis – nem terjedt el a biometrikus azonosítás. Vajon miért? Alapvetően azért, mert bizonyos szakmai körök a mobileszközökben lévő ujjlenyomat-alkalmazást nem tartják elég biztonságosnak. Véleményük szerint ha a készülék illetéktelen kezekbe kerül, az alkalmazás viszonylag könnyen feltörhető. Arról azonban nem szól a fáma, hogy bizonyított-e ezen alkalmazások sérülékenysége. Mindazonáltal egy CIO nyilván nem meri vállalni a kockázatot.
Vállalati funkciókra vállalati eszközt
Napjainkban minden CIO számára a legtöbb fejfájást a BYOD jelenti. A munkatársak, kiváltképp a vezetők szeretnék saját, trendi mobileszközeiket munkájukhoz is használni. Ilyen helyzetben rendkívül nehéz pontosan körülhatárolni, hogy mely készülékek megengedettek, illetve melyek tiltottak.
Az a tapasztalat, hogy a vállalati hangulat erőteljesen javítható azzal, ha hagyják a munkatársaknak, hogy saját eszközeiket behozzák a céghez. Ez a gyakorlat azonban sok veszélyt rejt magában, ezért fel kell állítani bizonyos korlátokat, amelyeket szigorúan be is kell tartatni. Nem véletlen tehát, hogy minden CIO sokat foglalkozik a kérdéssel.
Némileg egyszerűsíti a helyzetet, hogy az emberek mobileszközeikkel zömében (durván 98 százalékban) csak a klasszikus alkalmazásokat (e-mailt, naptárt) használják. Ezek biztonságos elérése könnyen megoldható, ilyen esetekben tehát jellemzően nincs akadálya a BYOD-nak. A nehézségek jellemzően akkor lépnek fel, amikor a munkatársak valamilyen vállalati alkalmazáshoz szeretnének hozzáférni saját mobileszközükről. Tipikus példa a következő: egy beszerzés jóváhagyására érkezik kérelem az illetékes vezetőhöz, aki nem tartózkodik az irodában. Mivel gyorsan kell lépni, a vezető szeretne távolról, saját mobileszközével belépni a vállalatirányítási rendszerbe, és megadni az engedélyt.
Mivel az adott vállalati alkalmazás csak meghatározott mobil operációs rendszereken, illetve azok bizonyos verzióin fut, a BYOD könnyen nem várt akadályokba ütközhet. Még az sem jelenthet garanciát a zökkenőmentes működésre, ha minden esetben értesítik a felhasználót a központi rendszer frissítéséről, hiszen saját eszközén neki magának kell a szükséges upgrade-et megtennie. Feltéve, ha mobileszköze egyáltalán alkalmas az új verzió futtatására.
„A BYOD-ban még sok a megoldatlan kérdés. Azoknál a vállalatoknál, ahol dolgoztam, legtöbbször úgy oldottuk meg a problémát, hogy csak az egyszerű funkciókra engedélyeztük a BYOD-ot. Akinek szüksége volt a vállalati funkciókra, annak vállalati eszközt kellett használnia” – mutat rá Maradi István távközlési és informatikai szakértő, aki korábban a távközlési és az energetikai szektorban töltött be CIO-pozíciókat.
Ködben a felhő
Manapság mindenki a felhőről beszél, ám gyakran kiderül: sokak számára ködös, mit is jelent pontosan a fogalom. IT-biztonsági szempontból elég annyit leszögezni, hogy azon cégek, amelyek a publikus felhőben dolgoznak, adataikat egy külső számítógépre helyezik ki. (A nagyvállalatoknak jellemzően megvan a forrásuk, hogy saját privátfelhőt hozzanak létre, így birtokon belül tarthatják adataikat. Hibridfelhő esetén is alakítható úgy a rendszer, hogy a vállalati adatok a cég saját privátfelhőjében maradjanak.)
Jóllehet a nagyvállalatok köthetnek olyan szerződéseket a felhőszolgáltatóval, amelyben minden feltételt (az adattárolás pontos helyét, az adatok kezelésének módját stb.) megpróbálnak rögzíteni, szakértői vélemény szerint így is lehetnek komplikációk. Az egyik ilyen kritikus pont, hogy konfliktus esetén nehéz az adatokat visszaszerezni a felhőből.
„A felhőszolgáltató úgy tud olcsó szolgáltatást nyújtani, hogy rengeteg felhasználó adatával dolgozik. Az olcsóság azonban nem minden nagyvállalat számára vonzó, hiszen egy bizonyos méret fölött már saját maga is képes méretgazdaságos rendszert kiépíteni. Magától értetődő, hogy minden nagy cég óvatosan bánik kritikus adataival, így ha még komolyabb költséget sem tud megtakarítani adatai kihelyezésével, nem szívesen választja a publikus felhőt. Úgy látom, hogy jelenleg elsősorban a kisebb cégek terepe a felhő, hiszen alkalmazásával lényegesen csökkenthetik költségeiket” – fogalmaz Maradi István.
Mitől retteg a CIO?
A CIO-k fejfájásának egyik legfőbb oka a csökkenő IT-költségvetés. Az IT világában olyan gyors a változás, következésképpen a rendszerek öregedése, hogy az informatikusok folyamatos frissítést, fejlesztést szeretnének. Az üzletért felelős vezetők azonban jellemzően keményen ellenállnak. Túlzottnak tartják a kiadásokat, mondván: ami tavaly jó volt, az az idén, sőt jövőre is megteszi. A régi szoftververziók használata azonban komoly biztonsági kockázatokat rejt magában. Élő példa az immár támogatás nélkül maradt Windows XP. Feltételezhető, hogy a nagyvállalatoknál sem történt meg mindenütt a csere, és egy-egy cégnél akár több ezer gép működik még XP-alapon.
Konzervatív beszerzések
Nagyvállalati körben fokozottan igaz, hogy előnyben részesítik a kipróbált, jó referenciákkal rendelkező IT-eszközöket, még akkor is, ha azok drágábbak egy kisebb cég fejlesztéseinél. Egy ismeretlen terméket ugyanis még a vásárlás előtt alaposan ki kellene próbálni, ám erre a CIO-knak jellemzően nincsenek erőforrásaik. Lényegesen kisebb tehát a kockázat, ha neves, sokak által használt eszközökkel dolgoznak.
