Minden vállalkozás működtetése során fontos szempont az informatikai biztonsági kockázatok mérlegelése és a megfelelő védelmi rendszer kialakítása. Kizárólag technológiai megközelítéssel nem elegendő kezelni a problémát, az IT-biztonsági kockázatok kordában tartása megfelelő kormányzást és támogatási folyamatokat igényel a megfelelő technológiai megoldások alkalmazása mellett, olvashatjuk a KPMG tanulmányában, amelynek alapján a következőkben áttekintjük, milyen jellegzetes hibákat követnek el a vállalatok a folyamatok és trendek helytelen értelmezése miatt.
Nem létezik tökéletes védelem
Az egyik téves célkitűzés, hogy százszázalékos biztonság elérésére törekednek, amelyet lehetetlen megvalósítani, így nincs különösebb értelme mereven ragaszkodni hozzá. Akármilyen óvintézkedéseket is vezetnek be, szinte minden ismert vállalat elszenved adatlopási incidenst, még ha nem is szerzünk róla tudomást, mivel a megszerzett információkat nem minden esetben hozzák nyilvánosságra az elkövetők. A hatékonyabb biztonsági szabályok és védelmi rendszer kialakításának irányába tett fontos lépés tehát annak elfogadása, hogy a kiberbűnözés elleni százszázalékos védelem nem érhető el. Ugyanis a védekezés eredményessége szempontjából fontos a fenyegetések természetének és a szervezet sebezhetőségének megismerése, a küszöbön álló és éppen zajló behatolások észlelésére hivatott mechanizmusok kialakítása, valamint az incidensek azonnali elhárítására szolgáló képesség megszerzése.
A gyakorlatban a szervezetek az esetek többségében a hangsúlyt a megelőzésre helyezik, vagyis áttörhetetlen védelmi fal létrehozására törekednek. Mihelyt megértik, hogy a tökéletes biztonság csak illúzió, a fókusz az észlelésre és a reagálásra tevődik át. A felkészült vállalatoknak a támadást követően képesnek kell lenniük a veszteségek hatékony minimalizálására és az incidenst lehetővé tevő sebezhetőségek megszüntetésére.
Nem elég a technológia
A KPGM szakértőinek tapasztalatai szerint sok szervezetnél gondolják úgy, hogy biztonságban lesznek, ha megvásárolják és üzembe állítják a legkorszerűbb védelmi technológiákat. A valóság azonban az, hogy az IT-biztonság kisebb mértékben függ a technológiai eszközöktől, mint azt sokan hiszik. A vezető gyártók által kínált biztonsági eszközök alapvető fontosságú elemei a védelmi rendszernek, azonban egy mindenre kiterjedő, erőteljes IT-biztonsági szabályzat és stratégia nélkül nem tudják garantálni a magas szintű biztonságot. Az emberi tényező ugyanis még mindig a védelmi rendszer leggyengébb láncszeme, és a legmodernebb védelmi eszközökbe való invesztíció csak akkor tudja hozni a kívánt eredményt, ha a vállalati alkalmazottak - mind az informatikusok, mind a végfelhasználók - biztonságtudatos módon kezelik és használják az informatikai eszközöket és szolgáltatásokat.
A legnagyobb kockázatot a vállalatok számára a kiberbűnözők munkavállalókat célzó pszichológiai manipulációja jelenti, melynek révén bejelentkezési adatokhoz juthatnak hozzá vagy rosszindulatú programok trükkös telepítésével szerezhetnek hozzáférést a vállalati hálózathoz. Ennek kiküszöbölésében a technológia nem sokat segít, az informatikai részleg és az üzleti vezetés együttes feladata annak kidolgozása, miképpen lehet hatékonyan megismertetni az alkalmazottakkal a biztonságtudatos viselkedés szabályait, és elfogadtatni velük, hogy ez a magatartás a kiberfenyegetések elleni védekezés egyik legfontosabb eleme. Ez gyakran gyökeres szemléletváltást igényel mind a vezetés, mind az alkalmazottak részéről.
Mindig egy lépéssel a hackerek mögött
Szintén felesleges erőfeszítés egy vállalat részéről arra törekedni, hogy a védelmi technológiák mindenképpen felülmúlják a hackerek eszköztárát. A kiberbűnözők ugyanis céljaik elérésére folyton-folyvást új módszereket és technológiákat dolgoznak ki, amelyekkel képtelenség lépést tartani. Bár fontos naprakész ismeretekkel rendelkezni a támadók szándékairól és alkalmazott módszereiről, sokkal célszerűbb a rendelkezésre álló erőforrásokat a vállalat kritikus adatainak védelmére összpontosítani, mint a legeslegújabb fenyegetésdetektáló technológiába invesztálni. Ugyancsak érdemes tisztában lenni azzal, milyen típusú támadások fenyegetik a vállalatot, és mi áll ennek a hátterében.
További tévhit, hogy a biztonsági előírásoknak való megfelelés nem szól másról, mint a hatékony monitorozásról. A KPGM szakértői szerint viszont a tanulás képessége éppolyan fontos, mint a megfigyelés képessége. A valóságban az IT-biztonság legjelentősebb ösztönzője a szabályozásoknak való megfelelés, ami érthető és elfogadható, mivel sok szervezetnek igazodnia kell a törvényi előírásokhoz. Ugyanakkor csökkenti a hatékonyságot, ha a vállalati kiberbiztonságra úgy tekintünk, mint aminek a végső célja a szabályozásnak való megfelelés. Csak azok a vállalkozások tudják eredményesen felvenni a harcot az internetes bűnözéssel, amelyek képesek nyomon követni és megérteni a legújabb támadási irányzatokat, s az üzemeltetés során szerzett ismereteiket felhasználják védelmi politikájuk és stratégiájuk kialakításakor. Más szóval a hatékony védelem a folyamatos tanuláson és fejlődésen alapszik.
A vállalatoknak meg kell érteniük, miképpen alakulnak ki a fenyegetések, hogyan jelezhetik előre a bekövetkezésüket. Ez a megközelítés hosszú távon költségmegtakarítást eredményez az áthatolhatatlannak hitt biztonsági fal kiépítéséhez képest, és túllép az infrastruktúra monitorozásán is. A külső és belső folyamatok intelligens elemzésével próbálja meg észlelni a fenyegetések kialakulását, valamint értékelni rövid, közép- és hosszú távú kockázataikat. Sajnálatos módon a gyakorlatban a vállalatok nagy része nem alkalmazza ezt a stratégiai megközelítést, és nem gyűjti össze, illetve használja fel a rendelkezésre álló belső adatokat.
A szervezeteknek értékelniük kell a biztonsági incidenseket, hogy levonják a következtetéseket, tanuljanak a történtekből - emlékeztetnek a szakértők. A valóságban azonban a vállalatok inkább csak a folyamatban lévő támadásoknál lépnek akcióba, amelyeket azután egyáltalán nem vizsgálnak ki. Ezzel kizárják annak a lehetőségét, hogy tapasztatokat szerezzenek, nagyobb hatékonysággal tudjanak fellépni a jövőbeli incidenseknél. Ugyanez igaz a támadások monitorozására is: bár sok helyen rendelkeznek megfigyelési képességgel, az adatokat nem osztják meg a cégen belül és nem vagy alig használják fel tapasztalatgyűjtésre. Ráadásul intelligens megfigyelést érdemes megvalósítani, mert csak akkor lehet a monitorozás a támadások észlelésének hatékony eszköze, ha tisztában vagyunk azzal, milyen folyamatokat célszerű nyomon követni.
Kívánatos lenne továbbá a vállalatok számára olyan széles körben alkalmazott módszer kifejlesztése, amely értékeli a kiberbiztonsági kockázatokat, az elemzést pedig eljuttatja az érintettekhez. Ez megfelelő protokollokat igényel a kockázati szintek meghatározásához, valamint olyan eszközöket, amelyek révén az üzleti vezetés számára nyilvánvalóvá válnak a biztonsági kockázatok és a cég tevékenységére kifejtett hatásuk.
Hozzáállás kérdése
Elterjedt nézet, hogy a vállalatoknak a legjobb szakembereket kell alkalmazniuk, ha meg akarják védeni magukat az egyre változatosabb és egyre kifinomultabb fenyegetésekkel szemben. A helyzet azonban ennél bonyolultabb, az informatikai biztonság nem csupán egy vállalati részlegen múlik, hanem az egész szervezet hozzáállásán. Téves biztonságérzetet adhat, ha a kiberbiztonságot kizárólag az informatikusok felelősségének tekintik, mentesítve a felelősség alól a szervezet többi részét. A valódi kihívást az jelenti, hogy a biztonságtudatosságot uralkodó szemléletté tegyék a vállalaton belül. Ez többek között úgy valósítható meg, hogy a kiberbiztonságot a HR-politika, például a jutalmazási rendszer részévé teszik. Továbbá az IT-biztonságnak már a kezdetektől minden új informatikai fejlesztés központi elemévé kell válnia.
