AZ INFORMÁCIÓ ÉRTÉK.
VIGYÁZZUNK RÁ!

Az elmúlt években az interneten keresztül történő támadások, információs visszaélések miatt vállalkozások, pénzügyi intézmények kerültek az újságok címoldalára. Ezek a vállalkozások ma már kevésbé közömbösek az ilyen esetekkel szemben, de a legtöbben talán még mindig csak egy újabb hírnek tudják be, ha üzleti vagy személyes információkat érzékenyen érintő probléma lát napvilágot.

Az információbiztonsági incidensek nemcsak a nagyvállalatokat érintik, hanem a kis- és középvállalkozásokat, és kormányzati szférát is. Az adatokkal való visszaélések komoly gondot okozhatnak az IT területén, azonban nem szabad figyelmen kívül hagyni, az ezen kívül eső területeket sem. Bár napjainkban az adatok kezelése legnagyobb részben elektronikusan történik, a papír alapú dokumentumok, fotók, szóban vagy telefonon történt beszélgetések tartalma vagy hangfelvételek illetéktelen kézbe kerülése is anyagi és erkölcsi veszteséget jelenthet az adott vállalkozás munkatársai, ügyfelei számára is.

A MODERN FENYEGETÉSEK
MODERN VÁLASZOKAT KÖVETELNEK MEG

Az adatokkal való visszaélések komoly gondot okozhatnak az IT területén, azonban nem szabad figyelmen kívül hagyni, az ezen kívül eső területeket sem. Bár napjainkban az adatok kezelése legnagyobb részben elektronikusan történik, a papír alapú dokumentumok, fotók, szóban vagy telefonon történt beszélgetések tartalma vagy hangfelvételek illetéktelen kézbe kerülése is anyagi és erkölcsi veszteséget jelenthet az adott vállalkozás munkatársai, ügyfelei számára is. A modern fenyegetések modern válaszokat követelnek meg.

A lopásból és egyéb visszaélésekből származó kockázatok csökkentését átfogóan, olyan menedzsment rendszer bevezetésével érheti el, amellyel tudatos, tervezett és folyamatosan ellenőrzött működést biztosíthat, részmegoldások helyett. Az információ biztonsága nem egyetlen, vagy néhány biztonsági intézkedést igényel, és nemcsak az IT-területét érinti, hanem szervezeti kérdéseket, erőforrás menedzsmentet, a fizikai biztonsági-, és a jogi védelmet is többek között. Az információbiztonsági irányítási rendszer (ISO 27001 szabvány) segítségével az információk biztonságát, kockázatalapon tudja menedzselni, védeni a lehetséges fenyegetésekkel szemben, biztosítva azok rendelkezésre állását, bizalmasságát és sértetlenségét. Az információbiztonság nem egyenlő az informatikai biztonsággal Az információbiztonsághoz azonosítani kell a vállalkozásában azokat a kritikus területeket, amelyeket szeretne megvédeni, ezek lehetnek folyamatok, technológiák, szervezeti egységek, információs eszközök, de az egész szervezet is tartozhat az információbiztonság hatálya alá. Egy specifikus helyzetfelméréssel pedig fel lehet térképezni a működésbeli erősségeket és gyenge pontokat.

Ahhoz, hogy pontosan meg tudja határozni cégében a veszélyeztetett információs eszközöket, a potenciális veszélyforrásokat, a biztonsági réseket és a lehetséges következményeket, amelyek bekövetkezhetnek, szükséges a kockázatok elemzése és értékelése. Erre több módszer is rendelkezésre áll, annak megfelelően, hogy melyik illeszkedik leginkább az elvárásokhoz, melyik módszer eredménye ad leginkább lehetőséget megalapozott döntésekre. A kockázatértékelésekből származó információkat a lehető legkörültekintőbben kell kezelni, mivel ezek alapján lehet megfogalmazni az intézkedéseket, illetve az értékelés számos további kérdést is felvethet.

Hogyan biztosítható az ügyfelek által hozzáférhető információk, eszközök biztonsága?

Hogyan előzhető meg a szervezeti működés fennakadása?

Hogyan biztosítható az, hogy az alkalmazottak, szerződő és felhasználó felek szabályos módon váljanak meg egy szervezettől?

A rendszerhibák kockázata hogyan minimalizálható?

Hogyan kerülhető el bármilyen jogi, törvényben meghatározott, szabályozási, vagy szerződéses kötelezettség megsértése?

Sok esetben azonban nem technológiai módosításokat vagy beruházásokat kell végezni, hanem a munkatársak szokásain kell változtatni. Meg kell ismerni és ismertetni, hogyan lehet körültekintőbben, biztonságosan használni az információtechnológiát. Ehhez szükség van egy olyan belső szabályozásra, mely világos irányelveket és feladatokat tartalmaz minden munkatárs számára. Összhangban a cég információbiztonsági céljaival átfogóan határozza meg azt az irányt és alapelveket, amely figyelemmel van a jelenlegi működési, jogi, illetve szabályozási követelményekre, és a szerződéses biztonsági kötelezettségekre is. Az információbiztonsági irányelvek gyakorlati megvalósításában (is) kulcsszerepe van a vezetőség tagjainak.  Az első legfontosabb, hogy saját magukra nézve is fontosnak tartsák a szabályokat, a második pedig az, hogy minden kollégával megértessék ennek fontosságát. A menedzsment támogatásával lehet sikeres egy ilyen projekt és ezzel együtt érhető el az, hogy a biztonsági erőfeszítések segítséget jelentenek a mindennapi munka során.

A cikk megjelent a Piac&Profit oldalán is.
Írta: Kohl Zsuzsanna, ügyvezető
FrameWork Hungary Kft.