Napi Online
Az információbiztonság üzleti tényezővé vált
Mára az információbiztonság üzleti tényezővé vált. Az it-biztonság helyzete egyre inkább kihat az üzleti életre is. A felhasználók egyre bizalmatlanabbak. Mások mellett azt kérdeztük vezető biztonságtechnikai cégektől, hogy mit lehet tenni a biztonság fokozásáért, a felhasználók bizalmának növeléséért.
kulcs a közérthető, széles rétegeket elérő oktatás, ismeretterjesztés - állítja Botos Zsolt, a Security.hu Kft. ügyvezető igazgatója. Véleménye szerint amint a felhasználók jobban kiismerik magukat az it-biztonság alapvető kérdéseiben - ahogy a megfelelő óvintézkedéseket ismerik az élet más területein -, csökkenni fog az ismeretlentől való félelem által gerjesztett bizonytalanság.
Az üzleti életben a gondolkodásmódból eredő problémák válnak egyre gyakoribbá - közölte Reusz Gábor, az IP Technologies Magyarország Kft. ügyvezető igazgatója. Amíg néhány évvel ezelőtt még a triviális módon kihasználható technológiai hibák voltak jellemzőek, ma már inkább a jól felépített/tervezett rendszerek nem megfelelő használatából, illetve a nem megfelelően végrehajtott implementációkból eredő kockázatokat kell csökkenteni. Az átlagos felhasználó számára nem ismertek a pontos folyamatok, amelyek a használt rendszer működésével járnak; ugyanakkor ezen folyamatok a biztonságot drasztikusan befolyásolhatják, amellyel tisztában vannak.
A folyamatok és a helyes viselkedésmód ismerete nélkül kialakul egyfajta bizonytalanság, amely jó esetben csak a vállalat céljait akadályozza, rossz esetben ennél sokkal komolyabb károkat is okozhat. Például social engineering vizsgálatok során cégünk minden esetben olyan információkhoz jutott, mely az erős technológiai védelem ellenére is totálisan sebezhetővé tette megbízóink rendszerét. Úgy gondoljuk, hogy a technológia folyamatos vizsgálata mellett a jövőben elsődleges szerepet kell kapnia a vállalati környezetekben a felhasználók biztonságtudatossági oktatásának - tette hozzá Reusz.
Ma már a vállalatok számára nemcsak saját érdekükben vált fontos kérdéssé az információbiztonsággal való foglalkozás, hanem az ügyfeleik számára is - válaszolta Horváth Zsolt, az INFOBIZ Kft. ügyvezető igazgatója. Egyre több nagyvállalat követeli meg beszállítóitól a minőségirányítási rendszer megléte mellett az információbiztonság szabályozását, menedzselését. Az ügyfelek érzékenyek a beszállítóik működésének stabilitására és megbízhatóságára, a beszállítóiknál rendelkezésre álló adataik bizalmasságára, sőt informatikai katasztrófa esetén is a megfelelő üzletmenet, illetve katasztrófaelhárítási tervek meglétére, amelyek garantálják a vállalt szolgáltatások teljesítését. Horváth szerint néhány alapszintű információvédelmi intézkedés megtétele után a biztonság alapvetően már nem a folyamatos további intézkedésekkel, hanem az átgondolt, teljes kockázatértékelésen alapuló információbiztonsági irányítási rendszer bevezetésével fokozható.
Minden biztonsági rendszer annyira erős, mint annak a leggyengébb eleme. Emiatt igazán költséghatékony biztonságot is csak az egyenszilárdságú védelemmel tudunk elérni, a biztonságot is csak így tudjuk fokozni. Másrészt az idő múlásával a kockázatok változnak, a régen még erősnek számító védelem a mai kihívásokkal szemben már gyenge. A biztonsági rendszer is tehát csak úgy tudja erősségét megőrizni, ha azt folyamatosan felülvizsgálják és karbantartják - menedzselik. Ezeket a feladatokat látja el az információbiztonsági irányítási rendszer - jelentette ki az INFOBIZ vezetője. Az információvédelmi rendszerek bevezetésével, működtetésével és tanúsíttatásával fokozható a biztonság, illetve növelhető a bizalom. Emellett lényegesen nagyobb hangsúlyt kell fektetni a biztonságtudat kialakítására mind a vállalati munkatársak, mind a privát felhasználók körében - javasolja Jókay Tamás, a CIS Hungária Kft. ügyvezető igazgatója.
A veszélyek hihetetlenül sokszínűek lettek. Megdöbbentő, hogy a - köztudatba is beivódott - vírusok ma már a veszélyek mindössze 2,4 százalékát képezik - figyelmezet Máriás Zoltán, a Tőzsér és Máriás Szoftver Iroda műszaki igazgatója. A felhasználók heti hírlevelekben való folyamatos tájékoztatása, élőben való kiképzése mellett elengedhetetlen az it-biztonságot fenyegető veszélyek integrált kezelését lehetővé tevő eszközök és termékek alkalmazása - javasolja Máriás. Egyre veszélyesebb a világhálón szörfölni, mert ma már a weboldalakról letöltődő károkozók okozzák a legtöbb kárt. Mit lehet ez ellen tenni? - kérdeztük.
A közép- és nagyvállalati kultúrában felnövők munkahelyükön megkapják azt a fajta támogatást, ami a kérdésben szereplő veszélyek legnagyobb részét kivédi - jelentette ki az IP Technologies magyarországi vezetője. Probléma akkor keletkezik, amikor ez alól a védelem alól kikerülve, de ugyanazzal a viselkedésmintával használják a hálózatot. Ma már bárki számára elérhetőek ingyenes és fizetős biztonsági szoftverek, melyek a megfelelő használat mellett az átlagos szintű támadásokat hárítják. Javasoljuk, hogy mindenki gondolja végig, mekkora értéket képvisel számára mindaz, amit a számítógépén tárol és ehhez képest gondolja át, hogy az éves szintű 5 000-20 000 forintnyi vírusirtó-licencdíjat érdemes-e felvállalni.
Ettől eltekintve nagyon fontos, hogy az értékes dokumentációk, képek és egyéb fájlok ne csak egy helyen legyenek tárolva. Készítsünk ezekről biztonsági másolatot másik gépre vagy egyéb adathordozóra. Ennek a beruházási költsége biztos, hogy lényegesen kisebb lesz, mint az adat-visszaállítás minimálisan is több tízezer forintos költsége, aminek a sikeressége ráadásul legtöbbször nem teljes.
A számítógép-felhasználók oktatásán túl - néha akár többrétegű - kémprogramvédelmet kell alkalmazni - javasolta a Tőzsér és Máriás Szoftver Iroda műszaki igazgatója. Ügyfeleinknek azt tanácsoljuk, hogy használjanak kémprogram elleni védelmet is tartalmazó integrált veszélykezelési megoldást. Nélkülözhetetlen a komoly tudású személyes tűzfal alkalmazása a végpontokon, azaz az asztali gépeken és a hordozható számítógépeken.
Be kell szerezni a megfelelő védelmi szoftvereket, amelyek ma már alapvető részei egy otthoni vagy egy céges számítógépes rendszernek - jelentette ki a Security.hu igazgatója. Hozzátette, a szolgáltatók oldalán technológiailag nem megoldható a károkozók maradéktalan kiszűrése, ezért ők nem tehetők felelőssé.
Csapdák Az információ önmagában is kulcsfontosságú üzleti erőforrás - közölte Illési Zsolt, a Proteus Consulting Kft. ügyvezető igazgatója. Az üzletmenet egyre szorosabban fonódik össze az információtechnológiával, ezért annak kockázatait is fel kell mérni és kezelni kell - ez ma, a XXI. században egy gazdasági társaság vezető tisztségviselője számára már része az "ilyen tisztséget betöltő személyektől általában elvárható gondosságnak" (Gt.), a tulajdonosokkal szembeni felelősségnek. Sok cég esetében már törvényi előírások is léteznek - de ezek sem tartalmaznak mást, mint amit a szakmai "józan ész" alapján amúgy is tenni kellene.
Újabban pedig az információbiztonság egyre inkább az üzleti partnerek és a szolgáltatásokat igénybe vevők részéről is elvárt kritérium. Sok, egymást részben átfedő tartalmú szabvány létezik. A választáshoz általános szabály nincs, azonban van néhány tipikusnak mondható csapda, amit kellő körültekintéssel el lehet kerülni. Az egyik ilyen csapda, hogy az információbiztonság egy követelmény, szabályozni pedig folyamatokat lehet - integrálva a védelmi és egyéb, például hatékonysági szempontokat is. Egy másik csapda, hogy Magyarországon mások a nagyságrendek, mint Európa nyugati felén vagy az USA-ban, ahol ezeket a szabványokat "kitalálták".
A szabványokat - bár elvileg szektor- és méretfüggetlenek - olyan szervezeti méretek és működési modellek alapján alkották meg, hogy még egy magyar középvállalat számára sem triviális, miként alkalmazza a gyakorlatban a szabványok előírásait. Ez különösen a kisebb méretű pénzügyi szervezeteknél (takarékszövetkezetek, pénztárak, pénzügyi szolgáltatók) probléma, hiszen nekik pont ugyanazokat a jogszabályi feltételeket kell teljesíteniük, mint a legnagyobbaknak. Reusz Gábor Minden esetben végig kell gondolni, hogy azzal kommunikálunk-e, akivel szeretnénk, és csak abban az esetben adjunk meg személyes adatokat, ha erről a lehetőségeinkhez és tudásunkhoz képest maximálisan meggyőződtünk - javasolja Reusz Gábor.
Horváth Zsolt A vállalatok számára nemcsak saját érdekükben vált fontos kérdéssé az információbiztonsággal való foglalkozás, hanem az ügyfeleik számára is Jókay Tamás Lényegesen nagyobb hangsúlyt kell fektetni a biztonságtudat kialakítására mind a vállalati munkatársak, mind a privát felhasználók körében Botos Zsolt A magyar netes piac még kicsi és nem érett az elektronikus aláírás felhasználására. A kulcsok ugyanis pénzbe kerülnek, s az egy főre jutó kevés tranzakció miatt nem biztos, hogy megéri beszerzésük, ráadásul a közigazgatásban egyelőre nehézkes az alkalmazásuk. Máriás Zoltán A mai e-mail-kritikus világban egyetlen vállalat sem engedheti meg magának büntetlenül azt, hogy feketelistára kerüljön vagy hogy ügyfeleit éppen ő árassza el kéretlen levelekkel, egyéb veszéllyel.
kulcs a közérthető, széles rétegeket elérő oktatás, ismeretterjesztés - állítja Botos Zsolt, a Security.hu Kft. ügyvezető igazgatója. Véleménye szerint amint a felhasználók jobban kiismerik magukat az it-biztonság alapvető kérdéseiben - ahogy a megfelelő óvintézkedéseket ismerik az élet más területein -, csökkenni fog az ismeretlentől való félelem által gerjesztett bizonytalanság.
Az üzleti életben a gondolkodásmódból eredő problémák válnak egyre gyakoribbá - közölte Reusz Gábor, az IP Technologies Magyarország Kft. ügyvezető igazgatója. Amíg néhány évvel ezelőtt még a triviális módon kihasználható technológiai hibák voltak jellemzőek, ma már inkább a jól felépített/tervezett rendszerek nem megfelelő használatából, illetve a nem megfelelően végrehajtott implementációkból eredő kockázatokat kell csökkenteni. Az átlagos felhasználó számára nem ismertek a pontos folyamatok, amelyek a használt rendszer működésével járnak; ugyanakkor ezen folyamatok a biztonságot drasztikusan befolyásolhatják, amellyel tisztában vannak.
A folyamatok és a helyes viselkedésmód ismerete nélkül kialakul egyfajta bizonytalanság, amely jó esetben csak a vállalat céljait akadályozza, rossz esetben ennél sokkal komolyabb károkat is okozhat. Például social engineering vizsgálatok során cégünk minden esetben olyan információkhoz jutott, mely az erős technológiai védelem ellenére is totálisan sebezhetővé tette megbízóink rendszerét. Úgy gondoljuk, hogy a technológia folyamatos vizsgálata mellett a jövőben elsődleges szerepet kell kapnia a vállalati környezetekben a felhasználók biztonságtudatossági oktatásának - tette hozzá Reusz.
Ma már a vállalatok számára nemcsak saját érdekükben vált fontos kérdéssé az információbiztonsággal való foglalkozás, hanem az ügyfeleik számára is - válaszolta Horváth Zsolt, az INFOBIZ Kft. ügyvezető igazgatója. Egyre több nagyvállalat követeli meg beszállítóitól a minőségirányítási rendszer megléte mellett az információbiztonság szabályozását, menedzselését. Az ügyfelek érzékenyek a beszállítóik működésének stabilitására és megbízhatóságára, a beszállítóiknál rendelkezésre álló adataik bizalmasságára, sőt informatikai katasztrófa esetén is a megfelelő üzletmenet, illetve katasztrófaelhárítási tervek meglétére, amelyek garantálják a vállalt szolgáltatások teljesítését. Horváth szerint néhány alapszintű információvédelmi intézkedés megtétele után a biztonság alapvetően már nem a folyamatos további intézkedésekkel, hanem az átgondolt, teljes kockázatértékelésen alapuló információbiztonsági irányítási rendszer bevezetésével fokozható.
Minden biztonsági rendszer annyira erős, mint annak a leggyengébb eleme. Emiatt igazán költséghatékony biztonságot is csak az egyenszilárdságú védelemmel tudunk elérni, a biztonságot is csak így tudjuk fokozni. Másrészt az idő múlásával a kockázatok változnak, a régen még erősnek számító védelem a mai kihívásokkal szemben már gyenge. A biztonsági rendszer is tehát csak úgy tudja erősségét megőrizni, ha azt folyamatosan felülvizsgálják és karbantartják - menedzselik. Ezeket a feladatokat látja el az információbiztonsági irányítási rendszer - jelentette ki az INFOBIZ vezetője. Az információvédelmi rendszerek bevezetésével, működtetésével és tanúsíttatásával fokozható a biztonság, illetve növelhető a bizalom. Emellett lényegesen nagyobb hangsúlyt kell fektetni a biztonságtudat kialakítására mind a vállalati munkatársak, mind a privát felhasználók körében - javasolja Jókay Tamás, a CIS Hungária Kft. ügyvezető igazgatója.
A veszélyek hihetetlenül sokszínűek lettek. Megdöbbentő, hogy a - köztudatba is beivódott - vírusok ma már a veszélyek mindössze 2,4 százalékát képezik - figyelmezet Máriás Zoltán, a Tőzsér és Máriás Szoftver Iroda műszaki igazgatója. A felhasználók heti hírlevelekben való folyamatos tájékoztatása, élőben való kiképzése mellett elengedhetetlen az it-biztonságot fenyegető veszélyek integrált kezelését lehetővé tevő eszközök és termékek alkalmazása - javasolja Máriás. Egyre veszélyesebb a világhálón szörfölni, mert ma már a weboldalakról letöltődő károkozók okozzák a legtöbb kárt. Mit lehet ez ellen tenni? - kérdeztük.
A közép- és nagyvállalati kultúrában felnövők munkahelyükön megkapják azt a fajta támogatást, ami a kérdésben szereplő veszélyek legnagyobb részét kivédi - jelentette ki az IP Technologies magyarországi vezetője. Probléma akkor keletkezik, amikor ez alól a védelem alól kikerülve, de ugyanazzal a viselkedésmintával használják a hálózatot. Ma már bárki számára elérhetőek ingyenes és fizetős biztonsági szoftverek, melyek a megfelelő használat mellett az átlagos szintű támadásokat hárítják. Javasoljuk, hogy mindenki gondolja végig, mekkora értéket képvisel számára mindaz, amit a számítógépén tárol és ehhez képest gondolja át, hogy az éves szintű 5 000-20 000 forintnyi vírusirtó-licencdíjat érdemes-e felvállalni.
Ettől eltekintve nagyon fontos, hogy az értékes dokumentációk, képek és egyéb fájlok ne csak egy helyen legyenek tárolva. Készítsünk ezekről biztonsági másolatot másik gépre vagy egyéb adathordozóra. Ennek a beruházási költsége biztos, hogy lényegesen kisebb lesz, mint az adat-visszaállítás minimálisan is több tízezer forintos költsége, aminek a sikeressége ráadásul legtöbbször nem teljes.
A számítógép-felhasználók oktatásán túl - néha akár többrétegű - kémprogramvédelmet kell alkalmazni - javasolta a Tőzsér és Máriás Szoftver Iroda műszaki igazgatója. Ügyfeleinknek azt tanácsoljuk, hogy használjanak kémprogram elleni védelmet is tartalmazó integrált veszélykezelési megoldást. Nélkülözhetetlen a komoly tudású személyes tűzfal alkalmazása a végpontokon, azaz az asztali gépeken és a hordozható számítógépeken.
Be kell szerezni a megfelelő védelmi szoftvereket, amelyek ma már alapvető részei egy otthoni vagy egy céges számítógépes rendszernek - jelentette ki a Security.hu igazgatója. Hozzátette, a szolgáltatók oldalán technológiailag nem megoldható a károkozók maradéktalan kiszűrése, ezért ők nem tehetők felelőssé.
Csapdák Az információ önmagában is kulcsfontosságú üzleti erőforrás - közölte Illési Zsolt, a Proteus Consulting Kft. ügyvezető igazgatója. Az üzletmenet egyre szorosabban fonódik össze az információtechnológiával, ezért annak kockázatait is fel kell mérni és kezelni kell - ez ma, a XXI. században egy gazdasági társaság vezető tisztségviselője számára már része az "ilyen tisztséget betöltő személyektől általában elvárható gondosságnak" (Gt.), a tulajdonosokkal szembeni felelősségnek. Sok cég esetében már törvényi előírások is léteznek - de ezek sem tartalmaznak mást, mint amit a szakmai "józan ész" alapján amúgy is tenni kellene.
Újabban pedig az információbiztonság egyre inkább az üzleti partnerek és a szolgáltatásokat igénybe vevők részéről is elvárt kritérium. Sok, egymást részben átfedő tartalmú szabvány létezik. A választáshoz általános szabály nincs, azonban van néhány tipikusnak mondható csapda, amit kellő körültekintéssel el lehet kerülni. Az egyik ilyen csapda, hogy az információbiztonság egy követelmény, szabályozni pedig folyamatokat lehet - integrálva a védelmi és egyéb, például hatékonysági szempontokat is. Egy másik csapda, hogy Magyarországon mások a nagyságrendek, mint Európa nyugati felén vagy az USA-ban, ahol ezeket a szabványokat "kitalálták".
A szabványokat - bár elvileg szektor- és méretfüggetlenek - olyan szervezeti méretek és működési modellek alapján alkották meg, hogy még egy magyar középvállalat számára sem triviális, miként alkalmazza a gyakorlatban a szabványok előírásait. Ez különösen a kisebb méretű pénzügyi szervezeteknél (takarékszövetkezetek, pénztárak, pénzügyi szolgáltatók) probléma, hiszen nekik pont ugyanazokat a jogszabályi feltételeket kell teljesíteniük, mint a legnagyobbaknak. Reusz Gábor Minden esetben végig kell gondolni, hogy azzal kommunikálunk-e, akivel szeretnénk, és csak abban az esetben adjunk meg személyes adatokat, ha erről a lehetőségeinkhez és tudásunkhoz képest maximálisan meggyőződtünk - javasolja Reusz Gábor.
Horváth Zsolt A vállalatok számára nemcsak saját érdekükben vált fontos kérdéssé az információbiztonsággal való foglalkozás, hanem az ügyfeleik számára is Jókay Tamás Lényegesen nagyobb hangsúlyt kell fektetni a biztonságtudat kialakítására mind a vállalati munkatársak, mind a privát felhasználók körében Botos Zsolt A magyar netes piac még kicsi és nem érett az elektronikus aláírás felhasználására. A kulcsok ugyanis pénzbe kerülnek, s az egy főre jutó kevés tranzakció miatt nem biztos, hogy megéri beszerzésük, ráadásul a közigazgatásban egyelőre nehézkes az alkalmazásuk. Máriás Zoltán A mai e-mail-kritikus világban egyetlen vállalat sem engedheti meg magának büntetlenül azt, hogy feketelistára kerüljön vagy hogy ügyfeleit éppen ő árassza el kéretlen levelekkel, egyéb veszéllyel.