Napi Online
A cégvezetők nem foglalkoznak a biztonsággal
Az elmúlt időszak nagy visszhangot kiváltó incidensei nyomán a vállalatok felismerték, hogy a belső fenyegetettség jóval nagyobb, mint a külső támadások. Nehezíti a védekezést, hogy a cégek legfelső vezetésében még mindig nem tudatosult eléggé az információbiztonság fontossága.
Az Ernst & Young információbiztonsági felmérése szerint a hazai vállalkozások egyre inkább felismerik az információbiztonság valódi szerepét és az üzleti hatékonysághoz való hozzájárulását. Igaz, ez a folyamat Magyarországon inkább csak a nagyvállalatokra jellemző. A kutatás szerint a legtöbb információbiztonsági vezető csak nagyon nehezen tudja területét az üzleti folyamatok fontos részévé emelni, mert az információbiztonság nem áll szoros kapcsolatban a vállalatvezetéssel, illetve nem képezi a stratégiai döntéshozatal szerves elemét. Jellemző, hogy a válaszadók több mint húsz százaléka nyilatkozik úgy, hogy az igazgatótanácsnak nagyon ritkán, szinte soha nem jelentenek az informatikai biztonságot érintő kérdésekről.
"A valódi információbiztonság megteremtése szempontjából a jövőben már nem elég, ha azt kizárólag működési oldalról, azaz a vállalati eszközök és adatok megvédésének szemszögéből közelítik a szervezetek" - világítja meg a helyzetet Bártfai Attila, az Ernst & Young információbiztonságért felelős szenior menedzsere. Hozzátette, a terület jobb eredményt ér el és proaktívabb szerepet tölthet be, ha kezdeményezéseiket a szervezet stratégiai célkitűzéseihez kötik.
Az elemzés megállapítja, hogy Magyarországon a vállalatok mintegy felénél - szinte csak a nagyvállalatok körében - van hivatalosan kinevezett informatikai biztonsági vezető. Ez jóval kevesebb, mint a világ többi részén, ahol a megkérdezettek 87 százalékánál létezik ilyen pozíció. Bizonyos munkák kiszervezése és harmadik fél bevonása egyre inkább elterjed itthon és a külföldi piacokon. Ennek egyik oka, hogy az IT-biztonságra szánt összeg az informatikai büdzsé tíz százalékát sem éri el.
Az Oracle friss vizsgálata szerint a szervezetek nagy többsége számára a legértékesebb eszközöket a tárolt információk, a szellemi tulajdon, az adatbázisokban, fájlkezelő rendszerekben, adatfájlokban és más formátumokban tárolt adatok jelentik, nem a fizikai javak. Az elemzés szerint rendkívül magas a tét az olyan szervezetek esetében, amelyek betegadatokat, társadalombiztosítási számokat, hitelkártyaszámokat vagy egyéb védett, személyes adatokat kezelnek.
Miután az elmúlt években számos nagy nyilvánosságot kapott incidens történt, amelyek során ügyféladatok és bizalmas információk szivárogtak ki (vagy elvesztették/ellopták őket), a szigorúan szabályozott iparágakon kívül is robbanásszerűen megnőtt az igény az adatbázisok biztonságát garantáló megoldások iránt. Az adatvédelmi hibák, sőt, csupán annak a gyanúja, hogy az ügyféladatok védelme elégtelen, bizalomvesztéshez vezethet az ügyfelek részéről, kihathat az ügyfélmegtartásra és jelentős mértékben ronthatja a márka és a vállalat hírnevét.
Minden olyan szervezet, amely érzékeny személyes vagy pénzügyi adatokat kezel, potenciális célpont - figyelmeztet az Oracle jelentése. A támadások új irányai az "üzleti ütőeret" veszik célba. A bűnözők a vállalkozásba bejutva "belülről" hajtanak végre célzott támadásokat a pénzügyi eszközök, a jó hírnév vagy az érzékeny, a vállalat tulajdonát képező adatok ellen. Megtörtént eset, hogy (újonnan felvett) alkalmazottakat kifejezetten azzal a céllal építettek be, hogy ellopják az ügyfelek hitelképességi adatait. Az ilyen új, kreatív támadásokat részben azért nehéz felfedni, mert több, összefüggő biztonsági hiányosságot használnak ki, részben pedig azért, mert a vállalaton belül tevékenykedő, megbízhatónak tekintett személyektől erednek.
Az IDC 2007-es vállalatbiztonsági felmérése arról tanúskodik, hogy ma már a belső fenyegetettséget veszélyesebbnek tekintik a vállalatok, mint a külsőket. A belső fenyegetésekkel kapcsolatos aggodalom erősödése nem meglepő, hiszen a vállalatok figyelmüket elsősorban a külvilággal szembeni védekezésre fordították - arra, hogy miként tudják kívül tartani az illetéktelen személyeket -, és eközben lényegesen gyengébb, vagy akár egyáltalán nem létező védelemmel rendelkeznek az olyan információ-tárházak tekintetében, mint az adatbázisok.
Az Ernst & Young információbiztonsági felmérése szerint a hazai vállalkozások egyre inkább felismerik az információbiztonság valódi szerepét és az üzleti hatékonysághoz való hozzájárulását. Igaz, ez a folyamat Magyarországon inkább csak a nagyvállalatokra jellemző. A kutatás szerint a legtöbb információbiztonsági vezető csak nagyon nehezen tudja területét az üzleti folyamatok fontos részévé emelni, mert az információbiztonság nem áll szoros kapcsolatban a vállalatvezetéssel, illetve nem képezi a stratégiai döntéshozatal szerves elemét. Jellemző, hogy a válaszadók több mint húsz százaléka nyilatkozik úgy, hogy az igazgatótanácsnak nagyon ritkán, szinte soha nem jelentenek az informatikai biztonságot érintő kérdésekről.
"A valódi információbiztonság megteremtése szempontjából a jövőben már nem elég, ha azt kizárólag működési oldalról, azaz a vállalati eszközök és adatok megvédésének szemszögéből közelítik a szervezetek" - világítja meg a helyzetet Bártfai Attila, az Ernst & Young információbiztonságért felelős szenior menedzsere. Hozzátette, a terület jobb eredményt ér el és proaktívabb szerepet tölthet be, ha kezdeményezéseiket a szervezet stratégiai célkitűzéseihez kötik.
Az elemzés megállapítja, hogy Magyarországon a vállalatok mintegy felénél - szinte csak a nagyvállalatok körében - van hivatalosan kinevezett informatikai biztonsági vezető. Ez jóval kevesebb, mint a világ többi részén, ahol a megkérdezettek 87 százalékánál létezik ilyen pozíció. Bizonyos munkák kiszervezése és harmadik fél bevonása egyre inkább elterjed itthon és a külföldi piacokon. Ennek egyik oka, hogy az IT-biztonságra szánt összeg az informatikai büdzsé tíz százalékát sem éri el.
Az Oracle friss vizsgálata szerint a szervezetek nagy többsége számára a legértékesebb eszközöket a tárolt információk, a szellemi tulajdon, az adatbázisokban, fájlkezelő rendszerekben, adatfájlokban és más formátumokban tárolt adatok jelentik, nem a fizikai javak. Az elemzés szerint rendkívül magas a tét az olyan szervezetek esetében, amelyek betegadatokat, társadalombiztosítási számokat, hitelkártyaszámokat vagy egyéb védett, személyes adatokat kezelnek.
Miután az elmúlt években számos nagy nyilvánosságot kapott incidens történt, amelyek során ügyféladatok és bizalmas információk szivárogtak ki (vagy elvesztették/ellopták őket), a szigorúan szabályozott iparágakon kívül is robbanásszerűen megnőtt az igény az adatbázisok biztonságát garantáló megoldások iránt. Az adatvédelmi hibák, sőt, csupán annak a gyanúja, hogy az ügyféladatok védelme elégtelen, bizalomvesztéshez vezethet az ügyfelek részéről, kihathat az ügyfélmegtartásra és jelentős mértékben ronthatja a márka és a vállalat hírnevét.
Minden olyan szervezet, amely érzékeny személyes vagy pénzügyi adatokat kezel, potenciális célpont - figyelmeztet az Oracle jelentése. A támadások új irányai az "üzleti ütőeret" veszik célba. A bűnözők a vállalkozásba bejutva "belülről" hajtanak végre célzott támadásokat a pénzügyi eszközök, a jó hírnév vagy az érzékeny, a vállalat tulajdonát képező adatok ellen. Megtörtént eset, hogy (újonnan felvett) alkalmazottakat kifejezetten azzal a céllal építettek be, hogy ellopják az ügyfelek hitelképességi adatait. Az ilyen új, kreatív támadásokat részben azért nehéz felfedni, mert több, összefüggő biztonsági hiányosságot használnak ki, részben pedig azért, mert a vállalaton belül tevékenykedő, megbízhatónak tekintett személyektől erednek.
Az IDC 2007-es vállalatbiztonsági felmérése arról tanúskodik, hogy ma már a belső fenyegetettséget veszélyesebbnek tekintik a vállalatok, mint a külsőket. A belső fenyegetésekkel kapcsolatos aggodalom erősödése nem meglepő, hiszen a vállalatok figyelmüket elsősorban a külvilággal szembeni védekezésre fordították - arra, hogy miként tudják kívül tartani az illetéktelen személyeket -, és eközben lényegesen gyengébb, vagy akár egyáltalán nem létező védelemmel rendelkeznek az olyan információ-tárházak tekintetében, mint az adatbázisok.