Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
z információvédelem kifejezés megtévesztő lehet. A laikus úgy vélheti, hogy ebben csak az informatikai rendszerek külső és belső behatolások elleni biztosítása szerepel, pedig ennél többről van szó. A hardverek és a szoftverek védelme csak a teljes biztonsági rendszer úgynevezett logikai elemét jelenti, ezt kiegészíti a hagyományos fizikai védekezés – a páncélszekrények használatától kezdve az elzárt üzemi területeken keresztül az őrző-védő szolgálatok alkalmazásáig –, valamint az emberi oldal biztosítása, azaz az alkalmazottak hozzáféréseinek szabályozása, ellenőrzése. E három védelmi vonallal kapcsolatban ír elő követelményeket az információvédelem ISO/IEC 27001-es szabványa, amely a korábbi, BS 7799-2-es előírásrendszert váltotta fel. Mint az elnevezésből is kiderül, az információvédelmi rendszer bevezetése egy-egy szervezetnél éppen olyan alapos előkészítést és szinten tartást igényel, mint az ISO 9001-es vagy más minőségirányítási rendszerek alkalmazása – tudtuk meg Jókay Tamástól, az információvédelmi tanúsítással és szakemberképzéssel foglalkozó CIS Hungária Kft. ügyvezetőjétől.
A naiv érdeklődő következő kérdése az lehet, hogy vajon létezhet-e olyan megoldás, amelyben az előbb felsorolt három lábnak csak az egyike vagy közülük csak kettő él. A szakember válasza röviden annyi, hogy az ilyen információvédelem éppen annyit érne, mint az a háromlábú szék, amelynek lefűrészelik az egyik lábát. Az említett szabványok része mind a három védelmi vonal, ennek megfelelően tanúsítani csak olyan megoldást lehet, amelyben mindegyikre megfelelő megoldásokat adnak.
Nem kell géniusznak lennünk ahhoz, hogy rájöjjünk, megdobhatja egy vállalkozás imázsát, ha el tudja mondani magáról: Kérem szépen, nekem tanúsított információvédelmi rendszerem van. Bár az is nyilvánvalónak látszik, hogy ez minden tanúsítás esetében így van, Jókay Tamás elmondása szerint nem ennyire egyértelmű a helyzet. A dolog profiltól függ. A pénzügyi szektor legnagyobb tanácsadó cégei közé tartozó egyik ügyfelüknek például létkérdés volt, hogy felmutathassa ezt a képességét, hiszen megrendelői esetenként rendkívül bizalmas adatokat bíznak rá, amelyek semmiképpen sem kerülhetnek idegen kezekbe. Ugyanakkor egy másik ügyfelük, egy kutatással és fejlesztéssel foglalkozó vállalkozás az ipari kémkedés megakadályozása végett fejlesztette tanúsítható szintre információvédelmét, és nincs szüksége arra, hogy ennek meglétét egyfajta marketingeszközként is használja. Van persze példa arra is, amikor mindkét szempont egyformán fontos. Az érzékeny adatokkal, termékekkel, technológiával foglalkozó cégek esetében a belső biztonság és külső imázs szempontjából egyaránt fontos az információvédelmi rendszer tanúsíttatása.
A szakértő tapasztalatai szerint a vállalkozások a fizikai védelem könnyen átlátható feladataival birkóznak meg a legkisebb erőfeszítéssel, míg az emberi oldalt, mind a véletlen adatvesztést, mind a szándékos károkozást, nehezen kezelik. Sokszor olyan elemi hibákat is nehezen küzdenek le, mint hogy a munkatársak nyilvános helyen, például étteremben ne beszéljenek bizalmas üzleti ügyekről. A logikai védelemnél felemás a helyzet: minden magára valamit is adó cég informatikai hálózatát védi valamiféle tűzfal és víruskereső, csakhogy ezek persze nem elegendőek. Az utóbbi időben az egyik legnagyobb gondot a mobil eszközök sebezhetősége jelenti. A CIS Hungária szakemberei ennek bizonyítására egy nyilvános konferencián megfelelő technikai eszközökkel megkeresték a mobil adatátvitelre képes telefonokat, megmutatva ezzel tulajdonosaiknak, milyen könnyű hozzáférni az azokban lévő védtelen információkhoz.
A szabványos információvédelem felépítése és működtetése két részből áll. A tanúsítási folyamatban egy az auditortól szigorúan elkülönülő tanácsadó segítségével bevezetik, majd ezt követően auditáltatják a rendszert. Ha ez megvan, akkor gondoskodni kell az elért színvonal fenntartásáról, ami minden esetben feltételezi képzett információvédelmi menedzser alkalmazását. A szabvány ezen túl megköveteli egy úgynevezett információvédelmi fórum működését, amelyben az információbiztonságban leginkább érdekelt, azért felelős vezetők foglalnak helyet; feladatuk, hogy gondoskodjanak a tanúsítási folyamatban elért információvédelem szinten tartásáról. További biztosíték a szabványnak megfelelő biztonság fenntartására, hogy a három évre érvényes tanúsítvány 12 és 24 hónap után felülvizsgálatot ír elő. Ezt követheti a tanúsítás megismétlése.
Magyarországnak a tanúsított cégek számát tekintve nincsen oka szégyenkezésre, azonban a piac résztvevői hosszú távon erősebb fellendülésben reménykednek.
