Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!
Az elektronikus üzlet terjedése ellentmondásos feladat elé állítja a vállalatok informatikai biztonságért felelős szakembereit – állapítja meg a Hewlett-Packard Consulting Services részlegének nemrég megjelent tanulmánya. Úgy kell garantálniuk a bizalmas vállalati információk hatékony védelmét, hogy eközben nem korlátozzák az e-kereskedelmi, illetve b2b tranzakciók bővülését és cégük rugalmas reagálását a virtuális térből érkező igényekre. Egyszerre kell tehát javítaniuk az információáramlás ellenőrzését és lehetővé tenniük a külső partnerek korábbinál szélesebb körű hozzáférését a vállalattal kapcsolatos információkhoz. Külön tanulási folyamatot feltételez az újfajta üzletvitel elsajátítása és magabiztos folytatása minimális biztonsági kockázatvállalás mellett.
A vállalatok internetes, elektronikus biztonsági kiadásai abszolút értékben nem csökkentek, de semmiképpen nem tartanak lépést azzal a nagyságrendileg megnövekedett kockázattal, ami a cégek egyre nagyobb mértékű internetes megjelenésének következménye – állítja Hidvégi Zoltán, a HP Magyarország e-biztonsági divíziójának vezetője, aki szerint ennek az a fő oka, hogy nagyon ritkán előzi meg az informatikai biztonsági beruházásokra vonatkozó döntéseket szakszerű és teljes kockázatelemzés, így a döntések sokszor esetlegesek és nem feltétlenül a legnagyobb üzleti kockázat csökkentését célozzák meg.
Korábban a vállalatok szinte gondolkodás nélkül költötték a pénzt biztonsági kiadásokra. Ennek eredményeképpen sokszor olyasmit is védelemben részesítettek, amit nem kellett volna és védtelenül hagytak bizalmas információkat. A HP szakembereinek tapasztalatai szerint az információval kapcsolatos kockázatkezelésnek három alapeleme van.
Az első az előrelátás. Ez egyfajta folytonos „aggodalmaskodás”, aminek jegyében a szakértő arra keres választ: milyen a rendszerem biztonsága, hol törhet meg annak védettsége, mennyire hatékony a biztonságpolitikám.
A második tényező a probléma megfogalmazása. Ennek keretében meg kell határozni, hogy mely biztonsági kockázatok hordozzák magukban a legnagyobb veszélyt, melyik rést kell először betömni.
A harmadik elem a biztonsági stratégia kialakítása. Ez egyfajta előrelátás, annak meghatározása, hogyan változik a vállalati szervezet információkockázati profilja, hogyan kell a belső biztonságpolitikának reagálnia ezekre a változásokra.
Ezek a tapasztalatok ugyanakkor nem csupán az e szakterületen dolgozó informatikusok gondolkodásában vannak jelen, hanem segítségükkel kidolgoztak olyan analizáló és végrehajtó eszközöket, amelyek standard formába öltik a vállalatok információbiztonsági kockázatainak kezelését. Ilyen eszközöket a HP is használ: a BS 7799 standard, a megfelelő sablonok, eljárások és szoftverek segítségével meg tudja határozni a kockázati tényezőket, értékelni tudja azokat és össze tudja állítani egy vállalat kockázati profilját. Ehhez a megrendelő által szolgáltatatott, illetve mintavétellel szerzett adatokat használnak. Ezt követi az ágazati szinten, az iparági sajátosságoknak megfelelően kidolgozott tesztek lefuttatása a szimulált külső támadásokkal szembeni védekezés hibáinak kiderítésére, illetve az előző fázisban megjelölt problémák igazolására vagy elvetésére.
A tesztek tehát a már kialakított biztonsági rendszer folyamatos ellenőrzésének is eszközei. Mellettük hasonlóan fontos az úgynevezett behatolásmenedzsment kialakítása, azaz annak a folyamatnak a szabályozása, amelynek során a biztonsági rendszer észleli és kivizsgálja az illetéktelen behatolási kísérleteket. Ez a rendszer összefonható az informatikai hálózatok ügyfélmenedzsmentjével a jó és a rossz kapcsolatok pontos, gyors, a hatékony elválasztásának érdekében. A HP szakértői mindezek mellett azt ajánlják, hogy a vállalatok folyamatosan értékeljék kockázatkezelésüket, amit egyfajta „biztonsági műszerfal” kialakításával tehetnek meg a legjobban.
A biztonsági követelményeket, megfogalmazásukat követően logikai architektúrákba lehet foglalni, amelyek alapján aztán megtervezhető az a fizikai architektúra, amelynek kialakításával teljesíthetők ezek az elvárások. Ehhez megfelelő felkészültségű tanácsadóra van szükség, amely rendelkezik az adott metodológiák alkalmazásának képességével, illetve szerencsés esetben a rendszer kiépítéséhez szükséges saját, illetve partnerektől származó eszközökkel is. Fontos tudni, hogy a HP és a hozzá hasonló szolgáltatók sok részfeladat megoldására kialakult, standard módszertannal, illetve megoldáskészlettel, eszközrendszerrel rendelkeznek, amelyek gyorsan telepíthetők, alkalmazhatók. A végeredmény egy integrált vállalati biztonsági hálózat kidolgozása lehet, amely ily módon a helyzetfelméréstől a tervezésen és a kivitelezésen át a folyamatos karbantartásig akár egy kézből megoldhatja a nyitottság és biztonság ellentmondásából eredő kockázatkezelés gondját.
„Az különbözteti meg a HP e-biztonsági megoldásait a vetélytársakétól, hogy két különböző dimenzióban tud olyan megoldásokat ajánlani, amelyek egyediek a biztonság területén. Az első a HP különleges Virtualvault megoldása, amelyet eredetileg az Egyesült Államok Nemzetvédelmi Minisztériumának fejlesztettünk ki. Ez a legmagasabb szintű biztonságot nyújtja a webes technológiát használó alkalmazások számára. Meg kell említeni még a HP saját cége, a Verifone által kínált hardvereket és szoftvereket. Ezek a SET (Secure Electronic Transaction) technológiát alkalmazzák és szavatolják, hogy egy elektronikus tranzakció részvevői a vásárló adatai közül csak a rájuk tartozókhoz (a bank a számlához, a kereskedő a megrendeléshez) férhessenek hozzá. A második biztonsági tényező, hogy a HP a biztonsági stratégia és a megfelelő eljárások kialakításától a tényleges megoldások megvalósításáig teljes informatikai biztonsági portfóliót tud ajánlani az ügyfeleknek” – mondotta Hidvégi.
