Állítsd be Google keresőjét, hogy a találatok között biztos ott legyen az Economx!
Az elektronikus üzlet terjedése ellentmondásos feladat elé állítja a vállalatok informatikai biztonságért felelős szakembereit – állapítja meg Plájás Gábor, a Hewlett-Packard Consulting Services részlegének vezető tanácsadója. Úgy kell szavatolniuk a bizalmas vállalati információk hatékony védelmét, hogy közben nem korlátozzák az e-kereskedelmi, illetve b2b tranzakciók bővülését és cégük rugalmas reagálását a virtuális térből érkező igényekre. Egyszerre kell tehát javítaniuk az információáramlás ellenőrzését és lehetővé tenniük a külső partnerek szélesebb körű hozzáférését a vállalattal kapcsolatos információkhoz. Külön tanulási folyamatot feltételez az újfajta üzletvitel elsajátítása és magabiztos alkalmazása minimális biztonsági kockázatvállalás mellett.
Korábban a vállalatok szinte gondolkodás nélkül költötték a pénzt biztonsági kiadásokra – fejtegeti Szántó Péter. – Sokszor olyasmit is védelemben részesítettek, amit nem kellett volna, viszont védtelenül hagytak bizalmas információkat. A HP szakembereinek tapasztalatai szerint az információval kapcsolatos kockázatkezelésnek három alapeleme van.
Az első az előrelátás. Ez egyfajta folytonos „aggodalmaskodás”, amelynek jegyében a szakértő arra keres választ, hogy milyen a rendszer biztonsága, hol törhet meg annak védettsége, mennyire hatékony a biztonságpolitika. A második tényező a probléma megfogalmazása. Ennek keretében meg kell határozni, hogy mely biztonsági kockázatok hordozzák magukban a legnagyobb veszélyt, melyik rést kell először betömni. A harmadik elem a biztonsági stratégia meghatározása. Ez egyfajta előrelátás, annak meghatározása, hogyan változik a vállalati szervezet információkockázati profilja és miként kell a belső biztonságpolitikának reagálnia ezekre a változásokra.
Ezek a tapasztalatok ugyanakkor nem csupán a szakterületen dolgozó informatikusok gondolkodásában vannak jelen, hanem segítségükkel kidolgoztak olyan analizáló és végrehajtó eszközöket, amelyek standard formába öntik a vállalatok információbiztonsági kockázatainak kezelését. Ilyen eszközöket a HP is használ: a BS 7799 standard, a megfelelő sablonok és szoftverek segítségével meg tudja határozni a kockázati tényezőket, értékelni tudja azokat és össze tudja állítani egy vállalat kockázati profilját. Ehhez a megrendelő által szolgáltatott, illetve mintavétellel szerzett adatokat használnak. Ezt követi az iparági szinten kidolgozott tesztek lefuttatása a szimulált külső támadásokkal szembeni védekezés hibáinak kiderítésére, illetve az előző fázisban megjelölt problémák igazolására.
A tesztek tehát a már kialakított biztonsági rendszer folyamatos ellenőrzésének is eszközei. Mellettük hasonlóan fontos az úgynevezett behatolásmenedzsment kialakítása, azaz annak a folyamatnak a szabályozása, amelynek során a biztonsági rendszer észleli és kivizsgálja az illetéktelen behatolási kísérleteket. Ez a rendszer összefonható az informatikai hálózatok ügyfélmenedzsmentjével a jó és a rossz kapcsolatok pontos, gyors és hatékony elválasztása érdekében. A HP szakértői mindezek mellett azt ajánlják, hogy a vállalatok folyamatosan értékeljék kockázatkezelésüket, amit egyfajta „biztonsági műszerfal” kialakításával tehetnek meg a legjobban.
A biztonsági követelményeket megfogalmazásuk nyomán logikai architektúrákba lehet foglalni, amelyek alapján aztán megtervezhető az a fizikai architektúra, amelynek kialakításával teljesíthetők. Plájás Gábor szerint ehhez megfelelő felkészültségű tanácsadó cégre van szükség, amely rendelkezik az adott technológiák alkalmazásának képességével, illetve szerencsés esetben a rendszer kiépítéséhez szükséges saját, illetve partnerektől származó eszközökkel is. Fontos tudni, hogy a HP és a hozzá hasonló szolgáltatók sok részfeladat megoldására kialakult, standard módszertannal, illetve megoldáskészlettel rendelkeznek, amelyek gyorsan telepíthetők. A végeredmény egy integrált vállalati biztonsági hálózat kidolgozása lehet, amely ily módon a helyzetfelméréstől a tervezésen és a kivitelezésen át a folyamatos karbantartásig akár egy kézből megoldhatja a nyitottság és biztonság ellentmondásából eredő kockázatkezelés gondját.
K. K.
keretes
A különböző iparágakhoz tartozó vállalatoknak sajátos ellentmondásokat is fel kell oldaniuk. A biztosítótársaságoknak például gondoskodniuk kell arról, hogy a követelésekkel kapcsolatos vizsgálatok során nem sértik meg ügyfeleik személyiségi jogait. A feldolgozóiparban gondot jelenthet a vállalati titkok őrzése, amikor egy cég fejlesztőrészlegei a világ különböző részén működnek és extraneten tartják a kapcsolatot egymással. Az online kiskereskedőknek ügyféladatbázisaik, főleg az ügyfeleik által megadott hitelkártyaszámok védelme ad üzletvitelük szempontjából kritikus feladatot. Végül az informatikai iparban ma már mind a hardver-, mind a szoftverfejlesztések során érvényesíteni kell a biztonsági követelményeket.
