Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
A veszélyekkel teli e-üzleti környezetében nélkülözhetetlen az információvédelmi program létrehozása. Emiatt számos szervezet sokféle, a hálózat más és más szintjén bizonyos fajta veszélyek ellen ható védelmi terméket vásárol és telepít. Az ilyen egyedi termékeket használó technológiákra épülő védelmi megoldás azonban nem kielégítő. Az egyre gyakoribb, bonyolultabb és növekvő számú összetett internetes veszélyforrással szemben a vállalkozásoknak többrétű, mélységi védelmet kell alkalmazniuk, az ehhez szükséges, megfelelő emberekkel és eljárásokkal. Ez a három elem adja az eredményes információvédelmi program alapját.
Az emberek, a folyamatok és a technológia képezte létfontosságú összetevők tovább bonthatók, így eljutunk ahhoz a tíz nélkülözhetetlen elemhez, amelyek elősegítik a vállalat biztonságát. Ezek az elemek rávilágítanak arra, mennyire fontos, hogy a cégek jól definiált információvédelmi szabályokkal, szabványokkal és eljárásokkal rendelkezzenek, valamint arra, mennyire fontos a kulcsszemélyzet bevonása és a megfelelő védelmi technika használata.
1. Az információvédelmi program gazdája a vezérigazgató
Régebben az volt szokásos, hogy az információbiztonsággal kapcsolatosan az informatikai vezetők kezében futott össze minden. Ma azonban, amikor a szakmai és a kormányzati szabályzók miatt megnőtt az információ felügyeletének és számon kérhetőségének az igénye, illetve üzleti eszközként fokozottan támaszkodnak a számítástechnikára, a biztonság vezetőségi ügynek számít. Az, hogy a vezérigazgató a gazdája a vállalati védelmi programnak, megadja az irányt a szervezet többi részének is. A vezérigazgatóság megállapítja a program általános célját, az informatikai részleg és a vezérigazgatóság közötti rendszeres felülvizsgálatok biztosítják, hogy a program megfeleljen a kitűzött céloknak. Emellett, ha a program kiigazításra szorul, a változtatásokhoz szükséges felhatalmazás miatt a vezérigazgatói befolyás döntően fontos.
2. Az információ védelméért az egész felső vezetés a felelős
Ideális esetben a felső vezetés egy, a vezérigazgatónak vagy az ügyvezetőnek közvetlenül felelő tagja az információvédelem felelősségében is osztozik. Nagy cégeknél ez lehet az elsődleges felelősségi köre, kisebbeknél emellett több másért is felelős lehet. Az információvédelem összetettsége miatt bölcs dolog a gyakorlott védelmi szakemberekből álló, teljes mértékben az információvédelemmel foglalkozó szervezeti egység létrehozása. A múltban elegendő volt részmunkaidősöket foglalkoztatni az információvédelemmel. Ez ma már nincs így. Ha nincs erre a célra külön, gyakorlott és védelmi tapasztalatokkal rendelkező személyzetünk, megnő annak a valószínűsége, hogy egy védelmi esemény előbb-utóbb káros hatással lesz a szervezetre.
3. Legyen egy funkciók felett álló irányító testület
Az információvédelem a vállalatoknál jóformán minden szervezeti egységet érint. A számítógépek megfelelő használatára vonatkozó védelmi szabályok felállítása és betartatása például nem csupán az informatikai, hanem a személyzeti osztályt is érinti. A külső korlátozások, mint például a szakmai szabályoknak, illetve a helyi törvényeknek való megfelelés igazolása is jelzi, hogy a hagyományos értelemben vett informatikai szakterületen kívüli csoportok is érintettek ebben. A cégek információvédelmi programja szinte mindig fog az üzlet vitelére vonatkozó korlátozásokat tartalmazni. Az információvédelemmel kapcsolatosan egy szervezet minden működési területének vannak saját követelményei. Ha biztosítjuk azt, hogy az információvédelmet irányító testület az egész cég érdekét képviselő, funkciók felett álló csoport legyen, az így előálló, cégszintű szabályzat nem csupán jobban meg lesz határozva, hanem betartatása is egyszerűbb lesz, mivel a testületen számon kérhető az általa létrehozott információvédelmi program.
4. Mérni, mérni, és újra csak mérni
A fejlesztésekhez mérni kell. A mércék felállításának első lépése a szervezet jelenlegi védelmi helyzetének felmérése. Ezt követi a jövőbeni fejlesztések céljának egyértelmű meghatározása. A hasonló cégekhez való mérés egyszerűbbé teheti ezt, különösen az olyan, a védelmet szem előtt tartó területeken, mint a pénzügyi szolgáltatások, ahol igen szigorú követelményeknek kell megfelelni.
5. Az információvédelmi program egy folyamat
A biztonság nem cél, hanem maga az utazás. A biztonság a mérés, a tökéletesítés és a kezelés folytonos körforgásából áll. Ebben a körforgásban módot kell adni a gyorsan változó internetes veszélykörnyezetre történő, mind visszaható, mind előremutató reagáláshoz. Következésképpen a hatékony információvédelmi program nem lehet megmerevedett, folyamatosan alkalmazkodnia kell mind az üzleti követelményekhez, mind a védelem feladataihoz.
6. Legyen független információvédelmi felülvizsgálat
A független pénzügyi ellenőrzés helyes gyakorlatához hasonlóan a független információvédelmi felülvizsgálat felbecsülhetetlen lehetőséget kínál arra, hogy védelmi szakemberek értékeljék ki a cég védelmi programját és adjanak tanácsot a tökéletesítéshez. A rendszeres ellenőrzések fényt deríthetnek bizonyos tendenciákra, másfelől az olyan területek felismerésében is segíthetnek, ahol további odafigyelés szükséges, illetve ahol jelentős előrehaladás mutatkozik. A külső fél által végzett ellenőrzés megállapításait át kell tekintenie a vezetőségnek, az informatikai részlegnek és a hibák orvoslására hivatott többi területnek, elvégre az információvagyon biztonsága feletti őrködés nem csupán az informatikusokra, hanem a cég valamennyi dolgozójára tartozik.
7. Többrétegű legyen a védelem
Nem elegendő egyszerűen csak az átjárót, a munkaállomásokat vagy a szervereket védeni. Az összetett veszélyek megjelenése mindezt megváltoztatta. Ezek a veszélyforrások többféle módon terjednek, és a rosszindulatú programok különböző típusainak jellemzőit gyakran kombinálják a szoftverhibák kihasználásának képességével. Mivel az összetett veszélyeztetők a számítógépes infrastruktúrának nem csupán egy elemét támadják, csak több, a hálózat minden részében – az átjárón, a szerveren, a munkaállomásokon és a mozgó felhasználóknál – telepített védelmi megoldással (víruselhárítóval, tűzfallal, behatolás-érzékelővel és -elhárítóval, valamint tartalomszűrővel) lehet ellenük védekezni.
8. Az it-környezet zónáinak biztosítása
Egy tipikus vállalat négy zónára osztható: az internet, az ügyfelek és a partnerek által elérhető extranet, az alkalmazottak által használt intranet és az a működés szempontjából létfontosságú zóna, amelyet csak a létfontosságú alkalmazások és – korlátozottan – az alkalmazottak érhetnek el. A hatékony információvédelmi program biztosítja, hogy minden zóna a hozzáférést korlátozó tűzfallal legyen elválasztva. Ezeknek a zónáknak a megállapításához és szétválasztásához a szervezeteknek meghatározott területekkel kell rendelkezniük, hogy az egymást követő zónákban egyre növekvő védelemmel és az ehhez szükséges technikával létrehozhassák a védelem és az információhoz történő hozzáférés megfelelő szintjeit.
9. A program az alapokra épüljön
A fejlettebb megoldásoknak az alapokról való elfeledkezés melletti előnyben részesítése helyett érdemes a tűzfal és a víruselhárítás jelentette szilárd alapok lerakásával kezdeni, és utána hozzáadni az igényeknek megfelelően a többi módszert. Azaz, ha minden más előtt kijelöljük a technológiai haladás útját, azzal nem csupán azt biztosíthatjuk, hogy a megfelelő időben a helyes technológiát fogjuk létrehozni, hanem azt is, hogy a telepítendő technológia meg fogja hozni az elvárt eredményeket.
10. Az információ védelmét nélkülözhetetlen beruházásnak tekintsük
Kíméletlen küzdelem folyik az erőforrásokért a napjaink „többet kevesebbért” filozófiájú működési környezetében. Az információvédelem komoly kiadást jelent. A védelem hiánya azonban ennél is drágább lehet. A vállalkozás javainak alapos áttekintésével és az esetleges hozzáférhetetlenségüknek a vállalkozásra gyakorolt hatása kiértékelésével a vezetőség hozzájut ahhoz az információhoz, amely ismeretében meghatározhatja a védelmi programhoz szükséges, megfelelő mértékű beruházást.
Napi Informatika
