Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
A kormányzati és szakmai szabályozás számos igen komoly információvédelmi követelmény teljesítését írja elő a vállalatoknak. A titkos információnak titkosnak kell maradnia, ennélfogva az érzékeny információkhoz való illetéktelen hozzáférés és azok napvilágra kerülése ellen programokkal kell védekezni. Az információ épségét nem szabad veszélyeztetni. Ahhoz csak a jogosult személyeknek szabad hozzáférni, nekik viszont bármikor, bárhol és bármiképp biztosítani kell a hozzáférést. Hogy meg tudjanak felelni ennek a hármas követelménynek, sok vállalat ideje és erőforrásai nagy részét fordítja olyan formális és strukturált információvédelmi program létrehozására, amely segít a vállalati alapok és tevékenységek védettségét biztosítani. Az információvédelmi program létrehozása és fenntartása három időről időre ismétlődő lépésből áll. Ezek a lépések: a meglevő program felmérése, a szükséges fejlesztések meghatározása és elvégzése, valamint a folyamatban levő eljárások kezelése – jelentette ki a Symantec szakembere.
A problémák felderítése
A meglevő információvédelmi szerkezet felmérése jó alkalom arra, hogy feltegyük (és megválaszoljuk) az alábbi kérdéseket. Van-e a szervezetnek szabályszerű információvédelmi stratégiája vagy terve? Ha igen, mennyire működik jól, illetve mérhető-e a hatékonysága? Átesett-e független felülvizsgálaton, és ha igen, mi volt annak az eredménye? Bár a meglevő környezetet nem kell részletesen és aprólékosan dokumentálni, de a leírásnak a program állapotának pontos pillanatképét kell nyújtania, valamint foglalkoznia kell a három alapvető tényezővel, az emberekkel, a módszerekkel és a technikával. A program hatékonyságának felméréséhez az egyik legjobban járható út, ha összehasonlítjuk a szakmában bevált információvédelmi gyakorlattal. Ez a bevált gyakorlat az embereket, a módszereket, a technikát és a célokat is magában foglalja. Hasznos segítséget nyújthat a szervezeteknek ahhoz, hogy a kulcsfontosságú területeken feljavíthassák programjaikat. A meglevő program felmérését követően a szervezetnek széles körben és korlátok nélkül át kell tekintenie az eljövendő védelmi környezet lehetőségeit. Lehet, hogy egy hivatalos információvédelmi szervezetet kellene felállítani, vagy esetleg folyamatos, az egész cégre kiterjedő, a tudatos védekezésre megtanító képzést kell tartani. Tény, hogy a hiányok elemzése adja meg az információvédelem fejlesztési folyamatának az alapját.
A hiányok felszámolása
Ha készen a hiányok elemzése, ki lehet dolgozni az információvédelmi menetrendet. A beruházási döntéseknek a szükséges biztonság feláldozása nélküli megkönnyítésére a menetrend – az egyszeri és a folyamatos költségeket is magában foglalva – a beruházások megtérülése felőli megközelítéssel a jövőbeni finanszírozási kérdésekkel is foglalkozhat, vagy éppen összehasonlíthatja a védelem költségeit a védelem áttörésekor várhatókkal. Ha eldőlt a leginkább megfelelő beruházási szint, létre lehet hozni ezekhez a célokhoz a hozzájuk tartozó ütemtervvel együtt a stratégiai kezdeményezéseket és a taktikai terveket. Ha elkészült a menetrend, egy jóval részletesebb, minden egyes stratégiai kezdeményezés és a hozzá tartozó taktikai terv megvalósítása során elért haladást felsoroló megvalósítási tervet érdemes készíteni. Ez a tervüzemezés értékes eszköz a vezetés számára készítendő, az információvédelmi törekvések megvalósításában elért folyamatos előrehaladásról szóló jelentésekhez.
Újraértékelés és felülvizsgálat
Ahogy a védelmi életciklus a felmérés, a fejlesztés és a kezelés állandó folyamatosságát feltételezi, az információvédelmi program is rendszeres felülvizsgálatra szoruló, dinamikus eljárás. Az információvédelemnek az új üzleti feladatok jelentkezéséhez kell alkalmazkodnia, és ez állandó pályamódosítást tesz szükségessé. A valóságban a program megvalósításának folyamata is megváltoztatja azt, ahogyan irányítják az üzletet. A vállalat teljesen biztonságossá tétele nem lehet valószerű cél – figyelmeztet a Symantec szakértője. A veszélyek ehhez túl elterjedtek és kiszámíthatatlanok, a vállalati hálózatok pedig túl bonyolultak ahhoz, hogy garantálható legyen bármely időben az összes rendszer titkossága, épsége és hozzáférhetősége. A kockázatokat a legmesszebbmenőkig csökkentő óvintézkedések folyamatos fokozásával, mint azt a hatékony információvédelmi program bemutatásánál láthattuk, reálissá tehető a védelmi hézagok betömése.
