- Tanulni a biztonságot? Azt nagyon nem szeretnénk, ha gépünk pilótája
nem tartaná be a Repülési Szabályzatot! – borzong bele a gondolatba
Kovács Tamás, a Noreg Kft. műszaki igazgatója. – Vagy, ha a tűzoltók
ezentúl nem kapnának kiképzést, mondván: minek, hiszen a legkorszerűbb
eszközök állnak a rendelkezésükre? Esetleg kijelenthetjük, hogy a KRESZ
csak a gyalogosokra vonatkozik, mert a gépkocsivezetők már azzal eleget
tettek a biztonság követelményeinek, hogy beruháztak egy jól
megtervezett autóba.
A Noreg Kft akkor is az információtechnika biztonságáért dolgozik, amikor oktatást szervez, hogy tanítsa a biztonságot. Ezen a területen bizony sokan gondolják úgy, elég, ha komoly összeget fordítanak a technikára, a használata már magától értetődő. Az Ernst & Young 66 országra kiterjedő 1400 vállalatot megvizsgáló tanulmányából az derül ki, hogy a vállalatok egyharmada nem lenne képes megfelelően reagálni számítástechnikai rendszerüket érintő támadásra. Az Ernst & Young szakértője azt a következtetést vonta le, hogy a vállalatok üzleti céljai és biztonsági stratégiái gyakran nincsenek szinkronban. A mindennapos kockázatok ellen is védtelenek, amilyenek például a védett információk lopása, vagy a vírustámadás. Az már csak hab a tortán, hogy a vállalatok egy jelentős része egyáltalán nem áldoz munkatársainak informatikai képzésére. Beszerzik az újabb biztonságtechnikát, installáltatják, és ezzel le is tudták az IT-biztonság kérdését.
Senkinek sem jut az eszébe, hogy ne tanuljon meg vezetni, csak azért, mert a legmodernebb biztonsági eszközökkel felszerelt kocsit sikerült megvennie. De csaknem mindenkinek természetes, hogy az IT biztonsági berendezések maguktól megteremtik a számítástechnikai rendszerek biztonságát.
Nem vitás, a biztonsághoz valóban szükség van technikai eszközökre, és szükség van a biztonságtechnikai cég szakmai felkészültségére, gyakorlatára, tapasztalatára. Igaz, a Noreg Biztonság – amit ügyfeleink élvezhetnek – nem teremthető meg számítógépes eszközök, hardver elemek és magasan kvalifikált szoftverek nélkül. Ez alapozza meg a biztonságot. De mit ér a legjobb páncélszekrény, ha az ajtaját rendszeresen nyitva tarják? Vagy kinek jutna eszébe, hogy széfe nyitókódját egy öntapadó papírdarabon a nyitó billentyűzet mellé ragassza? Vagy, hogy a páncél kódját minden munkatársával közölje, hogy amennyiben ő nincs bent, vagy nem ér rá, más csak nyugodtan nyúljon bele, ha valamire szükség van.
Talán még mindig nem eléggé kézzel fogható, mit jelent a számítástechnika biztonsága.
A Noreg Kft. legszebb éveit a hazai IT biztonsági piacnak szentelte. És joggal érezhetjük úgy: megérte. Munkánk komoly eredményeket hozott. Részünk van abban, hogy az információbiztonság, a számítástechnikai hálózatok biztonsága az elmúlt néhány évben Magyarországon is méltó elismerést kapott a vállalati gondolkodásban.
Révbe értünk? Amíg minden ügyfelünk a háborgó vizeken hajózik, jobban teszik, ha nem csak hajójuk remek műszereiben bíznak. Szükség van egy jól felépített és végiggondolt szabályzatra is. Sőt: mindenkinek ismernie és alkalmaznia kell e szabályzat rá vonatkozó részeit. Ehhez pedig oktatás és ellenőrzés szükséges.
Az IT biztonsági hardver és szoftver mellett szabályzat készítése, oktatás és az ellenőrzés megszervezése: mindez együtt a Noreg Biztonság.
Még ma is mindennapi eset, hogy a biztonságukra komoly összeget áldozó cégek befejezettnek tekintik a munkát a technikai alkalmazások beépítésével. Milliókat költenek vírusvédelemre, tűzfalakra és elégedetten dőlnek hátra. Az átfogó biztonságpolitikai stratégiára azonban csupán mint kellemetlen rosszra, felesleges, porfogónak használt szabályzatra tekintenek. Úgy tartják: a lényeg már megvan, a papírmunka meg felesleges. Pedig a szabályzat az IT biztonsági rendszer használati utasítása.
Az mindannyiunk számára természetes, hogy még a legegyszerűbb háztartási gép használati utasítását is át kell futnunk, mielőtt bekapcsoljuk. Az ennél jóval bonyolultabb IT biztonságtól pedig elvárnánk, hogy működjön magától. Pedig a kiszámíthatatlan, a veszélyes tényező az ember, akiről sohasem tudhatjuk, hogyan fog viselkedni. Hacsak … Hacsak nem készítünk számára biztonsági szabályzatot, hacsak nem tanítjuk meg arra, mit kell tennie, hacsak nem ellenőrizzük rendszeresen, hogy azt tesz-e, amit a szabályzat előír.
A Noreg Biztonság csak akkor működik eredményesen, ha a számítógépes rendszeren dolgozók eleget tesznek a szabályzat előírásainak. Mert a biztonságot tanulni és alkalmazni kell.
Ezért rendkívül fontos, hogy a biztonságnak ezt a még el nem fogadott aspektusát a vállalati gondolkodás részévé tegyük, sőt elérjük, hogy a vállalati kultúra részévé váljon. Éppen ezért az információbiztonsággal kapcsolatos tudatosság növelése a Noreg Biztonság megteremtésének egyik fő alkotóeleme. A Noreg megtisztelő feladata, hogy sokéves működése során nyert tapasztalatait továbbadva támogassa ügyfelei üzletvitelét. Megszerzett tudásának, gyakorlatának, tapasztalatának és a legfrissebb kutatásokból származó ismereteinek terjesztésével biztosítsa ügyfelei biztonsági beruházásainak megtérülését.
A számítástechnikai biztonságban szükséges szemléletváltozás megvalósításához a leghatékonyabb, legeredményesebb eszköz az oktatás.
A Noreg Biztonság részeként kidolgozott képzési rendszert úgy alakítottuk ki, hogy abban ügyfeleink elsajátíthassanak minden számukra fontos ismeretet, de ne kelljen az ő munkakörükben szükségtelen tudást megszerezniük. Ez a személyre szabott rendszer a vállalat különböző szintjein – a Noreg Biztonság alapelvét követve – mindig az adott csoportra szabva, annak napi tevékenységét támogató ismereteket gyűjti csokorba. Különös figyelmet fordítunk a gyakorlati példák bemutatására.
Így például egy felhasználónak nem kell megismernie a beléptető rendszer konfigurációs szabályait, viszont felhívjuk a figyelmét arra, miért fontos a jelszavak bizalmas kezelése, vagy a vállalatnál újonnan bevezetett „tiszta asztal” szabály. A Noreg kizárólag IT biztonsággal foglalkozó, valamint BS7799 szabvány szerinti tanúsítvánnyal és sokéves tapasztalattal rendelkező cég. Ügyfeleink úgy látják, munkatársaink által számukra nyújtott ismeretanyag valóban hasznos, és a gyakorlatban használható tudásanyagot tartalmaz. Véleményük őszinteségét bizonyítja, hogy tanfolyamaink rendszeresen telt házat vonzanak.
Milyen szintek különböztethetők meg egy vállalat életében oktatási szempontból?
Mint minden olyan kezdeményezésnél, amelyet a vállalati kultúra részévé szeretnénk tenni, az IT biztonság szempontjából is rendkívül fontos a vezetők elkötelezettsége. Ezért a vállalatvezetők számára átfogó jellegű oktatási tematikát dolgoztunk ki, amely általános információt tartalmaz az informatikai biztonsági politika fontosságáról, gyakorlati alkalmazhatóságáról. Célunk az, hogy a vezetők a mindennapi gyakorlatban is megértsék, hasznosnak és fontosnak találják, ezért alkalmazzák is a biztonsági előírásokat. Képzésük keretében megismerhetik a legfontosabb védendő területeket, a védekezési mechanizmusokat, eszközöket. A legfontosabb mégis az, hogy meggyőzzük őket: a szabályzat nem teher, hanem a gyakorlati működés alapköve, amely kifejezetten segíti a vezetők munkáját és csökkenti a rájuk nehezedő felelősséget.
Az informatikai beruházás nem ér véget az eszközök megvásárlásánál és telepítésénél, de még a szabályzat elkészítésénél és bevezetésénél sem. Rendkívül fontos a rendszer szakszerű üzemeltetése. Ennek érdekében az informatikai szakemberek számára konkrét termékhez kapcsoló oktatást biztosítunk, amelynek segítségével az informatikusok gyakorlott szakemberek útmutatása alapján ismerhetik meg az adott eszköz csínját-bínját. A beruházás értéke hatványozottan csökken szakszerű üzemeltetés nélkül. Hiába veszünk méregdrága tűzfalat, ha az a rossz beállítások, vagy helytelen üzemeltetés következtében nem képes ellátni a feladatát, átengedi a nem kívánt forgalmat, és veszélyezteti a vállalati működést, vagy netán kockára teszi a vállalat jó hírnevét. Semmi sem okozhat nagyobb kárt, mintha mindenki arra számít, hogy a dolgok rendben mennek, miközben a rosszul üzemeltetett rendszer nem látja el feladatát.
Az üzemeltetési struktúra talán legfontosabb láncszeme mégis a felhasználó. A rendszer működésének biztonsága – még a legbiztonságosabbé is – az ő kezében van. Hiába a legjobb hardver és szoftver, ha a felhasználó nem érti miért fontosak a biztonsági előírások. Az IT biztonság kézzel foghatatlan. Sok esetben a biztonsági eszközök a felhasználó számára láthatatlanok, azonban nem láthatatlan a szabályzat, egy levél a forgalom esetleges korlátozásáról, egyes weblapok letiltása, vagy a beléptetési szabályok bevezetése. Sok esetben a felhasználók ezeket az intézkedéseket személyes frusztrációként élik meg. A mindennapi felhasználó számára szervezett oktatásokon éppen arra szeretnénk felhívni a figyelmet, hogy a szabályok, szabályzatok bevezetése nem a menedzsment kénye-kedve szerinti játékszer, hanem sokkal inkább munkájukhoz nyújtott segítség, közös vállalati érdek.
A rendszeres oktatás fontos eleme, hogy az újdonságokkal is időben találkozzanak ügyfeleink. A Noreg Biztonság azt is jelenti, hogy megrendelőink kezét akkor sem engedjük el, amikor a megrendelt beruházást már elvégeztük.
Ha úgy érzi, készen áll rá, hogy tanulni kezdje a biztonságot, szívesen látjuk 2005. október 17-21 között, amikor már negyedik alkalommal rendezzük meg nagy sikerű Információs Biztonsági Akadémia elnevezésű szemináriumunkat. A Component Soft-tal közösen megrendezett Akadémia sorozaton a résztvevők többek között olyan aktuális témákról hallgathatnak előadásokat, mint pl. a napjainkban mind jelentősebb fenyegetettséget rejtő adathalászat, de szó esik majd az elektronikus aláírás és elektronikus számlázás alkalmazási lehetőségeiről is. Az Információs Biztonsági Akadémia mindenki előtt nyitva áll. A szemináriumsorozatról bővebb információ a
www.noreg.hu oldalon található.
sajtóközlemény