Informatikai Kontrolling: a vállalati információbiztonság ellenőrzésének új módszere
A megkérdezett vállalatoknál a számítógépes vírusokat, valamint a honlapok feltörését tartják a legfőbb veszélyforrásoknak. A IT terület felelősei jellemzően tűzfalak és a szerveroldali vírusvédelem különböző eszközeinek üzembe helyezésével és felhasználói jelszavak alkalmazásával kívánják biztosítani rendszereiket. Továbbra is sokakban él a tévhit, hogy ha vesznek egy tűzfalat, azzal minden biztonságtechnikai gondjuk megoldódik. Szakértők szerint valós üzleti károkat rosszindulatú betörés vagy gondatlan adatkezelésből származó adatvesztés okoz, csak az ilyen jellegű károk nem kerülnek nyilvánosságra.
Magyarországon jelenleg a vállalatoknál az IT szervezetének növekedése jellemző, szemben az outsourcing megoldásokkal. Az informatikai fejlesztésekre fordított keretek szűkülése miatt a nagyvállalatok jellemzően saját erőforrásaikkal szeretnék elvégezni a szükséges IT-fejlesztéseket. Az IT-szervezet elsődleges feladata biztosítani a rendszerek megbízható működését, míg az adatok, az információ biztonsága sokszor nem kap elegendő figyelmet. A BellResearch kutatási eredményei szerint a 100 fősnél nagyobb vállalatoknak is csak egynegyede alkalmaz belső IT-biztonsági szakembert. A többi vállalatnál ezt a funkciót is jellemzően a rendszergazdák, a rendszerek üzemeltetői látják el. Az informatikai biztonság az IT egyik leggyorsabban haladó területe, amely folyamatos követést igényel. Rengeteg megoldás és termék lát napvilágot teljes vagy részleges védelmet ígérve, és a másik oldal", a hackerek társadalma is nehezen követhető gyorsasággal fejleszti ki újabb és újabb módszereit. A rendszergazdák számára tehát igen nehezen teljesíthető elvárás volna ezt a rendkívül gyors technológiai haladást követni.
Ennek eredményeképpen a magyar vállalatoknál a tapasztalatok szerint jelentős biztonsági hiányosságok vannak, amelyek természetesen csak akkor kerülnek napvilágra, ha valamilyen adatvesztés történik, tehát túl későn. A cégek vezetői egy sokszintű szervezet esetében nem látnak rá kellőképpen az IT-üzemeltetés tevékenységére, és nem kapnak valós képet arról, hogy a vállalat informatikája mennyire védett az esetleges rosszindulatú támadások ellen.
Az Informatikai Kontrolling ezt a problémát hivatott megoldani. A módszer lényege, hogy a vállalat írott vagy íratlan szabályait, eljárásrendjét adottságnak tekinti, és így vizsgálja a meglévő informatikai infrastruktúrát azzal a céllal, hogy felderítse, egy rosszindulatú személy a cég milyen adataihoz juthat hozzá.
Az Informatikai Kontrolling ellenőrző szerepet tölt be, és a cég vezetése számára olyan visszajelzést biztosít, amelyet annak saját belső IT-szervezete nem adhat" - emelte ki Kis György, a Fornax Rt. informatikai vezérigazgató-helyettese. A hagyományos biztonságtechnikai felmérések/auditok főként szoftveres ellenőrzéseket, tanácsadást és az azonosítás, titkosítás és jelszavakhoz kapcsolódó szabályok rögzítését jelentik. Az Informatikai Kontrolling ezzel szemben programok manuális visszafejtését és újraírását, külső behatolásteszteket, social hacking eljárást, azaz vállalaton belüli adatszivárogtatás felkutatását, továbbá újonnan bevezetendő informatikai rendszerek biztonsági vizsgálatát foglalja magába. A vizsgálatok rövid idő alatt mutatnak rá a biztonsági résekre, illetve hiányosságokra.
Kapcsolódó cikkek
- 60 millió kalóz-Windows-os PC minden évben
- Kémprogramok leselkednek a felnőtt tartalmak mögül
- Titkos amerikai katonai anyagok hozzáférhető FTP-szervereken
- A csalók lopott hitelkártyákkal adakoznak
- Jól menedzselhető védelmi szoftver kerestetik
- Kritikus frissítések az Adobe Flash Playerhez
- D-Link NetDefend tűzfalak ICSA tanúsítvánnyal
- Harry Potter halott
- Kínai rakétahordozó tengeralattjáró a Google Earth-ön
- 11 hibát javít a Microsoft frissítőcsomag