A digitalizáció korában az információbiztonság stratégiai fontosságú területté válik a vállalatok életében, szervezeten belüli megítélése azonban ma még gyakran ellentmondásos. Az alkalmazottak nem egyszer duzzognak, mert a biztonsági szabályok betartását körülményesnek érzik, de olykor a vezetés is csupán a költséghelyet, a szükséges rosszat látja egy-egy biztonsági funkcióban. Ráadásul mindez időszakosan változhat is, egy-egy biztonsági esemény vagy a törvényi megfelelés változó követelményeinek hatására a szervezet biztonságtudatossága hirtelen fellángol, majd gyorsan alábbhagy, ami aligha kedvez az üzletbiztonságnak.
Computerworld: Milyen szervezeti és szemléletbeli változtatásokra lehet szükség egy vállalatnál ahhoz, hogy nőjön az üzlet biztonsága? Az üzleti vagy az informatikai oldalnak kell ezért többet tennie, egyáltalán ki legyen az üzletbiztonság gazdája egy vállalatnál?
Vaskeba Erik: A Telenor Magyarországnál az üzletbiztonság funkció a műszaki területről indult, amely a rádiókommunikációs hálózat, az informatikai környezet és a létesítmények fizikai védelmét is felöleli. Az üzlet és a biztonság területének szoros összekapcsolásával kívántuk bemutatni, hogy az informatikai és a fizikai biztonság nem öncélú funkció, hanem értékteremtő erő, mivel a vállalatot hozzásegíti üzleti stratégiájának megvalósításához, céljainak eléréséhez. Mobilszolgáltatóként vállalatunk rengeteg ügyféladatot kezel, és országos lefedettségű infrastruktúrát működtet egy dinamikus, kiélezett versennyel jellemezhető piacon, ahol egy szolgáltatásleállás vagy az érzékeny adatok kiszivárgása rendkívül nagy anyagi és presztízsveszteséget okozhat. Miután elemzésekkel hitelesen alátámasztottuk, hogy a biztonsági beruházások eredményeként az üzlet komoly kockázatokat, potenciális károkat, veszteségeket kerül el, cégünk a funkció értékteremtő képességét felismerve dedikált üzletbiztonsági szervezet létrehozása mellett döntött, és felkarolta tevékenységét. Az üzletbiztonság erősítésének elengedhetetlen előfeltétele ez a fajta támogatás.
Munkánk azóta a műszaki-informatikai területek mellett kiterjedt számos üzleti területre, többek között a visszaélés-megelőzésre és a kockázatkezelésre, a törvényi megfelelésre és a hatósági adatszolgáltatási igények kiszolgálására, a folyamatok belső auditálására is. Folyamatosan monitorozzuk és mérjük az üzletbiztonsági követelmények teljesülését a műszaki és az üzleti területek munkájában, hogy értékelést adjunk a meglévő állapotról, illetve további fejlesztéseket, változtatásokat javasoljunk. Biztonsági szempontok és ajánlások megfogalmazásával segítjük emellett az új rendszerek, technológiai megoldások és üzleti folyamatok bevezetésére indított projektek megvalósítását, és részt veszünk a vállalati stratégia formálásában is, a döntéshozók számára kimondottan üzletbiztonsági stratégiát dolgozunk ki.
Vaskeba Erik üzletbiztonsági vezető, Telenor Hungary
Feladataink és felelősségeink köre folyamatosan bővül. A területek, amelyekkel kapcsolatban állunk, szorosan összefüggnek egymással, és mindegyiküket áthatja az informatika. A digitalizáció trendjeivel összhangban munkánk legnagyobb részben az információbiztonsághoz és a kibervédelemhez kötődik, ezt üzletbiztonsági szervezetünk felépítése is tükrözi. A tavalyi tulajdonosváltást követően csapatunk még magasabb szintre került a szervezeti hierarchiában, így már közvetlenül a vezérigazgatónak jelentünk.
CW: Mindebből kitűnik, hogy a Telenor Magyarország felsővezetése és tulajdonosa is felismerte az üzletbiztonsági funkció jelentőségét. Ugyanez elmondható az alkalmazottakról is? A nagy sajtóvisszhangot kiváltó biztonsági események gyakran emlékeztetnek bennünket arra, hogy a védelem leggyengébb láncszeme az ember. Hogyan fejleszthető a leghatásosabban az értékes adatvagyonnal, a támadásoknak kitett rendszerekkel dolgozó kollégák biztonságtudatossága?
VE: Üzletbiztonsági csapatunk minden évben többféle programot is megvalósít a biztonságtudatosság kiértékelése, karbantartása és erősítése érdekében. Egy távközlési cégnél szinte minden alkalmazott kapcsolatba kerül az ügyfelek adataival, ezért fontos feladatunk, hogy minden kollégában tudatosítsuk, személyesen mi a szerepe az információvédelem, és ezáltal az üzletbiztonság erősítésében. A frissen belépő kollégák számára a HR-osztállyal közösen információbiztonsági tréninget és létesítményvédelmi bejárást tartunk, emellett rendszeresen mérjük az alkalmazottak körében a biztonsági szabályok ismeretét, betartását. Az üzletbiztonsági ismeretek felfrissítésére többek között előadásokat, műhelybeszélgetéseket és játékos - például szabadulószobás - foglalkozásokat szervezünk különböző témákban. Információvédelmi kampányaink részeként külső partnerek bevonásával szimulált adathalász-támadásokat is indítunk, hogy ellenőrizzük, alkalmazottaink a gyakorlatban mennyire követik a szabályokat, napi munkájukat végezve felismerik-e a kockázatokra utaló jeleket. Üzleti egységek szintjén értékeljük ki a teljesítményt, az eredményeket megosztjuk velük, és ha szükséges, tudásfrissítő tréningeket tartunk számukra.
Csak legvégső esetben nevesítünk, ha egy kolléga olyan súlyos hibákat ejt az információk kezelésében, hogy az komolyan fenyegeti az üzlet biztonságát, és az esetet átadjuk a HR-osztálynak. Évek tapasztalatai azonban azt mutatják, hogy erre csak igen ritkán kerül sor. A tréningekkel, az átadott ismeretek gyakorlati alkalmazásának monitorozásával és a támadásokat szimuláló tesztekkel hathatósan fejleszthető az alkalmazottak biztonságtudatossága. Fontos, hogy a vállalat folyamatosan fejlessze az ismereteket, képességeket, a biztonság minden technológiai és emberi vonatkozásának figyelmet szentelve, mert a fenyegetések és a kivédésükre szolgáló megoldások is mind kifinomultabbakká válnak, gyors fejlődésükkel lépést kell tartani.
CW: Mely technológiák jutnak majd a legnagyobb szerephez az üzletbiztonság fokozásában? Miként tervezik továbbfejleszteni ezt a funkciót a Telenornál?
VE: Pusztán technológiai megoldások és információkezelési szabályok bevezetésével, a hozzáférési jogosultságok kiosztásával az üzletbiztonság nem tartható fenn, ezért szükséges a biztonságtudatosság fejlesztése. Ugyanakkor fejlett technológiai eszközök nélkül ma már elképzelhetetlen a kockázatok hatékony kezelése. Mind több ügyfelünk egyre több szolgáltatást használ többféle csatornán és eszközön keresztül. A kockázatok is ezzel arányosan nőnek, műszaki és üzleti területeinknek és üzletbiztonsági csapatunknak is olyan, gyorsan növekvő adatmennyiséget kell elemeznie a veszélyek észleléséhez, forrásuk azonosításához, hogy az pusztán emberi erővel nem oldható meg.
Egyértelműen a hatékonyságot kell növelnünk, ezért minden területen automatizáljuk bizonyos folyamatainkat, többek között a fejlett analitika, a mesterséges intelligencia bevezetésére is indítottunk már kezdeményezést. Ugyanakkor egyértelmű az is, hogy nem automatizálhatunk mindent, egyensúlyra kell törekednünk, amelyben az idő- és munkaigényes, viszont rutinszerű feladatokat veszik át tőlünk a gépek. Szakembereink így olyan üzletbiztonsági problémákra összpontosíthatnak, amelyek megoldása - például a szerződéskötés területén a visszaélés-megelőzéshez hasonlóan - ma még emberi tudást és tapasztalatot követel.