Leggyengébb láncszem Közhely, hogy a lánc szakítószilárdsága a leggyengébb láncszem ugyanezen értékével azonos. Számos más rendszerre is igaz ez a törvény. Az informatikai rendszerre is. A biztonsági, információbiztonsági szakma számos szórakoztató példát adott már közre arról, miként lehetett egyetlen biztonsági réssel térdre kényszeríteni drága, gondosan tervezett rendszereket. A példák mellett a statisztikák is azt mutatják, hogy az informatikai rendszer leggyengébb pontja tipikusan a humán faktor. A riasztó statisztikákra az "...ilyen csak mással történhet meg..." érzése a tipikus válasz. Két kávéscsészével kezében jól őrzött irodába jutott be egy hacker. Néhány nap múlva rendszergazdai munkakörbe vetette fel barátját. Ez a példa már gyanúsan hétköznapi. Miként a távozó - ilyenként elégedetlen - munkatársak adatlopása. Kockázatcsökkentés A felhasználóktól nem könnyű megvédeni az informatikai rendszert. Informatikai jogosultságokkal rendelkeznek, melyek munkájuk végzéséhez szükségesek. Saját akaratukat pillanatnyi helyzetüknek megfelelően a cég céljai elé helyezhetik. A humán veszélyforrások három módszerrel csökkenthetők. 1. Általában a technikai beruházások a leginkább erőforrás igényes megoldások mind a költségek mind az idő viszonylatában. Nem elegendő tűzfalakat, behatolás detektáló rendszereket beszerezni, hanem a meglévő rendszerbe a védelmi elemeket be is kell illeszteni. 2. A belső szabályozás olyan szakértelmet feltételez, amely az üzleti folyamatokat, technikai hátteret egyaránt ismeri, és ezekhez illeszti a szabályalkotás belső logikáját. Azt is el kell érni, hogy a munkatársak ismerjék, alkalmazzák, betartsák a szabályokat. 3. A legegyszerűbb, leggyorsabb kockázatcsökkentő intézkedés a felhasználók oktatása. Felébreszti felelősségérzetüket, figyelmüket a biztonsági kockázatok iránt. Az oktatás a szabályozással le nem fedhető eseteket is áthidalhatja. Tapasztalat, hogy a kellő biztonsági ismeretekkel rendelkező felhasználó megérti egyéni felelősségét a szervezet céljait illetően is. A megtérülés biztonsága A biztonságba fektetett összegek megtérülése sem marad el. Az említett példákat alkalmazva: milyen elenyésző egy információbiztonsági oktatás költsége az üzleti partnerek adatbázisának ellopásával okozott károkhoz képest?! Az üzleti folyamatok biztonsága a működési költségeket csökkenti. Ennek mérése nagy szervezeteknél vagy iparági szinten célszerű, hiszen így csökkennek a környezeti torzító hatások. Így szemlélve, a költségek a fenyegetett értékekhez, a fenyegető kárhoz képest szinte jelentéktelenek. Csak látszólag könnyű a biztonsági beruházásokat, költségeket lefaragni. Ha bekövetkezik a baj, a károkat is fedezni kell és a biztonsági rést is be kell foltozni. Hasonló ez a biztosításhoz. Azt sem a bekövetkezett, hanem a fenyegető károk elhárítására lehet igénybe venni. Dr. Dósa Imre adatvédelmi, biztonsági szakértő 06-30-771-4111 dosa.imre@iif.hu
Biztos megtérülés az információbiztonság
Költségérzékeny időkben, biztonsági célra nehezen nyílnak meg a pénztárcák. Nem csoda, hiszen a biztonság - gazdálkodó szemmel - nehezen értékelhető tétel. Különösen nehéz a megtérülés bemutatása. Szerencsére van kivétel. Az információs rendszerek leggyengébb láncszemének erősítése azonban bizonyítottan költség-hatékony beruházás.