A Sony legutóbbi – és talán még mindig tartó – adatszivárgása kategóriájában alighanem az eddigi legsúlyosabb biztonsági esemény volt a vállalatok történetében. Az óévet úgy búcsúztatjuk el, hogy továbbra sem derült fény a támadók kilétére, ahhoz azonban nem fér kétség, hogy a történtek után a Sony sok mindent másképp fog csinálni az IT-biztonság területén, fogalmazott Ben Rothke információbiztonsági szakértő, a Security Reading Room című blog szerzője testvérlapunk, a CSO weboldalán.
Biztosra vehető a szakember szerint az is, hogy 2015 még rosszabb év lesz, ami a hasonló, célzott támadásokat illeti, ezért néhány tanácsot is adott a vállalatoknak, hogy miként erősítsék adatvagyonuk védelmét.
Jól jön a vállalatnál a rátermett információbiztonsági vezető (CISO), de az IT-biztonsághoz értő rendszertervező még hasznosabb, és nem minden szervezet engedheti meg magának mindkettőt. A kis- és középvállalatok helyesen teszik, ha a rendszertervező szoftvermérnök mellett döntenek, aki ideális esetben vezetőként is megállja helyét. A biztonság szempontjából azonban fontosabbak a jól megtervezett rendszerek.
Ha félrecsúszott az IT-biztonsági projekt, akkor azt nem fogja megmenteni, ha még többet költünk rá, vagy bővítjük a csapatot. Frederick Brooks már 40 évvel ezelőtt megírta (The Mythical Man-Month című könyvében), hogy ha a vállalat még több embert állít egy csúszó projektre, akkor az még annál is többet fog csúszni. Ez ma, az IT-biztonság területén is érvényes.
Kétélű megközelítést érdemes alkalmaznia a vállalatnak, a biztonsági szabályzatba foglalt eljárásokat célszerű testre szabott kockázatkezeléssel ötvözni. A védelem így mindig kész lesz arra is, hogy az adott szervezetet veszélyeztető, specifikus fenyegetésekre is gyorsan reagáljon, és lehetőleg elhárítsa azokat, mielőtt kárt okoznának.
Ne takarékoskodjunk az IT-biztonságért felelő csapat tagjain, igyekezzünk a legjobb szakembereket alkalmazni. Bérük nem a költségeket növeli, a ráfordítás kifizetődik.
Meg kell tervezni a régi adatok visszavonultatását. A vállalatok többsége túl sok adatot tart on-line a gyors hozzáférés érdekében, holott azok jelentős részét off-line tárolókba helyezhetné, szalagon archiválhatná.
Sok még a teendő az alkalmazásbiztonság terén is, amely gyakran háttérbe szorul a hálózat védelmére összpontosító vállalatoknál. Itt az ideje, hogy ezek a szervezetek is szabályzatot dolgozzanak ki az alkalmazások biztonságos fejlesztésére és tesztelésére.
Végül ki kell alakítani azt a kockázatkezelő folyamatot is, amely a beszállítók és más partnerek rendszerelérését felügyeli, mert a támadók gyakran rajtuk keresztül célozzák meg a vállalatot.
