A biztonsági eseményeket követő „helyszínelések” gyakran jutnak arra a megállapításra, hogy a vállalat működését támogató folyamatok szervezési és technológiai hiányosságai vezettek a problémához. A folyamatok és az azokat működtető rendszerek kiforratlansága, éretlensége ugyanis gyengíti vagy egyenesen ellehetetleníti a biztonságot adó kontrollt.
Miután az IT-biztonság stratégiai jelentőségűvé válik a vállalatok számára, egyre több szervezet törekszik a kockázatok és fenyegetések holisztikus megközelítésére, az ellenük való védekezés folyamatos erősítésére – mutatott rá a Cisco évközi biztonsági jelentésében (2014 Midyear Security Report), amely az idei év első hat hónapjában észlelt támadások mellett a kiberbiztonsági trendekről is áttekintést ad.
A területen tevékenykedő tanácsadók és szolgáltatók segítségével számos szervezet dolgozik azon, hogy az IT-biztonságot nagy mértékben szabályozott, szabványos és mérhető üzleti folyamattá – vagy folyamatok csoportjává – fejlessze, amelyet rendszeresen felülvizsgálhat és kiértékelhet a kitűzött stratégiai célok tükrében. Egy-egy vállalat gyakran az irányítás, a kockázatkezelés és a törvényi megfelelés (GRC) javítását célzó, a szervezet egészét átfogó üzleti kezdeményezés részeként dönt amellett, hogy a továbbiakban az IT-biztonságot is üzleti folyamatnak tekinti. Túl sok piaci szereplő tanulta meg ugyanis a saját kárán, hogy amikor a kockázatok kezeléséről és a fenyegetések elleni védekezésről van szó, akkor a puszta törvényi megfelelés önmagában kevés.
Folyamatos védelem
Azok a szervezetek, amelyek folyamatokba szervezik IT-biztonsági gyakorlatukat, jobban megértik, hogy mit kell védeniük, meglévő IT-biztonsági megoldásaik mekkora védelmet adnak, és mit kell tenniük a nagyobb IT-biztonság elérése érdekében. A védelem „folyamatosítása” nagyobb láthatóságot ad az IT-biztonságnak a szervezet egészében. Egyértelművé teszi, hogy kik felelnek a területért, milyen szerepkörben végzik munkájukat, jól vagy rosszul látják el feladataikat, de a vállalat azt is ellenőrizni tudja, hogy az IT-biztonsághoz rendelt erőforrások felhasználása mennyire hatékony.
Nehezen szervezhető azonban folyamatokba a védelem, ha az IT-biztonságért felelős vezetők – például az IT-igazgató és az információbiztonságért felelős vezető, a CIO és a CISO –, valamint az üzleti oldal menedzserei nem tudnak hatékony párbeszédet folytatni egymással. A kiberbiztonság szabályozott üzleti folyamattá alakításához elengedhetetlen a két vezetői csoport szorosabb együttműködése, mivel csakis közösen határozhatják meg a kockázat elfogadható mértékét és a védekezés stratégiai céljait is a szervezet egészére nézve. A CISO-k sokat tehetnek a párbeszéd előmozdításáért, ehhez azonban módot kell találniuk arra, hogy a kiberbiztonsággal összefüggő információkat az üzleti vezetők számára is érthetően mutassák be. A mérőszámok például sokat segíthetnek ebben, mivel rajtuk keresztül kézzelfoghatóvá tehető, hogy az üzlet mit nyer egy adott kockázatforrás megszüntetésével.
Célszerű, ha a biztonsági folyamatok kialakításában a vállalat egy olyan érettségi modellt követ, amilyen például a Carnegie Mellon egyetem CMMI (Capability Maturity Model Integration) modellje. Ezt a ma már széles körben alkalmazott módszert az egyetem szoftvermérnöki intézete dolgozta ki saját projektjeinek megvalósításához még a nyolcvanas években. Az érettségi modell kiinduló szakaszában a fejleszteni kívánt képesség még adhoc jellegű, az IT-biztonság vonatkozásában a tűzoltásnak felel meg. Az érettség legmagasabb szintjét mutató, utolsó szakaszban azonban a szervezet már szabványos, megismételhető és mérhető folyamatok mentén kezeli a kockázatokat és védekezik a fenyegetésekkel szemben.
Kiberbiztonság üzleti szemmel
Megannyi üzleti modell, számos vállalat jövője függ attól a mindent összekapcsoló hálózattól, amelyet a dolgok internetje (IoT), a legkülönfélébb gépek, eszközök és tárgyak közötti adatkommunikáció hoz magával. Ahhoz azonban, hogy a vállalat kellőképpen felkészülhessen erre a gyorsan fejlődő, új környezetre, és sikeres lehessen benne, az üzleti vezetőknek is világosan meg kell érteniük, hogy az egyre nagyobb hálózatfüggés milyen kiberbiztonsági kockázatokkal jár.
Hosszú időn keresztül bevett gyakorlatnak számított, hogy a kiberbiztonsági eseményeket és problémákat a vállalatok lehetőleg elhallgatták a nyilvánosság előtt, és sok szervezet – például Magyarországon is – továbbra is így tesz. Az utóbbi néhány évben azonban a változás jelei is mutatkoznak ezen a téren. Egyre több üzleti vezető látja be ugyanis, hogy a kiberbiztonsági kockázatok minden szervezetet érintenek, miután egyre több vállalat digitalizálódik, és az információ stratégiai jelentőségűvé válik az üzlet számára.
Ezek a vezetők lassan felismerik, hogy a mindent behálózó ipari internet korában nyílt és őszinte párbeszédet kell majd folytatni mind a fenyegetésekről, mind az ellenük való védekezés bevált gyakorlatáról, méghozzá nem csupán a vállalaton belül, hanem – a versenytársakat is beleértve – a vállalatok, a verseny- és a közszféra szereplői között is. Egyre több nagyvállalati igazgatótanács szeretné pontosan látni, hogy a technológia fejlődésével növekvő kiberbiztonsági kockázatok milyen veszélyeket jelentenek az üzletre nézve, és a részükről érezhető nyomásnak is köszönhető, hogy az említett nézet kezd teret hódítani a felsővezetők körében.
Az egyesült államokbeli Értékpapír- és Tőzsdefelügyelet (Securities and Exchange Commission, SEC) közelmúltbeli intézkedései is közrejátszottak abban, hogy az igazgatótanácsok napirendjén ilyen magasra került a kiberbiztonság kérdése. A SEC ugyanis 2011-ben kötelező érvénnyel elrendelte, hogy a tőzsdére bevezetett cégek tájékoztassák részvényeseiket minden jelentős kiberbiztonsági eseményről, adatlopásról és támadásról, valamint arról is, ha ennek anyagi következményekkel járó kockázata fennáll. Idén a SEC egy kerekasztalt is szervezett, amely megvitatta a kiberbiztonság kérdéseit, és azokat a kihívásokat, amelyekkel a piaci szereplők és a tőzsdére bevezetett cégek ezen a téren szembesülnek.
Nemzetközi porondon a verseny- és a közszféra közötti együttműködés erősítésén dolgozó World Economic Forum (WEF) ugyancsak 2011-ben mutatta be ún. informatikai ellenálló képességről alkotott koncepcióját, amely szintén abban hivatott segíteni a szervezeteknek, hogy a kiberbiztonság kérdését, valamint az internettel összefüggő egyéb problémákat az igazgatótanács elé terjesszék. A WEF Partnering for Cyber Resilience elnevezésű kezdeményezésének egyik alaptétele, hogy az informatikai ellenálló képesség egyfajta ökoszisztéma, amelyben az egymásra utalt szervezetek mindegyike csak olyan mértékben érezheti magát biztonságban, amilyen erős a biztonsági lánc leggyengébb szemének számító szervezet védelme.
Más szóval hálózatba kapcsolat világunkban a kiberbiztonság mindannyiunk felelőssége, ahhoz mindannyian külön-külön is hozzáadunk valamit, vagy éppen elveszünk belőle, másokat is veszélyeztetve. A nyílt, biztonságos és jó ellenálló képességű kibertér közvagyon, olyan erőforrás, amelyet közösen hozunk létre, és megőrzéséért is mindannyian felelősséggel tartozunk.
A kezdeményezés abban kívánja támogatni a vezérigazgatókat és a felsővezetőket – közöttük a CIO-kat és a CISO-kat –, hogy a kiberbiztonságról, a kockázatokról és a lehetőségekről az üzlet nyelvén zajló párbeszédet kezdeményezzenek vállalatuknál. A WEF hangsúlyozza, hogy a kiberbiztonság nem olyasmi, amit a vállalat valamelyik osztálya – konkrétan az IT-osztály – önmagában elérhet, és készen odaadhat a többi egységnek, mert ez a képesség nemcsak technológiai, hanem szervezeti jellegű is. Éppen ezért a WEF egyenesen úgy fogalmaz, hogy a kiberbiztonság ügyének előmozdítása a vállalatnál elsősorban nem az IT-, hanem a vezérigazgató, az üzleti vezető felelőssége, ugyanazé a személyé, aki végső soron az üzleti eredményért is felel.